[Tag 1] >Bedrohungen bestimmen und bewerten
Wer greift an? Woher kommt der Angriff? Was sind lohnende Ziele?
*
Praxis: Bestimmen Sie nach der zuvor gelernten Methode Bedrohungen, denen die Community ausgesetzt ist.
>Hackertools nicht nur für Hacker
Firefox, WebScarab, ...
>Was sind die OWASP Top 10?
Die zehn größten Sicherheitsrisiken für Webanwendungen.
>SQL Injection, LDAP Injection, Command Injection
Daten ausspähen und einschleusen.
*
Praxis: Dringen Sie in den Account eines ahnungslosen Users ein. Finden Sie die geheimen Nachrichtenkanäle der Administratoren.
>Cross Site Scripting / XSS
User ausspähen und manipulieren, Webseiten übernehmen
*
Praxis: Spüren Sie anfällige Seiten auf und führen Sie verschiedene XSS-Angriffe aus. Sehen Sie so die Bedeutung dieses Angriffs in einem ganz neuen Licht.
[Tag 2] >Fehler in der Authentifizierung und dem Session Management
*
Praxis: Sie analysieren Sessions und finden deren Schwächen.
>Direkter Zugriff auf vertrauliche Daten
*
Praxis: Lesen Sie die geheimen Nachrichten des Community Managements.
>Cross Site Request Forgery / CSRF
Weit verbreitet kaum bekannt
*
Praxis: Bringen Sie als Angreifer andere Nutzer dazu, von Ihnen manipulierte Aktionen auszuführen.
>Fehler in der Konfiguration.
Standardsoftware, offene Ports, ungenutzte Dienste
>Ungeschützt trotz Verschlüsselung
SSL, md5, DES, SHA, Rainbow Tables
>Zugriff auf privilegierte Seiten
*
Praxis: Erlangen Sie Administratorrechte in der Community.
>Sind wirklich alle Übertragungswege ausreichend geschützt?
>Umleitungen und Weiterleitungen unterstützen Phishing und andere Angriffe
>Fallstricke bei der Überprüfung
UTF-8 und andere Kodierungen, reguläre Ausdrücke
>Sind Ihre Schwachstellen den Angreifern längst bekannt?
Google Hacking, Frameworks, Social Networks
>Risiken minimieren
Die 10 Prinzipien sicherer Programmierung.
[Tag 3]
>Regressionstests im Browser.
Schnell und flexibel mittels Selenium
*Praxis: Erstellen Sie automatisierte Tests, mit denen Sie auf das Vorhandensein der zuvor aufgedeckten Schwachstellen prüfen.
>Automatisiert weitere Schwachstellen aufspüren mit Skipfish, Nikto2, Metasploit (NEU)
*Praxis: Werten Sie die Scan-Ergebnisse aus und decken so weitere Schwachstellen auf.
>Den eigenen Sicherheitsstand bewerten und verbessern
*Praxis: Bestimmen Sie für Ihr Unternehmen, wo sie stehen und was Sie konkret als nächstes verbessern können.
>Capture The Flag Contest -
mittels des erworbenen Wissens hacken Sie sich selbstständig in eine weitere Anwendung
*Praxis: Setzen Sie das Wissen für einen erfolgreichen Penetration Test ein.
>>Abschluss mit Zertifikat
|
Veranstaltungsdetails
|
|
Seminarpreis
|
Euro 2.390,- exkl. USt.
Seminarunterlagen
Pausen und Mittagsverpflegung
sämtliche notwendige Hardware wird bereitgestellt
exklusive Nächtigungen
|
|
Seminardauer
|
3 Tage
|
|
Seminarzeiten
|
täglich von 09:00 bis 17:00 Uhr
|
|
Anmeldung
|
Anmeldung einfach mittels Online Formular link
Nach der Anmeldung erhalten Sie eine automatische Bestätigung
Anschließend erhalten Sie die Rechnung per E-Mail
Etwa 10 Tage vor Schulungsbeginn erhalten Sie noch einmal die Details zu Ihrem Seminar per E-Mail zugesandt
|
>>> FRÜHBUCHER BONUS bis 31. März 2012
Windows 7 Netbook GRATIS zu jeder Anmeldung (Samsung N150Plus/1,6 GHZ/1 GB Ram/250 GB HDD)*
|
Datum
|
Ort
|
Freie Seminarplätze
|
Reservierung
|
|
21.-23.05.2012
|
Hamburg
Hotel Side link
|
3 freie Plätze
|
hier anmelden
|
|
04.-06.06.2012
|
München
Hotel Am Moosfeld link
|
2 freie Plätze
|
hier anmelden
|
ACHTUNG! Dieses Seminar richtet sich nicht an Privatpersonen!
Voraussetzungen
Das Seminar richtet sich an Entwickler, IT-Projektleiter, Softwaretester und andere mit der Qualitätssicherung von Webanwendungen betraute Personen. Grundkenntnisse der Programmierung werden vorausgesetzt, die vermittelten Inhalte sind aber unabhängig von der konkreten Programmiersprache. Die Anwendung der Tools wird detailliert erklärt und dient der praxisrelevanten Wissensvermittlung.
Teilnehmerstimmen
Folgendes Feedback stammt direkt aus den Feedbackformularen der Teilnehmer nach dem Workshop!
Sven Lammers - S-ConSiT GmbH „Aufgrund der Übungen werden einem die Gefahren für Webanwendungen sehr plastisch vorgeführt. Dies führt zu einem dauerhaften und intensiven Lernerfolg.“
Daniel Filkow - Roche Diagnostics GmbH „Laptops/Umgebung perfekt vorbereitet. Beispiele veranschaulichen Inhalte sehr gut. Sehr guter Kurs“
Jens Puhle - Verlag für Standesamtswesen „Theoretisch kannte ich die meisten Angriffsszenarien bereits. Es ist aber für die Einschätzung des Bedrohungsrisikos sehr hilfreich, die Angriffe in den Praxisbeispielen selbst ausprobiert zu haben. Das schärft das Sicherheitsbewusstsein ungemein. Über die Praxisbeispiele hinaus hat der Kurs das Bewusstsein für mögliche Bedrohungsszenarien sehr erweitert. Für die Anwendung und Umsetzung auf unsere Programme habe ich wertvolle Anregungen erhalten.“
Michael Daxberger - Arrow ECS Internet Security AG „Der Kursinhalt wird ‚aus der Praxis für die Praxis’ vermittelt.“
Hr. Schäfer - Hessischer Rundfunk „Kennen lernen neuer Tools, sehr interessant. Grundkenntnisse konnten wie erwartet vertieft werden. Gut verständlicher Vortrag, gute Didaktik!“
Vladimir Shagovalev - LHS „Sehr gut! Typische Fälle wie Injection, XSS usw. wurden gut abgebildet und man hat die Vorstellung auf jeden Fall bekommen wie man die Schwachstellen entdeckt und dann beseitigt. Danke!“
*) oder technisch vergleichbares Gerät
