HACKING [WEB Apps] 2023

 

JETZT AUCH ALS WEBINAR link


In unserem Praxisseminar HACKING [WEB APPS] zeigen wir Ihnen die Techniken, Vorgehensweisen und Tools, die Hacker verwenden um sich Zugriff auf Ihre Webanwendung zu verschaffen.

Finden Sie die Sicherheitslücke in Ihrer Anwendung – bevor es ein Angreifer tut!

In unserem Hacking Lab hacken Sie selbst. Anhand eines konkreten durchgängigen Web Community Projekts

  • bestimmen Sie Risiken und Bedrohungen,
  • erkennen Sie die Schwachstellen,
  • hacken Sie sich selbständig in die Anwendung,
  • erarbeiten Sie Gegenmaßnahmen.

So lernen Sie die größten Risiken für Webanwendungen praxisnah kennen und erfahren, wie man sich wirkungsvoll vor ihnen schützt. Erkennen Sie Anzeichen für laufende Angriffe und wehren Sie diese ab. Geben Sie Angreifern keine Chance! Klar strukturierte Checklisten und Methoden helfen Ihnen, das Erlernte direkt in Ihrem Unternehmen umzusetzen.

Inhalt

LAB steht in PHP und JAVA zur Verfügung – Sämtliche Übungen sind in JAVA und PHP!


  • [Tag 1] – Information Gathering und Initialangriffe

    Bedrohungen bestimmen und bewerten
    Wer greift an? Woher kommt der Angriff? Was sind lohnende Ziele?
    Welche Möglichkeiten gibt es für das Unternehmen sich zu schützen?
    Fingerprinting
    Lernen Sie wie Angreifer herausfinden welche Software zum Einsatz kommt. Welche Tools werden von den Angreifern verwendet?
    *Praxis: Bestimmen Sie nach der zuvor gelernten Methode Bedrohungen, denen die Community ausgesetzt ist.
    Fallstricke bei der Überprüfung – UTF-8 und andere Kodierungen, reguläre Ausdrücke
    Sind Ihre Schwachstellen den Angreifern längst bekannt?
    Google Hacking, Frameworks, Social Networks
    Was sind die OWASP Top 10?
    Die zehn größten Sicherheitsrisiken für Webanwendungen.
    Google Hacking
    Lernen Sie Suchmaschinen und deren Nutzen für Angreifer kennen. Nicht nur Google wird von Angreifern verwendet (z.B. Shodan)
    *Praxis: Hacking mittels Suchmaschinen live im Internet
    Brute-Force-Angriffe
    Wie können Angreifer schwache Zugangsdaten herausfinden? Welche Gegenmaßnahmen gibt es dabei?
    Cross Site Scripting / XSS
    User ausspähen und manipulieren, Webseiten übernehmen
    *Praxis: Spüren Sie anfällige Seiten auf und führen Sie verschiedene XSS-Angriffe aus. Sehen Sie so die Bedeutung dieses Angriffs in einem ganz neuen Licht.
    HTML5 Security Praxis
    Cross-Site-Scripting in Zeiten von HTML5, Was ist die Content-Security-Policy? Und vieles mehr…
    Cross Site Request Forgery / CSRF
    Weit verbreitet kaum bekannt – vorausgefüllte Formulare im Namen anderer Absenden und die passenden Gegenmaßnahmen.
    *Praxis: Finden Sie Formulare die nicht durch CSRF geschützt sind. Bringen Sie einen anderen Benutzer dazu Gruppen zu erstellen durch den Besuch eines schädlichen Links.


  • [Tag 2] – Serverseitige Schwachstellen

    Fehler in der Authentifizierung und dem Session Management
    *Praxis: Sie analysieren Sessions und finden deren Schwächen.
    SQL Injection, LDAP Injection, Command Injection
    Daten ausspähen und einschleusen.
    *Praxis: Dringen Sie in den Account eines ahnungslosen Users ein. Finden Sie die geheimen Nachrichtenkanäle der Administratoren.
    SQL Injections automatisieren – Lassen Sie ein Tool arbeiten um die Schwachstellen zu finden.
    *Praxis: Durch die Verwendung von sqlmap wird der vorher gesehene Angriff automatisiert.
    Direkter Zugriff auf vertrauliche Daten
    *Praxis: Lesen Sie die geheimen Nachrichten des Community Managements.
    XML External Entities – XXE
    Schwachstellen innerhalb von XML-Parsern verstehen und ausnutzen.
    *Praxis: Verwenden Sie ein verwundbares Web-Service um lokale Dateien am Server zu lesen.
    JSON-Webserices
    Worin unterscheiden sich JSON-Webservices im Gegensatz zu XML-Webservices? Sind beide Verwundbar?
    Direkte Objektreferenzierung – IDOR
    Lernen Sie Fehlfunktionen von Applikationen kennen, welche direkt auf Dateien zugreifen
    *Praxis: Durch die gezielte Lokalisierung einer Schwachstelle werden Konfigurationsdateien inkl. Passwörtern ausgelesen.
    File Uploads
    Viel verwendet, häufig mit Fehlern gespikt.
    *Praxis: In einem eigenen „File-Upload-Lab“ lernen Sie gängige Fehler in File-Uploads kennen.
    Server-Side-Request-Forgery (SSRF)
    Lernen Sie wie Angreifer durch Fehlfunktionen den Server dazu bringen Requests abzusenden.
    *Praxis: In einem eigenen „SSRF-Lab“ lernen Sie die Schwachstelle näher kennen.
    Web-Shells und Post-Exploitation
    Sehen Sie Tools die Angreifer einsetzen um weiter in das Netzwerk vorzudringen.


  • [Tag 3] – Spezialthemen

    Web Application Firewall (WAF)
    Wodurch unterstützt eine WAF Administratoren? Wie gut greifen die Schutzmechanismen?
    *Praxis: Sie versuchen die bisher bekannten Schwachstellen auf die Communiy anzuwenden. Diesmal jedoch mit aktivierter WAF.
    Automatisiert Schwachstellen aufspüren mit Skipfish, Nikto2, ZAP
    *Praxis: Werten Sie die Scan-Ergebnisse aus und decken so weitere Schwachstellen auf.
    Intercepting-Proxy-Deep-Dive
    Lernen Sie den bisher verwendeten Intercepting Proxy detaillierter kennen.
    *Praxis: Sie lernen die Software und die vorhandenen Funktionen Schritt für Schritt näher kennen.
    Mobile-App-Security
    Die Analyse von mobilen Anwendungen steht in diesem Kapitel im Vordergrund.
    *Praxis: Analysieren Sie eine Android-Applikation mit dem MobSF Framework und erkennen Sie die Funktionsweise der App.
    Capture The Flag Contest – mittels des erworbenen Wissens hacken Sie sich selbstständig in eine weitere Anwendung
    *Praxis: Setzen Sie das Wissen für einen erfolgreichen Penetration Test ein.
    Abschluss mit Zertifikat 

Veranstaltungsdetails
Seminarpreis
Euro 2.890,- exkl. USt.
inkl. Seminarunterlagen
inkl. Pausen und Mittagsverpflegung
inkl. sämtliche notwendige Hardware wird bereitgestellt
Seminardauer 3 Tage
Seminarzeiten täglich von 09:00 bis 17:00 Uhr
Anmeldung
Nach der Anmeldung erhalten Sie eine automatische Bestätigung
Anschließend erhalten Sie die Rechnung per E-Mail
Etwa 10 Tage vor Schulungsbeginn erhalten Sie noch einmal die Details zu Ihrem Seminar per E-Mail zugesandt
Nächtigungen
Nächtigungskosten sind nicht im Seminarpreis inkludiert. Wir haben in den u.a. Hotels Zimmer vorreserviert. Diese Zimmer sind bis 8 Wochen vor Seminar beginn direkt beim Hotel zu buchen. Eine Liste der Hotelkonditionen finden Sie hier

 

Hardware Bonus bis 31.03.2023
Hackbook das Notebook mit vorinstalliertem Kali Linux GRATIS zu jeder Anmeldung. Ideal um das Erlernte in der Praxis umzusetzen! Sie arbeiten mit dem Gerät und den Tools im Seminar, und können die Praxisübungen später direkt im Unternehmen umsetzen

 

Termine

Datum Veranstaltungsort Freie Seminarplätze Anmeldung
05.-07.12.22 HACKING WEB APPS
LIVE Webinar		 05 Plätze frei Webinar Anmeldung
23.-25.05.23 München
AZIMUT Hotel München
Kronstadter Str 6-8, 81677 München		 15 Platz frei Anmeldung hier
zum Hotel
18.-20.09.23 Berlin
ARCOTEL John F. Berlin
Werderscher Markt 11, 10117 Berlin		 16 Platz frei Anmeldung hier
zum Hotel

ACHTUNG! Dieses Seminar richtet sich nicht an Privatpersonen!

Voraussetzungen
Das Seminar richtet sich an Entwickler, Softwaretester und andere mit der Qualitätssicherung von Webanwendungen betraute Personen sowie IT-Projektleiter. Grundkenntnisse der Programmierung werden vorausgesetzt, die vermittelten Inhalte sind aber unabhängig von der konkreten Programmiersprache. Die Anwendung der Tools wird detailliert erklärt und dient der praxisrelevanten Wissensvermittlung.

Inhouse Seminar HACKING [WEB-Apps]

Gerne bieten wir dieses Seminar auch als In-House Variante für Gruppen zwischen 3 und 12 Teilnehmern aus dem selben Unternehmen an. Fragen Sie nach Ihrem persönlichen Angebot!

Feedback

Folgendes Feedback stammt direkt aus den Feedbackformularen der Teilnehmer nach dem Workshop!

  • Sven H. – Zooplus AG  „Klarverständlich. Manchmal ein bisschen kniffelig, aber das macht den Reiz aus und sorgt für den AHA-Effekt. Erwartungen wurden voll erfüllt!“
  • Thomas H. – Software GmbH „Die Erwartungen wurden voll erfüllt! Die Beispiele waren gut vorbereitet und sehr gute Hoilfestellungen! Weiteremphelung ++“
  • Richard F. – Swarovski „Awareness konnte ich durch den Kurs gut ausbauen!“
  • Nick P. – codecentric AG „Viel Input … Der Trainer vermittelt ein enormes Wissen, sowohl sehr breit als auch erstaunlich tief. Respekt! Immer da um auf Fragen und Wünsche einzugehen … Super!“
  • Sven L. – S-ConSiT GmbH „Aufgrund der Übungen werden einem die Gefahren für Webanwendungen sehr plastisch vorgeführt. Dies führt zu einem dauerhaften und intensiven Lernerfolg.“
  • Daniel F. – Roche Diagnostics GmbH „Laptops/Umgebung perfekt vorbereitet. Beispiele veranschaulichen Inhalte sehr gut. Sehr guter Kurs“
  • Jens P. – Verlag für Standesamtswesen „Theoretisch kannte ich die meisten Angriffsszenarien bereits. Es ist aber für die Einschätzung des Bedrohungsrisikos sehr hilfreich, die Angriffe in den Praxisbeispielen selbst ausprobiert zu haben. Das schärft das Sicherheitsbewusstsein ungemein. Über die Praxisbeispiele hinaus hat der Kurs das Bewusstsein für mögliche Bedrohungsszenarien sehr erweitert. Für die Anwendung und Umsetzung auf unsere Programme habe ich wertvolle Anregungen erhalten.“
  • Michael D. – Arrow ECS Internet Security AG „Der Kursinhalt wird ‚aus der Praxis für die Praxis’ vermittelt.“
  • Hr. S. – Hessischer Rundfunk „Kennen lernen neuer Tools, sehr interessant. Grundkenntnisse konnten wie erwartet vertieft werden. Gut verständlicher Vortrag, gute Didaktik!“
  • Vladimir S. – LHS „Sehr gut! Typische Fälle wie Injection, XSS usw. wurden gut abgebildet und man hat die Vorstellung auf jeden Fall bekommen wie man die Schwachstellen entdeckt und dann beseitigt. Danke!“