Secure Coding mit Java/Jakarta EE – Entwicklung einbruchssicherer Webanwendungen unter Java/Jakarta EE

Mirko Richter

Kurzinformationen

Auf Anfrage
Auf Anfrage

Detailinformationen

Web-Anwendungen werden in Unternehmen zunehmend für die Abbildung kritischer Geschäftsprozesse eingesetzt. Dabei werden über das Web-Portal eine Vielzahl von Diensten für Kunden und Lieferanten bereitgestellt. Die Sicherheit von Web-Anwendungen gewinnt daher zunehmen an Bedeutung.

Anwendungssicherheit wird allerdings häufig vor allem mit den Themen Authentisierung, Autorisierung und Verschlüsselung in Verbindung gebracht. Dabei lassen sich jedoch heutige Angriffe auf Web-Anwendungen vielfach auf Fehler in der Datenvalidierung oder im Session-Management zurückführen.

Das Seminar

In diesem Seminar vermittelt der Referent der Zielgruppe das Wissen, um Web-Anwendungen nachhaltig sicher zu entwickeln:

  • Wie Angriffe gegen webbasierte Anwendungen erfolgen
  • Wie sich Fehler bereits in der Entwurfs- und Implementierungsphase vermeiden lassen
  • Einsatz von Java Security APIs, Frameworks und anderer hilfreicher Security-Tools im Entwickleralltag
  • Identifikation und Behandlung von Schwachstellen in bestehenden Anwendungen

Dieses Seminar setzt dabei auf anerkannte Best Practices und langjährige Erfahrungen in diesem Bereich auf. Es kann dabei auf spezifische Wünsche der Seminarteilnehmer eingegangen werden.

Seminarinhalt

Der Inhalt orientiert sich an den in der OWASP Top Ten gelisteten Schwachstellen, beschränkt sich jedoch nicht nur darauf.

  • Generelle Probleme von Internet-Architekturen
    • Das HTTP-Protokoll
    • Session-Management & Cookies
    • Enkodierungen
  • Ausnutzung von Schwachstellen in Java-Code
    • Wie werden Schwachstellen wie Cross-Site Scripting (XSS), SQL-Injection, Session Riding (CSRF), Privilege Escalation und viele weitere von Angreifern ausgenutzt?
    • Welche Konsequenzen ergeben sich daraus für die Entwicklung?
  • Entwicklung sicher Web-Anwendungen unter Java/Jakarta EE
    • Prinzipien sicherer Anwendungsentwicklung
    • Eingabe- und Ausgabevalidierung
    • Authentisierung
    • Session-Management
    • Access Controls
    • Einsatz von Kryptographie
    • Fehlerbehandlung und Logging
    • Absicherung der Bussiness-Logik
  • Auditierung von Java-Code
    • Vorgehensweise bei semi-automatischer Source-Code-Analyse
  • Weitere Kursinhalte
    • Sicherheit in Software-Entwicklungsprozessen
    • Software Security Development Lifecycle (SDLC)
    • Architektur & Deploymentstrategien
    • Einsatz von MVC-Frameworks (z.B. Struts, Spring MVC)

 

Richter, Mirko

Mirko Richter ist Security-Analyst, SSDLC-Berater und -Trainer. Er beschäftigt sich seit Mitte der 90er-Jahre mit Softwareentwicklung, -architektur und -sicherheit. Er ist Sprecher
auf Konferenzen und Autor mehrerer Fachartikel.

Seminarziel

Alle Seminarteilnehmer erhalten in diesem Seminar ein grundlegendes Verständnis der Gefährdungen für Web-Anwendungen allgemein und sind nach dem Seminarbesuch in der Lage, sichere Web-Anwendungen unter Java/Jakarta EE zu entwerfen und umzusetzen. 

Zielgruppe

  • Softwareentwickler
  • Java-Entwickler
  • Architekten
  • QA-Verantwortliche/-Umsetzer

Warum Sie dieses Seminar besuchen sollten: 

  • Ein Seminar von Softwareentwicklern für Softwareentwickler 
  • Der Referent bringt Erfahrung von Hunderten analysierter Web-Anwendungen mit
  • Dieses Seminar vermittelt den neuesten Stand der Web Application Security

Unsere Teilnehmer sagen:

  • "... es bestand während der gesamten Seminarzeit die Möglichkeit, individuelle Fragen beantworten zu lassen"
  • "... positiv: kleine Gruppe"

 

Voraussetzungen

  • Allgemeine Java-Programmierkenntnisse
  • Kenntnisse zur Web-Entwicklung (HTML, JSP, Servlets)
  • Der vorhergehende Besuch des SIGS-DATACOM-Seminars "Best Practices für sichere Web-Anwendungen" ist hilfreich, aber nicht erforderlich

Sprachen

Seminar: Deutsch

Unterlagen: Englisch

Methode

Vortrag, Präsentation, Diskussion
 

Informationen

Unsere Leistungen beim Präsenzseminar - Sie erhalten:

  • Schulungsunterlagen als Printversion oder PDF (bei Seminaren mit Genehmigung durch den Referenten)
  • Ihre persönliche Teilnahmebescheinigung   
  • Verpflegung während des Seminars
  • ein einjähriges kostenloses Abonnement der Fachzeitschrift JavaSPEKTRUM oder IT Spektrum
  • Als Seminarteilnehmer sind Sie OOP-Alumni und erhalten 20 % Rabatt auf den Teilnehmerpreis unserer jährlichen Fachkonferenz OOP!

Unsere Leistungen beim Onlineseminar Sie erhalten:

  • den Seminarvortrag und begleitende Seminarunterlagen
  • Ihre persönliche Teilnahmebescheinigung

Teilnehmer-Vorteile:

  • Frühbucher (Übernachtung): 2 Übernachtungen + Frühstück im Tagungshotel inklusive! (gültig, bei einer Anmeldung bis 4 Wochen vor Seminarbeginn)
    alternativ, wenn keine Hotelübernachtung benötigt wird:
  • Frühbucher: € 150 Rabatt (gültig, bei einer Anmeldung bis 4 Wochen vor Seminarbeginn)

Gruppenrabatt

Bei einer gleichzeitigen Anmeldung von 3 bis 4 Mitarbeitern erhalten Sie 5 % Gruppenrabatt, ab 5 Mitarbeitern erhöht sich der Gruppen-Rabatt auf 10 %!

Inhouse-Seminare

Dieses Seminar ist auch als Inhouse-Schulung durchführbar. Schon ab einer Teilnehmerzahl von 5 Mitarbeitern kalkulieren wir Ihnen gerne ein kostengünstiges Inhouse-Trainings-Angebot.

NRW-Bildungsscheck

SIGS-DATACOM ist zugelassener Bildungspartner des Landes NRW. Ihren NRW-Bildungsscheck für unsere Seminare einzulösen ist möglich! Weitere Informationen erhalten Sie unter:NRW-Bildungsscheck!!

Disclaimer

Wir sind für die eigenen Inhalte, die wir zur Nutzung bereithalten, nach den allgemeinen Gesetzen verantwortlich. Von diesen eigenen Inhalten sind Querverweise (externe Links) auf die von anderen Anbietern bereit gehaltenen Inhalte zu unterscheiden. Diese fremden Inhalte stammen nicht von uns und spiegeln auch nicht unsere Meinung wider, sondern dienen lediglich der Information. Wir machen uns diese Inhalte nicht zu eigen und übernehmen trotz sorgfältiger inhaltlicher Kontrolle keine Haftung für die Inhalte externer Links. Für den Inhalt der verlinkten Seite sind ausschließlich deren Betreiber verantwortlich.