Schulung: sichere Webentwicklung

Open Source Schulung:

sichere Webentwicklung

Webbasierte Anwendungen absichern und verteidigen

Webanwendungen sind verführerisch einfach zu erstellen: ein wenig HTML, ein wenig Code, und eine neue Anwendung ist weltweit verfügbar.

Programmierer werden von der einfachen Entwicklung jedoch oft dazu verleitet, Sicherheitsaspekte zu vernachlässigen. Dadurch entstehen weltweit zugängliche Einfallstore für Angreifer, die oft mit einfachsten Mitteln für Cracking und Datendiebstahl genutzt werden können.

Im Intensivseminar Web-Sicherheit wird den Teilnehmern anhand von Real-Life-Beispielen (in der Sprache PHP, viele Beispiele sind allerdings direkt auf fast jede andere Sprache übertragbar) zunächst vermittelt, wie ein Angreifer Sicherheitslücken ausspäht und ausnutzt; die Absicherung der eigenen Anwendung steht dann in einem umfangreichen Praxisteil auf dem Programm.

Neben altbewährten und immer wieder brisanten Themen wie SQL Injection, Remote File Inclusion und Cross-Site Scripting kommen auch brandaktuelle Gefahren durch das neue HTML5 zur Sprache - und wer will, kann sich im "Web Security CTF" mit den Kurskollegen messen.

Preis

3 Tage, 1.138,00 € + 19% MwSt. = 1.354,22 €

Volle 8 Zeitstunden pro Tag, komplette Grundausstattung an Originalliteratur, freier Internetzugang überall, Leihnotebook, Vollpension, Getränke (besondere Weinsorten werden separat abgerechnet), Gebäck, selbstgebackene Kuchen, Sauna, Rahmenprogramm.

Zusatz- oder Minderleistungen auf Wunsch:

Aufpreis für Übernachtung im Zweibettzimmer (großes, komfortables Zimmer)	59,00 € + 7% MwSt. = 63,13 €	pro Nacht
Aufpreis für Übernachtung in der Linuxhotel-WG	83,00 € + 7% MwSt. = 88,81 €	pro Nacht
Aufpreis für Einzelzimmer (nach Verfügbarkeit, bitte rechtzeitig buchen)	129,00 € + 7% MwSt. = 138,03 €	pro Nacht
Preisnachlaß bei Verzicht auf die Vollpension	-29,41 € + 19% MwSt. = -35,00 €	pro Tag
Preisnachlaß bei Verzicht auf das Rahmenprogramm	-8,40 € + 19% MwSt. = -10,00 €	pro Abend

Steuerliche Absetzbarkeit * Stornobedingungen

Termine

01.07 - 03.07.13 KW 27 Anmeldung sichere Webentwicklung
11.11 - 13.11.13 KW 46 Anmeldung sichere Webentwicklung
oder
nennen Sie uns Ihren Wunschtermin

Dozenten

Dr. Christopher Kunz ist einer der führenden Fachleute für das Thema Web-Security in Deutschland und Coautor des Buches "PHP-Sicherheit" (dpunkt.Verlag). Er hält seit 2001 Vorträge auf nationalen und internationalen PHP- und Security-Konferenzen und hat mehrere Dutzend Artikel in Fachmagazinen und wissenschaftlichen Publikationen veröffentlicht.

Teilnahmevoraussetzungen

Der Kurs richtet sich an Programmierer, die bereits mit einer Websprache (Beispiele sind in PHP) und mit den Grundbegriffen von JavaScript und SQL vertraut sind. Der Kurs wird keine Grundlagen vermitteln, sondern sich auf Sicherheitsaspekte konzentrieren.

Falls Sie hier unsicher sind, beraten wir Sie gerne, per Mail oder telefonisch.

Kursinhalt

Grundlegende Prinzipien und Einführung in die Materie

Was ist Sicherheit?
Diskussion: Sicherheitskonzepte im Vergleich
Warum ist Sicherheit notwendig (Beispiele bekannter Hacks etc.)?

Grundlegende Prinzipien und Einführung in die Materie

Facetten der Sicherheit als Teilaspekte eines tragfähigen Sicherheitskonzepts
Kenne Deinen Feind - wie Angreifer ein Zielsystem auskundschaften

Remote File Inclusion / Remote Code Execution

Manipulation an GET-Parametern (?include=/etc/passwd et al.)
Welche weiteren Parameter kann man manipulieren (Header-Manipulation, POST, etc.)
Auswirkungen solcher Manipulationen
Eigene Scripte säubern, Parametermanipulation verhindern

Authentifizierung und Autorisierung

Abgrenzung der AAA: Authentication, Authorization, Accounting
Authentifizierung in PHP über Formulare oder Apache-Auth sicher gestalten
Common Pitfalls
nicht-algorithmische Attacken (Bruteforce, Social Engineering, Raten) verhindern

SQL-Probleme

SQL-Injection: Typen (First Order, Second Order)
Prominente Opfer von SQL-Injection
First-Order SQL Injection: Beispiele und Behebung
Second-Order SQL Injection: Beispiele und Behebung
Prepared Statements und andere Wundermittel
Übungen und Vertiefung

XSS / CSRF

DOM, JavaScript, Same-Origin - Auffrischung
Was ist XSS?
XSS Angriffsvektoren und mögliche Gegenmaßnahmen
XSS in HTML5
Clickjacking, UI Redressing
Cross-Site Request Forgery
Content-Security Policies definieren und nutzen

Sessions

Sessions in eigenen Applikationen sicher einsetzen
Sessions in Shared-User Environments
Session Fixation, Session Riding

Zeitlicher Ablauf

Wer möchte, reist bis 22 Uhr am Vortag an und nutzt den Abend bereits zum Fachsimpeln am Kamin oder im Park.
An den Kurstagen dann von 9-18 Uhr (mit 2 Kaffee- und 1 Mittagspause) etwa 60% Schulungen und 40% Übungen. Selbstverständlich arbeitet jeder Teilnehmer am "eigenen" Notebook oft parallel zum Referenten mit.
Anschließend Abendessen und Angebote für Fachsimpeln, Ausflüge uvm. Wir schaffen eine Atmosphäre, in der Fachleute sich ungezwungen austauschen. Wer das nicht will, wird zu nichts gezwungen und findet auch jederzeit Ruhe.

Linuxhotel

Villa Vogelsang

sichere Webentwicklung

Webbasierte Anwendungen absichern und verteidigen

Preis

Termine

Dozenten

Teilnahmevoraussetzungen

Kursinhalt

Grundlegende Prinzipien und Einführung in die Materie

Grundlegende Prinzipien und Einführung in die Materie

Remote File Inclusion / Remote Code Execution

Authentifizierung und Autorisierung

SQL-Probleme

XSS / CSRF

Sessions

Zeitlicher Ablauf

Verwandte Schulungen aus den Kategorien Sicherheit und Web

Linuxhotel GmbH