Best Practices für sichere Webanwendungen – Sicherheitslücken in Webanwendungen erkennen, schließen und vermeiden!

Reinhard Böhme

Kurzinformationen

Auf Anfrage
Auf Anfrage

Detailinformationen

Die weitaus größte Zahl der Angriffe auf IT-Systeme zielt heutzutage auf Webanwendungen und Webserver. Ein wesentlicher Grund dafür ist die Tatsache, dass nach wie vor die meisten Webanwendungen ohne ausreichende Vorgaben von Sicherheitsanforderungen implementiert werden und Schwachstellen auf Anwendungsebene entsprechend häufig anzutreffen sind.

In diesem 3-tägigen Intensivseminar gibt unser Referent eine Einführung in die Web Application Security und vermittelt ein in sich geschlossenes, umfassendes Konzept zur Herstellung nachhaltiger Sicherheit bei Webanwendungen, Webauftritten und Webservern. Das Seminar basiert auf den mittlerweile zum Standard gewordenen Werken des Open Web Application Security Project (OWASP) und – im deutschsprachigen Raum – dem Maßnahmenkatalog und Best Practices zur Sicherheit von Webanwendungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) – sowie den über zehn Jahren Erfahrung des Referenten bei der praktischen Umsetzung der Web Application Security.

Bei den zahlreichen Beispielen und Live-Demos kommen frei verfügbare Tools zum Einsatz, die die Teilnehmer im Arbeitsalltag zur Vertiefung des Verständnisses und für Sicherheitsanalysen eigener Webanwendungen nutzen können.

Seminarinhalt:

1. Welchen Bedrohungen ist meine Webanwendung ausgesetzt?
Schwachstellen und aktuelle Angriffsformen im Web werden in ihrer Funktionsweise erklärt und an Live-Beispielen veranschaulicht. Im Zentrum stehen die Probleme, die aufgrund ihrer Häufigkeit oder wegen des erhöhten Gefahrenpotentials ein bevorzugtes Handeln erfordern. Die OWASP Top 10 und SANS 25 stehen dabei Pate. Damit das Bedrohungspotential einer Schwachstelle für die eigenen Anwendungen besser beurteilt werden kann, wird Teilnehmern das notwendige Verständnis über deren Funktionsweise vermittelt.

2. Mit welchen Maßnahmen begegne ich den einzelnen Bedrohungen?
Zu den meisten Schwachstellen lassen sich Lösungsprinzipien und Best Practices nennen, bei deren Umsetzung das jeweilige Problem an der Wurzel bekämpft wird. Die Darstellung erfolgt in einer weitgehend programmiersprachenübergreifenden Weise. Teilnehmer lernen, wie sie Sicherheitslücken vermeiden und erhalten das notwendige Grundverständnis, um die für die verschiedensten Programmiersprachen, -techniken und -frameworks verfügbaren Sicherheitslibraries und -Funktionen in ihrem technischen Umfeld richtig anwenden zu können.

3. Wie und wo kann ich Schutzmaßnahmen am wirkungsvollsten ansetzen?
Die klassische Prozesskette von der Planung einer Webanwendung über die Entwicklung bis hin zu Deployment und Betrieb wird genauso durchlaufen wie agile Prozesse, und es werden die jeweiligen Ansatzpunkte und zur Verfügung stehenden Mittel für die Verbesserung der Sicherheit aufgezeigt. Dabei wird auf Vor- und Nachteile sowie Kostengesichtspunkte der jeweiligen Ansatzpunkte eingegangen. Den Teilnehmern werden Beurteilungskriterien an die Hand gegeben, um Schutzmaßnahmen für das eigene Unternehmen an den richtigen Stellen ansetzen zu können

4. Wie helfen mir kommerzielle und freie Tools und wo liegen ihre Grenzen?
Es wird ein Überblick über die aktuelle Toollandschaft im Bereich der Web Application Security gegeben und dargestellt, was jenseits der Versprechen der Hersteller zu erwarten ist. Basierend auf Erfahrungen aus dem praktischen Einsatz werden konkrete Empfehlungen für die Auswahl von Tools abgeleitet.

  • Penetrationstesting-Tools
  • Codeanalyse-Tools
  • freie Tools 
  • Web Application Firewalls

Teilnehmer werden in die Lage versetzt, die Einsatzmöglichkeiten verschiedener Tools zur Web Application Security zu beurteilen.

5. Wie teste ich die Sicherheit meiner Webanwendungen?
Ein wesentlicher erster Schritt ist die Feststellung des bestehenden Sicherheitsgrades der eigenen Webanwendungen. Im Seminar wird dargestellt, wie ein Unternehmen auf effiziente Weise Aussagen über das bestehende Sicherheitsniveau erhält. Darunter Antworten auf Fragen wie:

  • Wie gehe ich bei einem Penetrationstest vor (Blackbox versus Whitebox)?
  • Was darf die Sicherheitsanalyse einer Webanwendung ("Penetrationstest") kosten?

Teilnehmer erfahren, welche Wege zur Sicherheitsanalyse eingeschlagen werden können, und erhalten konkrete Ratschläge zur Umsetzung.

Warum Sie dieses Seminar besuchen sollten:

Nach dem Seminar wissen Sie,

  • ... welchen Gefahren Ihre Webanwendungen ausgesetzt sind
  • ... wie Sie die Sicherheit Ihrer Webanwendungen überprüfen können 
  • ... wie Sie Ihre Webanwendungen wirksam vor Angriffen schützen

Unsere Teilnehmerstimmen

  • "... sehr umfassender Überblick"
  • "... anschauliche Darstellung aller potenziellen Schwachstellen"
  • ".... Referent ging zu jeder Zeit auf Fragen ein"

 

Böhme, Reinhard

Reinhard Böhme ist Penetrationstester bei der mgm security partners GmbH mit der Spezialisierung auf Web- und Mobile-Application- sowie Infrastruktur- und Host-Audits. Für die mgm ist darüber hinaus als Security-Trainer für Firmen aus dem In- und Ausland tätig.

Seminarziel

In diesem 3-tägigen Intensivseminar gibt der Referent eine Einführung in die Web Application Security und vermittelt ein in sich geschlossenes, umfassendes Konzept zur Herstellung nachhaltiger Sicherheit bei Webanwendungen, Webauftritten und Webservern. Insgesamt wird in diesem Seminar der Bogen über alle wichtigen Aspekte der Web Application Security gespannt. Die Teilnehmer erhalten konkrete und direkt umsetzbare Leitfäden:

  • zur Beurteilung der Sicherheit von Webanwendungen, 
  • für die Entwicklung von Webanwendungen, 
  • zur unternehmensweiten Verbesserung der Web Application Security

Zielgruppe

  • Architekten
  • Anwendungsentwickler
  • Projektleiter
  • Fachliche oder technisch Verantwortliche
  • Sicherheitsbeauftragte

 

Voraussetzungen

Für diesen Seminarbesuch sind keine besonderen Voraussetzungen notwendig, außer die Zugehörigkeit zu einer der aufgeführten Zielgruppen.

Sprachen

Seminar: Deutsch

Unterlagen: Englisch

Methode

  • PowerPoint-Präsentation
  • zahlreiche aktuelle Beispiele
  • Fragemöglichkeiten 

Informationen

Unsere Leistungen beim Präsenzseminar Sie erhalten:

  • Schulungsunterlagen als Printversion oder PDF
  • Ihre persönliche Teilnahmebescheinigung   
  • Verpflegung während des Seminars
  • ein 1-jähriges kostenloses Abonnement der Fachzeitschrift JavaSPEKTRUM oder IT Spektrum
  • Als Seminarteilnehmer sind Sie OOP-Alumni und erhalten 20 % Rabatt auf den Teilnehmerpreis unserer jährlichen Fachkonferenz OOP!

Unsere Leistungen beim Onlineseminar Sie erhalten:

  • den Seminarvortrag und begleitende Seminarunterlagen
  • Ihre persönliche Teilnahmebescheinigung

Teilnehmer-Vorteile:

  • Frühbucher (Übernachtung): 2 Übernachtungen + Frühstück im Tagungshotel inklusive! (gültig, bei einer Anmeldung bis 4 Wochen vor Seminarbeginn)
    alternativ, wenn keine Hotelübernachtung benötigt wird:
  • Frühbucher: € 150 Rabatt (gültig, bei einer Anmeldung bis 4 Wochen vor Seminarbeginn)

Gruppenrabatt:

Bei einer gleichzeitigen Anmeldung von 3 bis 4 Mitarbeitern erhalten Sie 5 % Gruppenrabatt, ab 5 Mitarbeitern erhöht sich der Gruppen-Rabatt auf 10 %!

Inhouse-Seminare

Dieses Seminar ist auch als Inhouse-Schulung durchführbar. Schon ab einer Teilnehmerzahl von 5 Mitarbeitern kalkulieren wir Ihnen gerne ein kostengünstiges Inhouse-Trainings-Angebot.

NRW-Bildungsscheck

SIGS DATACOM ist zugelassener Bildungspartner des Landes NRW. Ihren NRW-Bildungsscheck für unsere Seminare einzulösen ist möglich! Weitere Informationen erhalten Sie unter: NRW-Bildungsscheck!!

Disclaimer

Wir sind für die eigenen Inhalte, die wir zur Nutzung bereithalten, nach den allgemeinen Gesetzen verantwortlich. Von diesen eigenen Inhalten sind Querverweise (externe Links) auf die von anderen Anbietern bereit gehaltenen Inhalte zu unterscheiden. Diese fremden Inhalte stammen nicht von uns und spiegeln auch nicht unsere Meinung wider, sondern dienen lediglich der Information. Wir machen uns diese Inhalte nicht zu eigen und übernehmen trotz sorgfältiger inhaltlicher Kontrolle keine Haftung für die Inhalte externer Links. Für den Inhalt der verlinkten Seite sind ausschließlich deren Betreiber verantwortlich.