Web Application Security Basic

Lernziel

Die Teilnehmer kennen die OWASP TOP 10 Schwachstellen und Gegenmassnahmen. Sie können einschätzen, welche Risiken hinter den jeweiligen Schwachstellen stehen und was für Auswirkungen diese auf eine Applikation, das unterliegende System und die Benutzer haben können. Zu jedem Angriff wie SQL Injection, XSS, XSRF oder Authorization Bypass gibt es Theorieinhalte sowie Laborübungen. Zudem werden die Fähigkeit für Self-Assessments und die wichtigen Grundlagen von HTTP/HTTPS geschult.

Die Übungen werden online auf www.hacking-lab.com absolviert. Die Laborumgebung steht den Teilnehmern auch nach Kursende während eines Monats zur Verfügung.

Abgrenzung: Der Kurs ist auf den Web Layer fokussiert. Nessus, Nmap und Vulnerability Scanning sind nicht Bestandteile dieses Kurses. Der Kurs ist zudem Grundlage für das Seminar Web Application Security Advanced, welches sich mit den Themen Web 2.0, HTML5, Advanced JavaScript, AngularJS, Cross-Domain Zugriffe und Authentisierungs-Frameworks beschäftigt.

 

Highlights aus dem Programm

  • Einführung in HTTP/S, Cookies, Sessions
  • Rechtliche Rahmenbedingungen
  • OWASP TOP 10
  • Tool Einführung: HTTP/S Aufzeichnung und Analyse
  • Authentication & Authorization Bypass
  • Session Handling
  • Stored/Reflected Cross-Site Scripting (XSS)
  • SQL Injection
  • Input- & Output-Validierung
  • Web Application Firewall
  • Cross-Site Request Forgery (XSRF)
  • URL Redirection Attacke
  • Security Misconfiguration

Zielgruppe

Security Officers, Web Entwickler

Voraussetzung

  • Vertrautheit mit der Linux Kommandozeile
  • Grundkenntnisse des HTTP Protokolls
  • Grundlegende Kenntnisse der Komponenten einer Webanwendung
  • Programmierkenntnisse von Vorteil

AGENDA

Security Training: Social Engineering

Tauchen Sie ein in die Welt des Social Engineering und lernen Sie die vielseitigen Methoden, Tools und Tricks kennen und verstehen. Weiterlesen

it-sa 2020

Europas führende Fachmesse für IT-Sicherheit findet vom 06. - bis 08. Oktober 2020 im Messezentrum Nürnberg (DE) statt. Reservieren Sie bereits heute... Weiterlesen

KOMPLETTE agenda

aktuelles

Sicherheitsrisiken erkennen und reduzieren

Im «KMU Magazin» gibt Security Analyst Fabio Poloni Tipps, wie KMU sich gegen Cyberangriffe wappnen können.  Weiterlesen

Schwachstelle im Windows Task Scheduler

Sylvain Heiniger hat eine Schwachstelle im Windows Task Scheduler identifiziert. Weiterlesen

Ransomware-Attacke: Datendiebe erpressen Schweizer Unternehmen

Die Schweizer Herstellerin von Schienenfahrzeugen Stadler Rail AG wurde Opfer einer Cyber Attacke. Das Vorgehen der Angreifer sei typisch, sagt... Weiterlesen

ArCHIV

Compass Security Blog

Relaying NTLM authentication over RPC

Since a few years, we - as pentesters - (and probably bad guys as well) make use of NTLM relaying a lot for privilege escalation in Windows networks. In this article, we propose adding support for... mehr

Reversing a .NET Orcus dropper

In this blog post we will reverse engineer a sample which acts as downloader for malware (aka a “dropper”). It is not uncommon to find such a downloader during DFIR engagements so we decided to take a... mehr

ZUM BLOG