Zühlke – Empowering Ideas

Academy

Web Security Workshop

D10145

Security lernt man am besten in dem man selber hackt! Dieser Kurs vermittelt, wie aktuelle Schwachstellen von Webapplikation funktionieren und wie man diese ausnutzt. Mit diesem Wissen werden dann effektive Gegenmassnahmen besprochen und angewendet.

Kursthemen auf einen Blick:

  • Backend Security (Broken Access Control, SQL Injection, …)
  • Frontend Security (XSS, CSRF, …)
  • Secure Development und DevSecOps
Kursdauer

2 Tage

Kursvoraussetzungen

Ein solides Grundwissen über HTML5, JavaScript und HTTP ist Voraussetzung für diesen Workshop.
 

Kursübersicht

Dieser Kurs vermittelt den Teilnehmenden die typischen Schwachstellen in modernen Web-Applikationen sowie die Kniffe und Tricks sicherer Web-Programmierung. Die häufigsten Sicherheitsprobleme werden im Detail erklärt und mit Live-Sessions demonstriert. Die OWASP Top 10 sind dabei ein wichtiger Bestandteil. 


Das neu Gelernte wird direkt an einer unsicheren Webanwendung angewendet (OWASP Juice Shop). Hierzu verwenden wir aktuelle Security-Tools wie der OWASP ZAP Attack Proxy oder SQLMap. Sie lernen zudem, wie Gegenmassnahmen implementiert werden.
 

Kursagenda
Tag 1

Der erste Teil des Kurses konzentriert sich auf die Aspekte serverseitiger Sicherheit. Dabei wird zwischen Theorie, Demonstrationen und praktischen Übungen gewechselt. Die Teilnehmenden können dabei selbst eine Applikation in einem geschützten Umfeld angreifen und vorhandene Schwachstellen ausfindig machen. Es werden gängige Tools vorgestellt und der Umgang damit geschult.

  • Setup Hacking-Lab (OWASP ZAP)
  • Risks and Threats
  • Broken Access Control
  • SQL Injection
  • Authentication, Federated Logins
  • JWT Vulnerabilities
  • Misconfiguration & Known Vulnerabilities
  • Server-Side Request Forgery
Tag 2

Im zweiten Teil liegt der Fokus auf dem Client (Desktop-Browser, Mobile-Browser). Auch am zweiten Tag werden die Schwachstellen am OWASP Juice Shop geübt.

  • XSS (Reflected-, Stored-, Dom-XSS, Mutation-XSS)
  • Same Origin Policy
  • CSRF Attacks
  • CORS & Cookie Security
  • Secure Development (Security Testing Pyramid, Threat Modeling)
  • DevSecOps (Static Analysis, Dependency Checks, Vulnerability Scanner)

Neu werden auch die Themen Secure Development und DevSecOps im Kurs behandelt. Die Teilnehmenden erhalten praxisnahe Tipps, wie die Sicherheit im eigenen Softwareprojekt verbessert werden kann.

Tag 3  - Fireside Chat (optional)

Rund zwei Wochen nach dem Kurs haben Sie die Möglichkeit, an einem 'Fireside Chat' teilzunehmen. Bei diesem Follow-up Coaching beantworten die Trainer offene Fragen und stehen für Tipps und Anregungen zur Verfügung.  Der einstündige Fireside Chat ist optional und findet online statt.
 

Kursziele

Die Teilnehmenden kennen die aktuellen Schwachstellen moderner Web-Applikationen (inklusive OWASP Top 10) und können diese erkennen und ausnutzen. Zudem wissen sie, welche Schutzmassnahmen existieren und wie diese implementiert werden.

Sie kennen die notwendigen Tools, um eine Web-Applikation zu analysieren und abzusichern und können sich in die Rolle eines Hackers versetzen.

Zielgruppe

Der Workshop richtet sich an Software-Entwickler und -Architekten, die sich mit Web-Technologien auseinandersetzen und ist bewusst technologie-unabhängig. Er eignet sich damit für jeden Web-Entwickler.

Für einen Academy Kurs anmelden

29.08.2022 - 30.08.2022 Zürich

CHF
 
1800.00
  *
Der Preis beinhaltet Kursunterlagen, Pausenverpflegung, Mittagessen und Getränke.

Bitte bringen Sie Ihren Laptop/Notebook mit.

Mitglieder von ausgewählten Organisationen (SwissICT) profitieren von vergünstigten Konditionen. Rabatte sind nicht kumulierbar
-
2  Tage
09:00 - 17:00
Deutsch

02.11.2022 - 03.11.2022 Zürich

CHF
 
1800.00
  *
Der Preis beinhaltet Kursunterlagen, Pausenverpflegung, Mittagessen und Getränke.

Bitte bringen Sie Ihren Laptop/Notebook mit.

Mitglieder von ausgewählten Organisationen (SwissICT) profitieren von vergünstigten Konditionen. Rabatte sind nicht kumulierbar
-
2  Tage
09:00 - 17:00
Deutsch

Einen Firmenkurs anfragen

Sie möchten an diesem Kurs teilnehmen, aber Datum oder Ort sind nicht passend? Wir organisieren auf Anfrage auch Online-Kurse, kontaktieren Sie uns bei Interesse gerne für mehr Informationen.

Jetzt anfragen

Interesse an einem Academy Kurs

Kein Academy Kurs mit freien Plätzen oder passendem Datum verfügbar? Melden Sie sich gerne bei uns, wir halten Sie über zukünftige Kurse auf dem Laufenden.

Jetzt anfragen