Einstellungen

Wir respektieren Ihr Recht auf Privatsphäre. Sie können sich dafür entscheiden, einige Arten von Cookies nicht zuzulassen. Ihre Cookie-Einstellungen gelten für unsere gesamte Website.

 

Wir verwenden Cookies auf unserer Website, um unseren Datenverkehr zu analysieren und damit ihre Usererfahrung zu verbessern. Diese Cookies sind aber nicht notwendig, um unsere Seiten korrekt abzurufen.  Datenschutzerklärung.

Möchten Sie mit Ihrem Team teilnehmen? Profitieren Sie von unseren Gruppenrabatten! Schreiben Sie an events@dpunkt.de

Zurück

Web Application Security – ein Crash-Kurs

Die meisten Entwickler kennen bereits die OWASP Top 10. Aber es ist das eine, über eine Sicherheitslücke informiert zu sein, und das andere, diese wirklich zu verstehen. Für ein tieferes Verständnis hilft es oft, selber in die Rolle des Angreifers zu schlüpfen und wirklich einmal selbst Sicherheitslücken auszunutzen. Genau dazu bekommt man bei einem Capture the Flag die Chance.

In diesem Workshop stellen wir zunächst die wichtigsten Sicherheitslücken aus den OWASP Top 10 vor. Anschließend zeigen wir den Teilnehmern, wie man diese konkret ausnutzen kann. Im darauf folgenden Capture the Flag werden die Teilnehmer dann in verschiedenen Aufgaben das Gelernte praktisch umsetzen.

TECHNISCHE VORAUSSETZUNGEN

Bringen Sie einen eigenen Laptop mit, der leistungsfähig genug ist um eine virtuelle Maschine flüssig zu betreiben. Empfohlen wird ein Multicore-Prozessor, mindestens 8 GB RAM und 20 GB freier Festplattenspeicher. Installieren sie vor dem Workshop Virtualbox in der Version 6 (kostenlos erhältlich für Windows, Linux und macOS).

AGENDA

ab 10 Uhr: Registrierung und Begrüßungskaffee
11 Uhr: Beginn
- Vorstellung Referenten & Agenda & CTF
- Die OWASP Top 10
- Schwerpunkt & Übung: Broken access control
12.30 - 13.30 Uhr: Mittagspause
- Schwerpunkt & Übung: Injection attacks
15.00 - 15.15 Uhr: 1. Kaffeepause
- Schwerpunkt & Übung: Security misconfiguration
16.30 - 16.45 Uhr: 2. Kaffeepause
- Schwerpunkt & Übung: Insecure deserialization & Components with known vulnerabilities
ca. 18 Uhr: Ende

Vorkenntnisse

Die Teilnehmer sollten solide Erfahrung in der Webentwicklung und gute Kenntnisse einer "Mainstream"-Programmiersprache haben (Java, C#, Python, JavaScript o.Ä.).

Lernziele

Die Teilnehmer sollten nach dem Workshop:
* die am häufigsten auftretenden Sicherheitslücken in Webanwendungen kennen,
* in der Lage sein, ausgewählte davon aktiv auszunutzen,
* sich in die Denkweise eines Angreifers hineinversetzen können,
* wissen, wie die behandelten Sicherheitslücken vermieden bzw. behoben werden können.

 

Speaker

 

Christoph Iserlohn
Christoph Iserlohn ist Senior Consultant bei INNOQ. Er hat langjährige Erfahrung mit der Entwicklung und Architektur von verteilten Systemen. Sein Hauptaugenmerk liegt dabei auf den Themen Skalierbarkeit, Verfügbarkeit und Sicherheit.

Felix Schumacher
Felix Schumacher ist ebenfalls Senior Consultant bei INNOQ. Er beschäftigt sich gerne mit IT-Sicherheit, testgetriebener Entwicklung und dem Betrieb und der Weiterentwicklung bestehender Systeme.

Sponsoren

Gold
JFrog
Palo Alto Networks
Snyk
WIBU Systems
Xanitizer
JETZT SPONSOR WERDEN

heise-devSec-Newsletter

Du möchtest über die heise devSec
auf dem Laufenden gehalten werden?

 

Anmelden