Sicherheit von Webanwendungen ist nicht erst seit den großen Hacks von Yahoo, MySpace oder Dropbox ein Thema. Doch in jüngster Zeit werden Angriffe immer komplexer und Anwendungen müssen entsprechend geschützt werden. Frameworks wie Symfony oder Laravel erleichtern Entwicklern die Umsetzung von Dingen wie Authentifizierung und bieten einige Sicherheitsfeatures. Um andere Schutzmaßnahmen müssen sich Entwickler selbst kümmern.
Der Workshop motiviert mit Live-Hacking-Beispielen und zeigt, wie man in PHP Absicherungsmaßnahmen umsetzt, z.B. Zwei-Faktor-Authentifizierung oder einen Brute-Force-Schutz.
Agenda
- ab 08.30: Registrierung und Begrüßungskaffee
- 09.30: Begrüßung
- 9.30 - 10.30: Gefährliche Weiten des Internets
- ab 10.30: Proaktive Schutzmaßnahmen
- 11.00 - 11.15: Kaffeepause
- 12.30 - 13.30: Mittagspause
- 15.00 - 15.15: Kaffeepause
- 16.30 - 17.00: Erfolgreicher Weg zur Websicherheit
- ca. 17.00 Uhr: Ende
Technische Anforderungen
- Installieren Sie sich Composer: https://getcomposer.org/download/
- Klonen Sie das Git-Repository https://git.aramido.de/symfony-secure-coding
- Installieren Sie die Dependencies per "composer install" und beantworten Sie die Fragen zur Erzeugung der parameters.yml mit dem default-Wert (jeweils nur Enter drücken)
- Starten Sie den Webserver per "php bin/console server:run" und prüfen Sie, ob die Anwendung funktioniert: http://127.0.0.1:8000
- Installieren Sie sich eine IDE Ihrer Wahl (PhpStorm, NetBeans, phpDesigner, Eclipse, etc.) und erzeugen Sie ein Projekt aus dem Git-Klon. Selbstverständlich können Sie das Klonen des Repositories auch über die IDE durchführen.
- Installieren Sie sich einen Sqlite-Viewer, z. B. https://sourceforge.net/projects/sqliteman/
- Installieren Sie sich auf Ihrem Mobiltelefon eine App für Zwei-Faktor-Authentifikation (OATH-TOTP), z. B. GoogleAuthenticator aus den Appstores oder Open Source GA, Open Source GA (Android)
Falls Sie ein Gerät Ihrer Firma verwenden, überprüfen Sie vorher bitte, ob eines der folgenden, gelegentlich vorkommenden Probleme bei Ihnen auftreten könnte.
* Workshop-Teilnehmer hat keine Administrator-Rechte.
* Corporate Laptops mit übermäßig penibler Sicherheitssoftware
* Gesetzte Corporate-Proxies, über die man in der Firma kommunizieren muss, die aber in einer anderen Umgebung entsprechend nicht erreicht werden.
Vorkenntnisse
Der Workshop ist interaktiv. Teilnehmer benötigen einen Laptop und fortgeschrittene Kenntnisse in PHP und Git. Grundlagen des Frameworks Symfony sind hilfreich.
Lernziele
Angelehnt an die OWASP Proactive Controls soll der Workshop Entwicklern zeigen, was bei der Umsetzung sicherer Webanwendungen zu beachten ist. Beispiele sind Input-Validierung, Output-Escaping, Authentifizierung und Autorisierung, Verschlüsselung etc. Durch die Demonstration von Live-Hacking soll den Entwicklern die Sichtweise von Angreifern vermittelt werden.
//
Andreas Sperber
ist Mitgründer und Geschäftführer der aramido GmbH. Er arbeitet seit vielen Jahren im Bereich der Webentwicklung. Mit seiner Firma berät er Unternehmen zum Thema IT-Sicherheit und prüft durch Penetrationstests, ob Systeme Hackerangriffen standhalten würden.