Bei diesem Seminar lernen Sie, wie Sie Ihre Web-Anwendungen gegen die häufigsten und gefährlichsten Angriffe sichern. Sie lernen die kritischsten Sicherheitslücken systematisch kennen und probieren diese an einer Beispiel-Anwendung aus. Schritt für Schritt stopfen Sie die Lücken und erfahren, wie einfach es sein kann, gravierende Fehler zu vermeiden. Die dabei erlernten Konzepte sind unabhängig von konkreten Technologien und lassen sich sicher auch in Ihrem Projekt anwenden.
Inhalt
- OWASP-Einführung (OWASP Top 10, Cheat Sheets, Werkzeuge)
- SQL Injektion
- Authentifizierung
- Sichere Passwörter sicher speichern
- Sicherer Umgang mit Cookies
- Mehrfaktor-Authentifizierung
- Transport Layer Security (SSL / TLS)
- Command Injection
- Insecure Deserialization
- XML External Entity Attacks
- Cross Site Scripting
- Session Hijacking / Session Fixation
- Input Validation / Output Escaping (Sanitization)
- Cross Site Request Forgery (CSRF)
- Same Origin Policy
- Security Header (CSP, CORS, uvm)
- Clickjacking
- Werkzeuge (OWASP ZAP, sqlmap, …)
- Fuzz Testing
- Function Level Access Control
- Insecure Direct Object References
- Security Development Lifecycle (SDLC)
Voraussetzungen
- Sie sind erfahren mit mindestens einer Programmiersprache und kennen Grundlagen der Webentwicklung, d.h. Begriffe wie: http, HTML, Browser, Service
- Hilfreich aber nicht zwingend erforderlich sind Basis-Kenntnisse in SQL und JavaScript
- Die Übungen finden in Java statt, Sie benötigen aber keine tiefgehenden Java-Kenntnisse
Sicherheit für Webanwendungen
