Anmeldung zum Seminar
Wenn Sie an diesem Seminar teilnehmen wollen, füllen Sie folgendes Formular aus.Die mit * gekennzeichneten Felder müssen ausgefüllt werden.
Die Kenntnis der Angriffstechniken gegen im Internet erreichbare Server und Software ist die Grundvoraussetzung für die erfolgreiche Abwehr von Hackern. Das Seminar Web Hacking I ist so ausgelegt, dass es jedem, auch nicht technisch versierten, einen möglichst einfachen und umfassenden Einstieg in die Thematik Hacking und IT-Sicherheit bietet. Anhand praktischer Beispiele, Illustrationen, Erfahrungsberichten und Übungen wird das notwendige Know-how aufgebaut und hilfreiche Tools vorgestellt, um Vorgehensweisen von Hackern zu verstehen, die einzelnen, erforderlichen Schichten kennenzulernen und effizient, unter Berücksichtigung der Angriffsphasen abzusichern und direkt erste Sicherheitskonzepte umsetzen zu können. Das Seminar geht dabei auf alle wesentlichen Komponenten ein, die im Zusammenspiel mit der Entwicklung und dem Betrieb vom im Internet erreichbaren Anwendungen und Servern verbunden sind (Netzwerk-, System-/Server- und Anwendungssicherheit).
Einführung
- Grundlagen der IT-Sicherheit
- Gründe für unsichere Software
- Sicherheitsziele
- Sicherheitsobjekte
- Angreifer identifizieren
- Angriffsschritte
Cyber Kill Chain
- Betrachtung der 7 Phasen
- Identifikation der Angriffsziele
- Phasen eines Angriffs
Anwendungsprotokolle
- Protokolle im Web
- Spezifikationen
- Schwächen
Kryptologie
- Vorstellung der kryptographischen Varianten
- Steganografie
- Verstehen von Algorithmen und deren Arbeitsweisen
- Kryptographie vs. Kryptoanalyse
- Kerckhoffs’sche Prinzip
- Verschlüsselungsarten
- HTTPS und seine Schwächen
- Angriffe auf die Kryptographie
Authentifizierung
- Einführung
- Umgang und Sicherheitskonzepte mit und für Passwörter
- Sitzungsverwaltung
- REST und JSON Web Token (JWT)
Angriffstechniken
- Angriffe auf Cookies und Sessions
- Clickjacking
- Cross-Site-Request-Forgery (XSRF)
- Brute-Force
- HTTP Parameter Pollution
- Cross-Site-Scripting
- Injections
Schutzmaßnahmen
- Einführung
- Zero Trust Principle
- Least Machine Principle
- Least Privilege Principle
- Trust Boundary
- Threat Modeling
- Phasen der Cyber Kill Chain
- Kryptologie
- Angriffstechniken
- Informationsvalidierung
- Hardening
- Failing Securely
- Secure Logging
Autorisierung
- Horizontal vs. Vertikal
- Privilege Escalation
- Unauthorized Object Access
- Least Privilege Principle
- Direct vs. Indirect Reference
- Race Conditions
- Session Poisoning
- Mitigation
Sichere Softwarentwicklung
- Einführung
- Definition der Anforderungen
- Sichere Architektur
- Abhängigkeiten prüfen
- Secure Coding
- Security Code Review
- Sicherheitsstandards und Überprüfung mit ASVS
- Sicherheitstests und Testarten
Informieren
- Nützliche Quellen
- Nutzen und Verwendung der Quellen