Best Practices für sichere Web-Anwendungen

Sicherheitslücken in Web-Anwendungen erkennen, schließen und vermeiden!

Bastian Braun, Thomas Schreiber

Kurzinformationen

Detailinformationen

Die weitaus größte Zahl der Angriffe auf IT-Systeme zielt heutzutage auf Web-Anwendungen und Web-Server. Ein wesentlicher Grund dafür ist die Tatsache, dass nach wie vor die meisten Web-Awendungen ohne ausreichende Vorgaben von Sicherheitsanforderungen implementiert werden und Schwachstellen auf Anwendungsebene entsprechend häufig anzutreffen sind.

Das Seminar

In diesem 2-tägigen Intensivseminar gibt der Experte Thomas Schreiber eine Einführung in die Web Application Security und vermittelt ein in sich geschlossenes, umfassendes Konzept zur Herstellung nachhaltiger Sicherheit bei Web-Anwendungen, Web-Auftritten und Web-Servern. Das Seminar basiert auf den mittlerweile zum Standard gewordenen Werken des Open Web Application Security Project (OWASP) und - im deutschsprachigen Raum - dem Maßnahmenkatalog und Best Practices zur Sicherheit von Web-Anwendungen des Bundesamt für Sicherheit in der Informationstechnik (BSI) – sowie den über zehn Jahren Erfahrung des Referenten bei der praktischen Umsetzung der Web Application Security.

Bei den zahlreichen Beispielen und Live-Demos kommen frei verfügbare Tools zum Einsatz, die der Teilnehmer im Arbeitsalltag zur Vertiefung des Verständnisses und für Sicherheitsanalysen eigener Web-Anwendungen nutzen kann.

Der Seminarinhalt

  • Welchen Bedrohungen ist meine Web-Anwendung ausgesetzt?

Schwachstellen und aktuelle Angriffsformen im Web werden in ihrer Funktionsweise erklärt und an Live-Beispielen veranschaulicht. Im Zentrum stehen die Probleme, die aufgrund ihrer Häufigkeit oder wegen des erhöhten Gefahrenpotentials ein bevorzugtes Handeln erfordern. Die OWASP Top-10 und SANS 25 stehen dabei Pate. Damit das Bedrohungespotential einer Schwachstelle für die eigenen Anwendungen besser beurteilt werden kann, wird dem Teilnehmer das notwendige Verständnis über deren Funktionsweise vermittelt.

  • Mit welchen Maßnahmen begegne ich den einzelnen Bedrohungen?

Zu den meisten Schwachstellen lassen sich Lösungsprinzipien und Best Practices nennen, bei deren Umsetzung das jeweilige Problem an der Wurzel bekämpft wird. Die Darstellung erfolgt in einer weitgehend programmiersprachenübergreifenden Weise. Der Teilnehmer lernt, wie er Sicherheitslücken vermeidet und erhält das notwendige Grundverständnis, um die für die verschiedensten Programmiersprachen, –techniken und –frameworks verfügbaren Sicherheitslibraries- und Funktionen in seinem technischen Umfeld richtig anwenden zu können.

  • Wie teste ich die Sicherheit mit Web-Anwendung?

Ein wesentlicher erster Schritt ist die Feststellung des bereits bestehenden Sicherheitsgrades der eigenen Web-Anwendungen. Der Teilnehmer lernt das für sichere Web-Entwicklung und Penetrationstests wirkungsvollste Werkzeug kennen, nämlich den frei verfügbaren Analyse-Proxy burp (http://portswigger.net/).

  • Wie und wo kann ich Schutzmaßnahmen am wirkungsvollsten ansetzen?

Die Prozesskette von der Planung einer Web-Anwendung über die Entwicklung bis hin zu Deployment und Betrieb wird durchlaufen, und es werden die jeweiligen Ansatzpunkte und zur Verfügung stehenden Mittel für die Verbesserung der Sicherheit aufgezeigt. Dabei wird auf Vor- und Nachteile sowie Kostengesichtspunkte der jeweiligen Ansatzpunkte eingegangen. Dem Teilnehmer werden Beurteilungskriterien an die Hand gegeben, um Schutzmaßnahmen für das eigene Unternehmen an den richtigen Stellen ansetzen zu können

  • Wie helfen mir kommerzielle und freie Tools und wo liegen ihre Grenzen?

Es wird ein Überblick über die aktuelle Toollandschaft im Bereich der Web Application Security gegeben und dargestellt, was jenseits der Versprechen der Hersteller zu erwarten ist. Basierend auf Erfahrungen aus dem praktischen Einsatz werden konkrete Empfehlungen für die Auswahl von Tools abgeleitet.

Referenten: Die Schulung wird wechselweise von Herrn Schreiber oder Herrn Braun durchgeführt.

Dr. Bastian Braun

Dr. Bastian Braun ist Senior Consultant IT-Security bei mgm security partners in München. Nach seinem Abschluß als Diplom-Informatiker (RWTH Aachen, mit Auszeichnung) 2006 schloß er sich der Forschungsgruppe "Sicherheit in Verteilten Systemen" an der Universität Hamburg an. Im Jahr 2008 folgte der Wechsel an das "Institut für IT-Sicherheit und Sicherheitsrecht" der Universität Passau, wo er 2015 seine Forschungsarbeiten mit dem Titel "Web-based Secure Application Control" und der Ernennung zum Doktor der Naturwissenschaften abschloß. Dr. Braun ist seit über 10 Jahren als Seminarleiter tätig, untersucht als Consultant regelmäßig Web-Anwendungen auf ihre Sicherheit und berät Unternehmen bei der Einführung von Maßnahmen zur Erhöhung des Sicherheitsniveaus ihrer Anwendungen.

weiter >

Dipl. Inf. Thomas Schreiber

Thomas Schreiber ist Dipl.-Informatiker und Geschäftsführer der mgm security partners GmbH. Er beschäftigt sich mit Sicherheitsaspekten von Web-Aanwendungen und gehörte zu den Ersten in Deutschland, die sich dem jungen Gebiet der Web Application Security verschrieben haben. Herr Schreiber hat Hunderte von Web-Anwendungen auf ihre Sicherheit hin untersucht und berät eine Reihe großer Unternehmen bei der Einführung der Web Application Security. Er ist Co-Autor des vom Bundesamt für Sicherheit in der Informationstechnik (BSI) herausgegebenen "Maßnahmenkatalog und Best Practices für die Sicherheit von Web-Anwendungen".

weiter >

Seminarziel

In diesem 2-tägigen Intensivseminar gibt der Experte Thomas Schreiber eine Einführung in die Web Application Security und vermittelt ein in sich geschlossenes, umfassendes Konzept zur Herstellung nachhaltiger Sicherheit bei Web-Anwendungen, Web-Auftritten und Web-Servern. Insgesamt wird in diesem Seminar der Bogen über alle wichtigen Aspekte der Web Application Security gespannt. Die Teilnehmer erhalten konkrete und direkt umsetzbare Leitfäden:

  • zur Beurteilung der Sicherheit von Web-Anwendungen, 
  • für die Entwicklung von Web-Anwendungen, 
  • zur unternehmensweiten Verbesserung der Web Application Security

Zielgruppe

  • Architekten
  • Anwendungsentwickler
  • Projektleiter
  • fachliche oder technisch Verantwortliche
  • Sicherheitsbeauftragte
  • Administratoren

Warum Sie dieses Seminar besuchen sollten:

Nach dem Seminar wisssen Sie,

  • welchen Gefahren Ihre Web-Anwendungen ausgesetzt sind
  • wie Sie die Sicherheit Ihrer Web-Anwendungen überprüfen können 
  • wie Sie Ihre Web-Anwendungen wirksam vor Angriffen schützen

Unsere Teilnehmerstimmen sagen: 

  • das Seminar gibt einen sehr umfassender Überblick
  • eine anschauliche Darstellung aller potentiellen Schwachstellen
  • der Referent ging zu jeder Zeit auf Fragen ein

Voraussetzungen

Für diesen Seminarbesuch sind keine besonderen Voraussetzungen notwendig, außer die Zugehörigkeit zu einer der aufgeführten Zielgruppen.

Sprachen

Seminar: Deutsch

Unterlagen: Deutsch

Methode

  • PowerPoint-Präsentation
  • zahlreiche aktuelle Beispiele
  • Fragemöglichkeiten 

Informationen

Unsere Leistungen - Sie erhalten:

  • Ihren persönlichen Schulungsordner mit Block, Kuli und den ausgedruckten Präsentationsfolien/Schulungsunterlagen
  • wahlweise auch elektronisch als pdf-Datei zum Download (bei Seminaren mit Genehmigung durch den Referenten)
  • Ihr persönliches Teilnehmerzertifikat
  • leckeres Catering: Begrüssungskaffee, alle Tagungsgetränke, täglich 2 Kaffeepausen, Mittagessen mit Getränken
  • unsere Welcome-Email mit Informationen zur Anreise und organisatorischen Hinweisen, ca. 1 Woche vor Schulungsbeginn
  • Ein 1-jähriges kostenloses Abonnement der Fachzeitschrift JavaSPEKTRUM oder OBJEKTspektrum
  • als Seminarteilnehmer sind Sie OOP-Alumni und erhalten 20% Rabatt auf den Teilnehmerpreis unserer jährlichen Fachkonferenz OOP!
  • immer wieder attraktive Sonderkonditionen für SIGS DATACOM Seminare

Ihre Frühbucher-Vorteile gültig, bei einer Anmeldung bis 4 Wochen vor Seminarbeginn!

  • "sleep & train": 1 Übernachtung + Frühstück im Tagungshotel inklusive!
    alternativ, wenn keine Hotelübernachtung benötigt wird:
  • "travel & train": 100 € Rabatt

Gruppenrabatt

Bei einer gleichzeitigen Anmeldung von 3-4 Mitarbeitern erhalten Sie 5% Gruppenrabatt, ab 5 Mitarbeitern erhöht sich der Gruppen-Rabatt auf 10%!

Inhouse-Seminare

Dieses Seminar ist auch als Inhouse-Schulung durchführbar. Schon ab einer kleinen Teilnehmerzahl von mind. 3-4 Mitarbeitern kalkulieren wir Ihnen gerne ein kostengünstiges Inhouse-Trainings-Angebot.

TIPP: Das Seminar "Best Practices für sichere Webanwendungen" kann als Inhouse-Seminar auch 3-tägig, inklusive praktischen Übungen, durchgeführt werden!

NRW-Bildungsscheck

SIGS-DATACOM ist zugelassener Bildungspartner des Landes NRW. Ihren NRW-Bildungsscheck für unsere Seminare einzulösen ist möglich! Weitere Informationen erhalten Sie unter: NRW Bildungsscheck!!



Empfehlung an diese E-Mail-Adresse senden:


 

 

 

Ihre eigenen Angaben:

 

 

 

 

Diese Seite empfehlen Sie weiter: