Lernziel

Die Teilnehmer kennen die OWASP TOP 10 Schwachstellen und Gegenmassnahmen. Sie können einschätzen, welche Risiken hinter den jeweiligen Schwachstellen stehen und was für Auswirkungen diese auf eine Applikation, das unterliegende System und die Benutzer haben können. Zu jedem Angriff wie SQL Injection, XSS, XSRF oder Authorization Bypass gibt es Theorieinhalte sowie Laborübungen. Zudem werden die Fähigkeit für Self-Assessments und die wichtigen Grundlagen von HTTP/HTTPS geschult.

Die Übungen werden online auf www.hacking-lab.com absolviert. Die Laborumgebung steht den Teilnehmern auch nach Kursende während eines Monats zur Verfügung.

Abgrenzung: Der Kurs ist auf den Web Layer fokussiert. Nessus, Nmap und Vulnerability Scanning sind nicht Bestandteile dieses Kurses. Der Kurs ist zudem Grundlage für das Seminar Web Application Security Advanced mit den Themen Web 2.0, HTML5, Advanced JavaScript, AngularJS, Google Web Toolkit etc.

 

Highlights aus dem Programm

  • Einführung in HTTP/S, Cookies, Sessions
  • Rechtliche Rahmenbedingungen
  • OWASP TOP 10
  • Tool Einführung: HTTP/S Aufzeichnung und Analyse
  • Authentication & Authorization Bypass
  • Session Fixation Attacke
  • Stored/Reflected Cross-Site Scripting (XSS)
  • SQL Injection
  • Input- & Output-Validierung
  • Web Application Firewall
  • Cross-Site Request Forgery (XSRF)
  • URL Redirection Attacke
  • Man-in-the-Middle  Attacke
  • Failure to restrict URL access
  • Security Misconfiguration

Zielgruppe

Security Officers, Web Entwickler

Voraussetzung

  • Vertrautheit mit der Linux Kommandozeile
  • Grundkenntnisse des HTTP Protokolls
  • Grundlegende Kenntnisse der Komponenten einer Webanwendung
  • Programmierkenntnisse von Vorteil

AGENDA

Beer-Talk #18 in Berlin: How to pwn a Global Player in two days

Sind große Unternehmen dank größeren finanziellen und personellen Mitteln besser gegen Hacker Angriffe gewappnet als kleinere Unternehmen und... Weiterlesen

Beer-Talk #27 in Zürich: WiFi Open to WPA3

WiFi ist fast überall anzutreffen, die Netzwerke weisen aber oft Schwachstellen auf. Konnte der Standard WPA3 diese beheben? Ob die WiFi Netze nun... Weiterlesen

5. Digital Real Estate Summit 2019

Das Gipfeltreffen der digitalen Immobilienwirtschaft Weiterlesen

KOMPLETTE agenda

aktuelles

Schwachstelle im mod_auth_openidc Modul

Mischa Bachmann hat eine Reflected Cross-Site Scripting (XSS) Schwachstelle im mod_auth_openidc Modul für den Apache 2.x HTTP Server identifiziert. Weiterlesen

Compass betreut wissenschaftliche Arbeiten

Compass Security betreut Studierende, die anlässlich ihres Bachelor- oder Masterstudiums eine wissenschaftliche Arbeit mit dem Schwerpunkt IT Security... Weiterlesen

Schwachstelle im Webinterface der Siemens SICAM A8000 Series

Emanuel Duss und Nicolas Heiniger haben eine XXE Schwachstelle im Webinterface der Siemens SICAM A8000 Series identifiziert. Weiterlesen

ArCHIV