In der Vergangenheit wurden viele verschiedene Angriffstechniken gegen Webanwendungen entwickelt, die heute weithin bekannt sind und vor denen Webentwickler ihre Software in der Regel schützen.
Die Mehrheit der Webhacking-Vorträge und -Trainings behandelt solche Standardmethoden wie XSS, SQL Injections, XSRF usw.
Dieser Vortrag konzentriert sich dagegen auf fortgeschrittene Hacking-Techniken gegen Webapplikationen. Dabei stehen nicht nur Server, sondern auch Clients im Fokus der Angriffe.
Vorkenntnisse
Vorausgesetzt wird ein gutes Verständnis
* allgemeiner Webtechnologien
* aller OWASP-Top-10-Schwachstellen
* mindestestens einer Programmiersprache (z.B. Python, Perl, Ruby)
//
Kevin Schaller
ist IT Security Researcher & Analyst beim IT-Sicherheitsdienstleister ERNW und ein Penetrationstester mit umfassender Erfahrung in großen und sehr großen Unternehmensumgebungen. Als Teamleiter des Mobile & IoT Security Teams leitet er vor allem Prüfprojekte mit Fokus auf mobilen Applikationen und Betriebssystemen, Mobile_Device-Management-Lösungen, IoT-Umgebungen sowie den gesamten Hardware und Embedded-Security-Bereich der ERNW. Er hält regelmäßig Talks auf verschiedenen Konferenzen sowie Kurse und Trainings bei denen er seine Erfahrungen und sein Know-how sehr gerne mit dem Publikum teilt. Seine Forschungsschwerpunkte liegen im Bereich der Sicherheit von Web- und mobilen Applikationen sowie im Bereich von biometrischen Authentifizierungsverfahren.
//
Timo Schmid
ist ein deutscher IT Security Researcher & Analyst mit weitreichenden Erfahrungen in großen und sehr großen Firmenumgebungen. Seine tägliche Arbeit beeinhaltet Evaluationen von IT-Sicherheitskonzepten, Codereviews und IT-Sicherheitstests von (Web-)Anwendungen und Infrastrukturen. Neben seiner Tätigkeit als Schulungsleiter führt er verschiedene Forschungs- und Entwicklungsprojekte im Bereich der Sicherheit von Applikationen jeglicher Art durch. Weiterhin ist er als Softwareentwickler verschiedener Werkzeuge zur Prozessoptimierung und Produktivitätssteigerung tätig.