Kurs PHP - Sicherheit

Open Source Schulung:

PHP - Sicherheit

Webanwendungen sind verführerisch einfach zu erstellen: ein wenig HTML, ein wenig Code, und eine neue Anwendung ist weltweit verfügbar. Die Sprache PHP hat sich im Web auf breiter Ebene durchgesetzt. Die Anzahl der PHP-Installationen auf Webservern ist im zweistelligen Millionenbereich angelangt, und mehr und mehr Applikationen werden täglich verfügbar. Programmierer werden von der einfachen Entwicklung jedoch oft dazu verleitet, Sicherheitsaspekte zu vernachlässigen. Dadurch entstehen weltweit zugängliche Einfallstore für Angreifer, die oft mit einfachsten Mitteln für Cracking und Datendiebstahl genutzt werden können.

Im Intensivseminar PHP-Sicherheit wird den Teilnehmern anhand von Real-Life-Beispielen zunächst eine Sensitivität für typische Web-Sicherheitslücken (SQL Injection, XSS etc.) vermittelt, und in praktischen Übungen die Unterbindung dieser Programmierfehler erlernt.

Preis

3 Tage, 1138,00 € + 19% MwSt. = 1354,22 € all-inclusive

Volle 8 Zeitstunden pro Tag, komplette Grundausstattung an Originalliteratur, freier Internetzugang überall, Leihnotebook, Vollpension, Getränke (besondere Weinsorten werden separat abgerechnet), Gebäck, selbstgebackene Kuchen, Sauna, Rahmenprogramm.

Zusatz- oder Minderleistungen auf Wunsch:

Aufpreis für Übernachtung im 1/2 Doppelzimmer (großes, komfortables Zimmer)	59,00 € + 7% MwSt. = 63,13 €	pro Nacht
Aufpreis für Übernachtung in der Linuxhotel-WG	83,00 € + 7% MwSt. = 88,81 €	pro Nacht
Aufpreis für Einzelzimmer (nach Verfügbarkeit, bitte rechtzeitig buchen)	129,00 € + 7% MwSt. = 138,03 €	pro Nacht
Preisnachlaß bei Verzicht auf die Vollpension	-29,42 € + 19% MwSt. = -35,00 €	pro Tag
Preisnachlaß bei Verzicht auf das Rahmenprogramm	-8,41 € + 19% MwSt. = -10,00 €	pro Abend

Steuerliche Absetzbarkeit * Stornobedingungen

Termine

15.03. - 17.03.10 KW 11 Anmeldung
06.09. - 08.09.10 KW 36 Anmeldung

Dozenten

Peter Prochaska: Security Consultant, freiberuflicher PHP-Entwickler, Trainer und Autor. Mitglied im Hardened-PHP-Project. Mitautor des Buches "PHP-Sicherheit. PHP/MySQL-Webanwendungen sicher programmieren" (DPunkt Verlag).

Teilnahmevoraussetzungen

Der Kurs richtet sich an Programmierer, die bereits mit PHP vertraut sind und die Sprache als Entwicklungsbasis für den "täglichen Gebrauch" nutzen. Der Kurs wird keine Grundlagen vermitteln, sondern sich auf Sicherheitsaspekte konzentrieren. Konfigurationshinweise für Webserver und Module werden für Apache unter Unix gegeben.

Kursinhalt

Grundlegende Prinzipien und Einführung in die Materie

Was ist Sicherheit?
Diskussion: Sicherheitskonzepte im Vergleich
Warum ist Sicherheit notwendig (Beispiele bekannter Hacks etc.)?

Grundlegende Prinzipien und Einführung in die Materie

Facetten der Sicherheit als Teilaspekte eines tragfähigen Sicherheitskonzepts
Kenne Deinen Feind - wie Angreifer ein Zielsystem auskundschaften

Parametermanipulation & Autorisierung

Manipulation an GET-Parametern (?include=/etc/passwd et al.)
Welche weiteren Parameter kann man manipulieren (Header-Manipulation, POST, etc.)
Auswirkungen solcher Manipulationen
Warum register_globals böse ist
Eigene Scripte säubern, Parametermanipulation verhindern
Abgrenzung der AAA: Authentication, Authorization, Accounting

Parametermanipulation & Autorisierung

Authentifizierung in PHP über Formulare oder Apache-Auth sicher gestalten
Common Pitfalls
nicht-algorithmische Attacken (Bruteforce, Social Engineering, Raten) verhindern
Authentifizierungsklassen in PEAR

SQL-Probleme

SQL-Datenbanken sinnvoll konfigurieren (Netzwerk, Zugriffskontrolle etc.)
SQL-Injection: Typen (First Order, Second Order)
Prominente Opfer von SQL-Injection
First-Order SQL Injection: Beispiele
First-Order SQL-Injection: Vermeidungsstrategien
Second-Order SQL Injection: Beispiele
Second-Order SQL-Injection: Vermeidungsstrategien
Übungen und Vertiefung

XSS, Sessions, Exploits in PHP

Was ist XSS?
Was kann XSS?
Wie verhindere ich XSS? (übungen)
Sessions: Wo liegen die Gefahren?
Sessions in eigenen Applikationen sicher einsetzen
Sessions in Shared-User Environments
Session Fixation/Session-Attacken

Zeitlicher Ablauf

Wer möchte, reist bis 22 Uhr am Vortag an und nutzt den Abend bereits zum Fachsimpeln am Kamin oder im Park.
An den Kurstagen dann von 9-18 Uhr (mit 2 Kaffee- und 1 Mittagspause) etwa 60% Schulungen und 40% Übungen. Selbstverständlich arbeitet jeder Teilnehmer am "eigenen" Notebook oft parallel zum Referenten mit.
Anschließend Abendessen und Angebote für Fachsimpeln, Ausflüge uvm. Wir schaffen eine Atmosphäre, in der Fachleute sich ungezwungen austauschen. Wer das nicht will, wird zu nichts gezwungen und findet auch jederzeit Ruhe.

Linuxhotel

Villa Vogelsang

PHP - Sicherheit

Preis

Termine

Dozenten

Teilnahmevoraussetzungen

Kursinhalt

Grundlegende Prinzipien und Einführung in die Materie

Grundlegende Prinzipien und Einführung in die Materie

Parametermanipulation & Autorisierung

Parametermanipulation & Autorisierung

SQL-Probleme

XSS, Sessions, Exploits in PHP

Zeitlicher Ablauf

Verwandte Schulungen aus den Kategorien Programmiersprachen, Sicherheit und Web

Linuxhotel GmbH