IT-Sicherheit für Webentwickler: virtueller Zwei-Tage-Workshop

Eckdaten

Zielgruppe: Webentwickler, Softwareentwickler, CTOs, technische Abteilungsleiter und technische Consultants | Dauer: 2 Tage | 9:00–17:00 Uhr | Trainer: New Elements GmbH | Ort: online | Teilnehmerzahl: 4–12

Seminarbeschreibung

Ziele

Ziel dieses Seminars ist es, umfassend auf die Sicherheits-Anforderungen des Entwickler-Alltags vorzubereiten, damit teilnehmende Entwickler nicht nur um die Gefahren Bescheid wissen, sondern in Zukunft selbstständig Sicherheitslücken erkennen und vermeiden können.

Diese Schulung ist das Destillat eines IT-Security-Studiums, zig-tausenden Seiten Fachliteratur, unzähligen Stunden Weiterbildung, sowie jahrzehntelanger Erfahrung in genau diesem Gebiet, heruntergebrochen auf die Anforderungen von Softwareentwicklern im Web. Sparen Sie sich und Ihrem Team diese Zeit und lernen Sie in kürzest möglicher Zeit alles, was Sie zur täglichen Arbeit brauchen, um sichere Webanwendungen zu schreiben. Die Inhalte decken dabei ein solch breites Feld ab, dass Sie das Thema Web-Security-Weiterbildung für die nächsten Jahre getrost abhaken können.

Themen werden verständlich erklärt und demonstriert. Am Ende werden die umfassenden Inhalte auf ein paar wenige Prinzipien heruntergebrochen, die in der täglichen Entwicklerarbeit leicht zu berücksichtigen sind. Wenn Entwickler das Gelernte in ihrer Arbeit umsetzen, ist entstehender Code nahezu unhackbar. Sie werden überrascht sein, was alles möglich ist.

Zielgruppe

Zielgruppe dieser Schulung sind IT-Fach- & -Führungskräfte (Softwareentwickler, CTOs, technische Abteilungsleiter und technische Consultants), zu deren Aufgaben es zählt, Webapplikationen im Frontend (JavaScript, HTML, CSS) oder Backend (z.B. via Java, Python, PHP, node.js, C#, Ruby) umzusetzen, solche Anwendungen zu konzipieren oder technische Hintergründe zu bewerten. Dementsprechend betrifft dies auch Unternehmen, die diese Entwicklungsleistung am Markt anbieten oder in-house verwenden.

Voraussetzungen

Teilnehmer sollten über IT-Basiskenntnisse, Grundlagen der Basis-Webtechnologien insb. HTTP, HTML, JavaScript Basics, sowie idealerweise eine dynamische Backendsprache ihrer Wahl verfügen. Hinsichtlich Programmierkenntnissen sind Einsteiger-Niveau oder in der Vergangenheit einmal damit zu tun gehabt zu haben ausreichend.

Agenda der IT-Schulung

IT-Security Grundlagen

• Hashing
• Verschlüsselung
• Encoding
• HMAC
• Post-Quantum-Cryptography
• Zertifikaten
• Authentication & Authorization
• wichtige Algorithmen & Prinzipien
• Protokolle
• Handlungsempfehlungen bei entdeckten Angriffen
• uvm.

Sicherheitskonzepte in Webanwendungen

• Same Origin Policy
• Cookie-Sicherheit
• HTTP-Sicherheit
• richtiger Einsatz sicherheitsrelevanter HTTP-Header
• Content Security Policy
• Transportverschlüsselung
• Umgang mit Captchas
• Angriffserkennung mittels Logging
• Monitoring & Alerting
• richtiger Einsatz der Two-Factor-Authentication
• JWT
• OAuth2
• WebAuthn
• Honeypots
• uvm.

Praktische Anwendung der Sicherheitskonzepte

• Wie man Datenintegrität sicher stellt, selbst wenn diese
  • über unsichere Kanäle laufen
  • den Kommunikationsweg absichert
  • Anwendungen mehrstufig schützt
  • Passwörter sicher speichert und
• Worauf man achten muss bei einer
  • Authentifizierungs-implementierung
  • Einsatz eines Web-Frameworks
• Sichere Implementierung von
  • Formularen und Datei-Uploads
  • Denial-of-Service-Absicherungsstrategien
  • Sicherheitsmaßnahmen für das Frontend und
  • sichere API-Entwicklung u.a. mit REST-Services

Angriffe auf Webanwendungen

• OWASP Top-10
• Information Disclosure
• Man-in-the-Middle Attacken
• Brute-Forcing
• Session-Hijacking
• XSS
• CSRF
• Click-Jacking
• diverse Injection-Attacken (z.B. SQL-, Command-, SMTP-, Host-Header-Injection)
• Local & Remote File Inclusion
• DoS
• IP-Spoofing
• Web Cache Poisoning
• Replay-Attacken
• Google-Hacking
• Social Engineering-Abwehr im Application Layer
• Kali-Linux mit den wichtigsten Werkzeugen
• uvm.

Absicherung von Webanwendungen

• im Zuge der vorgestellten Angriffsvektoren

Einführung in das Prüfen auf Schwachstellen einer Webanwendung

• manuelle und automatische Werkzeuge
• statische und dynamische Analyse zum Scannen auf Sicherheitslücken

Sichere Softwareentwicklung

• Sicherheit im kompletten Software-Entwicklungsprozess
• Architektur
• Security Software Testing inkl. konkreten Test-Empfehlungen
• Entwickler-Rechner sicher halten
• Supply-Chain-Attacken verhindern
• Bewertung von Sicherheits-Risiken
• Tipps für den Entwickleralltag wie z.B. der Auswahl von Dependencies

Der sichere Webserver als Einführung

• Datenübertragung
• mehrstufiges Hardening
• Beachtenswertes beim Hosting
• konkrete Software-Empfehlungen für Linux-Server

Schulungsunterlagen

nach Absprache