Webapplikation sicher entwickeln – Secure Coding

Überblick:

• Dauer: 3 Tage
• Sprache: Deutsch (Kursmaterial ist Deutsch)

Kursziele
Ziel ist es, die Entwickler über die häufigsten und gefährlichsten Programmierfehler bei der Entwicklung von Webanwendungen zu unterrichten und TesterInnen die notwendigen Kenntnisse zur Prüfung sicherheitsrelevanter Anwendungen zur Verfügung zu stellen. Über die reine Vermittlung von Wissen hinaus steht das Schärfen des Sicherheitsbewusstseins der EntwicklerInnen im Mittelpunkt. Die theoretischen Konzepte des Kurses werden durch viele Live-Demos praktisch veranschaulicht. Dies gewährt Einblicke in die Arbeitsweise typischer Hacker, zeigt, wie einfach sich gewisse Angriffe dank ausgereifter Hackingtools realisieren lassen und zeigt die oft unterschätzten tatsächlichen Auswirkungen von Sicherheitslücken. Ziel ist es, die EntwicklerInnen von der Notwendigkeit eines sicheren Programmierstils zu überzeugen und ein Bewusstsein zu schaffen, das die Softwaresicherheit unabhängig von gerade aktuellen und im Kurs erläuterten Angriffsmethoden erhöht.

Zielgruppe
Der Kurs richtet sich an EntwicklerInnen und TesterInnen von Webapplikationen ohne besondere Vorkenntnisse in der sicheren Entwicklung.

Inhalt
Der Kurs vermittelt die typischen und gefährlichsten Sicherheitsschwachstellen in modernen Webapplikationen, unter anderem die
laut der OWASP-Organisation die gefährlichsten und am häufigsten zu findenden Sicherheitsschwachstellen.
Die KursteilnehmerInnen probieren die behandelten Hacker-Angriffe und Gegenmaßnahmen dabei selbst praktisch aus. Dazu ist es notwendig, dass KursteilnehmerInnen ihre eigenen
Laptops mitnehmen. In einer Übungsumgebung kann so das Erlernte praktisch umgesetzt werden, besprochene Angriffe selbst ausprobiert werden und Schutzmechanismen selbst entwickelt werden. KursteilnehmerInnen lernen die typische Arbeitsweise von Hackern sowie
verfügbare Hacking-Tools kennen, um später sichere Webapplikationen entwickeln zu können.
Der Kursinhalt ist dabei unabhängig von einer bestimmten Programmiersprache, da sich
die Angriffsszenarien für alle modernen Webapplikationen (Java, .NET, PHP, Python, Perl
etc.) ähneln. Sicherheitsschwachstellen, die nur in systemnahen Code (C/C++) zu finden
sind, wie zum Beispiel Buffer Overflows, Integer Overflows, Format String Vulnerabilities
werden in diesem Kurs nicht behandelt. Codebeispiele im Kurs sind in PHP, JAVA oder Pseudocode gehalten.

Aus dem Inhalt:
● Information Disclosure
● Cross-Site-Scripting
● SQL-Injections
● OS Command Injections
● Session Hijacking
● Session Authentication
● Cross-Site Request Forgery
● Unzureichende Sicherheitskonfiguration
● Unsichere Speicherung sensibler Informationen
● Unzureichende Rechteüberprüfung auf URLs
● Unzureichender Schutz auf der Transportschicht
● Open Redirects
● Sicherer Fileupload
● SSL-Angriffe, Gegenmaßnahmen
● Passwörter sicher speichern
● Ajax Security
● Advanced Cross-Site Scripting/Malicious Javascript
● Command & Control mit Javascript
● CSS History Hack
● Data URI
● Sicherheitskonzepte/Sichere Architektur

Abschluss
Sie erhalten eine Teilnahmebestätigung für den Kurs.

Hinweise
Sprache: Deutsch (Kursmaterial in Deutsch)
Der Kurs wird als »Bring your own laptop«-Kurs
geführt. Es wird erwartet, dass KursteilnehmerInnen ihre eigenen PCs mitbringen, um sich auf
diese Art aktiv mit dem Kursinhalt auseinanderzusetzen. Theoretisch beschriebene Themen
werden so von den KursteilnehmerInnen selbst in der Praxis ausprobiert.

Der Referent
Ulrich Bayer arbeitet als Senior Security Analyst bei SBA
Research gGmbH und ist dort unter anderem für die Durchführung von Sicherheitsüberprüfungen sowie das Abhalten von Security-Schulungen verantwortlich. Davor arbeitete er als Projektassistent auf der TU Wien und forschte und programmierte auf dem Gebiet der Malware-Analyse.