Hands-on Entwicklerschulung

Die Sicherheit von Webanwendungen ist nach wie vor ein Thema, das für die IT-Sicherheit von Daten und Unternehmen von großer Bedeutung ist. Ein kleiner Programmierfehler und schon können Hacker aus dem Internet den Webserver übernehmen, auf die Datenbank zugreifen oder über die Anwendung auf interne Dienste zugreifen. Große Projekte und Organisationen wie das Open Web Application Security Project (OWASP, https://owasp.org/) liefern heutzutage frei zugänglich große Mengen an Materialien und Informationen zu Sicherheitsproblemen in der Webentwicklung. Trotzdem zeigen unsere Penetrationstests auf Webanwendungen, dass Schwachstellen von vor 10 Jahren, wie Cross-Site Scripting oder SQL Injections, nach wie vor ein Problem darstellen. Deshalb folgt NSIDE in diesem Hands-on Web Security Workshop nicht dem Ansatz „wie entwickle ich sichere Software“, sondern lässt die Teilnehmer selbst erlernen und erarbeiten, welche Folgen Schwachstellen haben können und was für die Ausnutzung dieser wichtig ist. Durch Einnehmen der Perspektive eines Hackers erlauben wir selbst Security-erfahrenen Webentwicklern, neue Aspekte der Schwachstellen kennenzulernen und durch ein komplettes Verständnis der Schwachstellen diese zukünftig auch in komplexen Situationen zu vermeiden.

Was sollen die Teilnehmer in der Schulung lernen?

In der Schulung werden bekannte und weniger bekannte Schwachstellen, die im Web aus den OWASP Top 10 und weitere zu finden sind, erklärt und deren Bedrohung praktisch erarbeitet. Anders als viele andere Websicherheits-Workshops fokussiert dieser sich auf das Ausnutzen der Schwachstellen, um diese auch wirklich zu verstehen – mit allem, was dazugehört: die Teilnehmer lernen anhand einer zur Verfügung gestellten, verwundbaren Anwendung Programmier-, Konfigurations- und Architekturfehler zu identifizieren und auszunutzen. Durch den Aspekt der Ausnutzung von Schwachstellen wird effektiv verdeutlicht, welche Probleme bestimmte Programmierfehler verursachen können, und worauf geachtet werden muss, um eine Anwendung sicher zu gestalten. Die identifizierten Fehler werden im Anschluss diskutiert, Lösungen erarbeitet und die Fehler behoben. Die Schulung enthält zu fast jeder OWASP Top 10 Schwachstellenklasse mindestens eine Hands-on-Aufgabe, bei der die Teilnehmer mehrere Aufgaben lösen müssen, während der Trainer unterstützt.

Was sind die Inhalte?

Die Themen decken unter anderem die folgenden Punkte ab:

  • Nötige Theorie zu Kernkonzepten im Web (Zustandslosigkeit, Same-Origin Policy, etc.)
  • Erklärung von Schwachstellen der OWASP Top 10
  • Hands-on: Identifikation von Schwachstellen der OWASP Top 10
  • Hands-on: Exploitation/Ausnutzen aller identifizierter Schwachstellen, um Effekte und Bedrohungen der Schwachstellen selbst erleben zu können
  • Hands-on: Eskalation von Schwachstellen: Was ist mit manchen Schwachstellen tatsächlich möglich?
  • Hands-on: Anschließendes Beheben der Schwachstellen und Verifikation des Fixes
  • Inhalte zu Secure Development Lifecycle (SDL)

Was ist die Zielgruppe (Vorwissen etc.)?

Dieses Training richtet sich an vor allem Webentwickler und Systemarchitekten, denen das sichere Entwickeln von Software wichtig ist. Hierfür sind Programmierkenntnisse notwendig, und Java und Java Spring-Kenntnisse werden empfohlen – sind aber optional.

Wie lange soll die Schulung dauern?

Dauer: 3 Tage