Seminar Advanced Web Application Security Testing Professionelle Sicherheitsuntersuchungen von Enterprise-Webanwendungen durchführen
ZieleDie Kursteilnehmer lernen, wie sie professionelle und umfassende Sicherheitsuntersuchungen (Pentests) von Webanwendungen eigenständig durchführen, Findings validieren, bewerten, dokumentieren und wie sie hierzu die verschiedensten Tools und Techniken sinnvoll einsetzen.
InhaltWebanwendungen werden in Unternehmen zunehmend für die Abbildung kritischer Geschäftsprozesse eingesetzt. Dabei werden über das Webportal eine Vielzahl von Diensten für Kunden und Lieferanten bereitgestellt. Während Sicherheit im Netzwerkbereich inzwischen durch ausgereifte Lösungen gewährleistet werden kann, ist auf Applikationsebene immer noch die Qualität einer Anwendung für deren Sicherheit entscheidend. Damit wird nicht zuletzt das Testen der Sicherheit von Webanwendungen, das Wissen um die Gefährdung von Schwachstellen und die Einbettung solcher Untersuchungen in die Prozesse der Qualitätssicherung (QA) ausschlaggebend.
Auf der anderen Seite werden solche Sicherheitstests (auch Web Application Pentests) durch die zunehmenden Komplexität durch ständig neue client- und serverseitige Technologien (Flash, Ajax, Webservices, etc.) und Frameworks, und der immer wieder neuen entdeckten Angriffsmöglichkeiten auch immer anspruchsvoller. In dieser Veranstaltung wird hierfür das erforderliche Handwerkszeug vermittelt.
Ausgehend von einer Vertiefung aktueller Bedrohungen wie XSS, CSRF, etc. werden die praktischen Gefährdungen diskutiert und deren Identifikation anhand zahlreicher Beispiele von den Kursteilnehmern selbst nachvollzogen. Es werden konkretem Best Practices, Techniken und Tools für die Durchführung von anspruchsvoller Sicherheitsuntersuchung von Enterprise Webanwendungen und -Webservices vermittelt. Hierzu werden zahlreiche Techniken und Tools vorgeführt und. Abgerundet wird die Veranstaltung die die Diskussion von Techniken zur Modellierung (Threat Modelling), Bewertung und Reporting von Schwachstellen. In zahlreichen Übungen werden die Inhalte anhand praktischer Beispiele vertieft und nachvollzogen.
Thematisiert wird u.a.:
* Assessment- und Angriffs-Techniken
* Tools
* Plattformspezifische Bedrohungen (.NET & J2EE)
* Filter Evasion Techniken
* Webservice- und Ajax-Angriffe
* Intranet Hacking
* Browser Hijacking
* Web 2.0 und Mashups
* Threat Modelling
* Metriken (DREAD und STRIDE) - Dokumentation & Reporting