headerschloss

Webapplikationssicherheit
line

Schutz vor Angriffen auf Websites

Webapplikationen bzw. Websites allgemein stellen einen der wichtigsten Angriffsvektoren auf IT-Infrastrukturen dar. Das hängt einerseits mit den für Fehler zum Teil anfälligen Technologien zusammen (PHP, etc.), andererseits aber auch damit, dass sehr viele Webapplikationen quasi Individualanfertigungen sind. Daher ist im Gegensatz zu millionenfach verwendeter Standardsoftware die Möglichkeit zur Qualitätssicherung eher begrenzt.
Um trotzdem Webanwendungen sicher betreiben oder auch selbst erstellen zu können, sind entsprechende Kenntnisse über Webtechnologien und vor allen Dingen die potentiellen Angriffe erforderlich.

Nutzen für die Teilnehmer

Nach einer entsprechenden Einführung in Webtechnologien, zeigen wir Ihnen anhand praktischer Beispiele und Demonstrationen, welchen Angriffsmöglichkeiten und Risiken Webapplikationen ausgesetzt sind und wie Sie sie vermeiden können. Sie lernen technische Möglichkeiten zur Absicherung kennen, sowie im Rahmen eines kurzen Überblicks, auf was man als Entwickler achten muss.

Zielgruppe

Insbesondere IT-Administratoren und Webentwickler, aber auch CIOs, IT-Sicherheitsbeauftragte, Informationssicherheitsberater, IT-Leiter. Grundkenntnisse im Bereich http bzw. Webtechnologien allgemein sind wünschenswert.

 

      Agenda

  •  Einführung in die Grundlagen der Webtechniken

          Webserver: Apache, Tomcat & Co.
          HTML, CSS
          Skriptsprachen: PHP, Perl, Python, Ruby
          Java-Servlets und JSP
          Datenbanken
          Ajax, Javascript, HTML5

  •  Web Application-Schwachstellen

          Information Disclosure
          Path-Traversal
          Authorization
          Header Manipulation / Header Poisoning
          SSL-Stripping
          Website-Spoofing, SSL-Website-Spoofing
          File-Upload
          Buffer-Overflows
          Cross-Site Scripting (XSS), reflectes, persistant, DOM-based XSS
          Session-Hijacking, Session-Fixation
          Cross-Site Request Forgery (CSRF) / Session Riding
          Clickjacking / Der X-FRAME-OPTION Response-Header
          Frame-Spoofing, Link-Spoofing
          SQL-Injection, Advanced SQLI, Blind SQL-Injection
          Command-Injection, XML-Injection, XPATH-Injection, LDAP-Injection
          Privilege Escalation
          Insecure Direct Object Reference
          2nd Order Code-Injection

  •  Gegenmaßnahmen

          Webserversicherheit
          Verschlüsselung
          Sicheres Programmieren
          Sichere Datenbankanwendung

  •  Tools (z. B. OWASP CSRF-Guard)
  •  Auffinden von Schwachstellen

          Manueller Code-Review/Code-Check
          Toolgestützte Untersuchung des Quellcodes
          Pentests gegen Webapplikationen

 
© 2013 @-yet GmbH. All rights reserved.