In unserem Praxisseminar HACKING [WEB APPS] zeigen wir Ihnen die Techniken, Vorgehensweisen und Tools, die Hacker verwenden um sich Zugriff auf Ihre Webanwendung zu verschaffen.
Finden Sie die Sicherheitslücke in Ihrer Anwendung – bevor es ein Angreifer tut!
In unserem Hacking Lab hacken Sie selbst. Anhand eines konkreten durchgängigen Web Community Projekts
– bestimmen Sie Risiken und Bedrohungen,
– erkennen Sie die Schwachstellen,
– hacken Sie sich selbständig in die Anwendung,
– erarbeiten Sie Gegenmaßnahmen.
So lernen Sie die größten Risiken für Webanwendungen praxisnah kennen und erfahren, wie man sich wirkungsvoll vor ihnen schützt. Erkennen Sie Anzeichen für laufende Angriffe und wehren Sie diese ab. Geben Sie Angreifern keine Chance! Klar strukturierte Checklisten und Methoden helfen Ihnen, das Erlernte direkt in Ihrem Unternehmen umzusetzen.
Inhalt
LAB steht in PHP und JAVA zur Verfügung – Sämtliche Übungen sind in JAVA und PHP!
[Tag 1]
> Bedrohungen bestimmen und bewerten
Wer greift an? Woher kommt der Angriff? Was sind lohnende Ziele?
*Praxis: Bestimmen Sie nach der zuvor gelernten Methode Bedrohungen, denen die Community ausgesetzt ist.
> Hackertools nicht nur für Hacker
Burp Suite, Arachni, NetSparker, Nikto, Skipfish, ZAP und weitere
> Was sind die OWASP Top 10?
Die zehn größten Sicherheitsrisiken für Webanwendungen.
> HTML5 Security Praxis NEU!!!
> SQL Injection, LDAP Injection, Command Injection – Daten ausspähen und einschleusen.
*Praxis: Dringen Sie in den Account eines ahnungslosen Users ein. Finden Sie die geheimen Nachrichtenkanäle der Administratoren.
> Cross Site Scripting / XSS
User ausspähen und manipulieren, Webseiten übernehmen
*Praxis: Spüren Sie anfällige Seiten auf und führen Sie verschiedene XSS-Angriffe aus. Sehen Sie so die Bedeutung dieses Angriffs in einem ganz neuen Licht.
[Tag 2]
> Web Application Firewall (WAF) Hacking NEU!!!
> Fehler in der Authentifizierung und dem Session Management
*Praxis: Sie analysieren Sessions und finden deren Schwächen.
> Direkter Zugriff auf vertrauliche Daten
*Praxis: Lesen Sie die geheimen Nachrichten des Community Managements.
> Cross Site Request Forgery / CSRF
Weit verbreitet kaum bekannt
*Praxis: Bringen Sie als Angreifer andere Nutzer dazu, von Ihnen manipulierte Aktionen auszuführen.
> Fehler in der Konfiguration.
Standardsoftware, offene Ports, ungenutzte Dienste
> Ungeschützt trotz Verschlüsselung – SSL, md5, DES, SHA, Rainbow Tables
> Zugriff auf privilegierte Seiten
*Praxis: Erlangen Sie Administratorrechte in der Community.
> Sind wirklich alle Übertragungswege ausreichend geschützt?
> Umleitungen und Weiterleitungen unterstützen Phishing und andere Angriffe
> Fallstricke bei der Überprüfung – UTF-8 und andere Kodierungen, reguläre Ausdrücke
> Sind Ihre Schwachstellen den Angreifern längst bekannt?
Google Hacking, Frameworks, Social Networks
> Risiken minimieren
Die 10 Prinzipien sicherer Programmierung.
[Tag 3]
> Regressionstests im Browser.
Schnell und flexibel mittels Selenium
*Praxis: Erstellen Sie automatisierte Tests, mit denen Sie auf das Vorhandensein der zuvor aufgedeckten Schwachstellen prüfen.
> Automatisiert Schwachstellen aufspüren mit Skipfish, Nikto2, Burp Suite (NEU)
*Praxis: Werten Sie die Scan-Ergebnisse aus und decken so weitere Schwachstellen auf.
> Den eigenen Sicherheitsstand bewerten und verbessern
*Praxis: Bestimmen Sie für Ihr Unternehmen, wo sie stehen und was Sie konkret als nächstes verbessern können.
> Capture The Flag Contest – mittels des erworbenen Wissens hacken Sie sich selbstständig in eine weitere Anwendung
*Praxis: Setzen Sie das Wissen für einen erfolgreichen Penetration Test ein.
> Abschluss mit Zertifikat
Veranstaltungsdetails | |
Seminarpreis |
Euro 2.590,- exkl. USt.
inkl. Seminarunterlagen
inkl. Pausen und Mittagsverpflegung
inkl. sämtliche notwendige Hardware wird bereitgestellt
|
Seminardauer | 3 Tage |
Seminarzeiten | täglich von 09:00 bis 17:00 Uhr |
Anmeldung |
Nach der Anmeldung erhalten Sie eine automatische Bestätigung
Anschließend erhalten Sie die Rechnung per E-Mail
Etwa 10 Tage vor Schulungsbeginn erhalten Sie noch einmal die Details zu Ihrem Seminar per E-Mail zugesandt
|
Nächtigungen |
Nächtigungskosten sind nicht im Seminarpreis inkludiert. Wir haben in den u.a. Hotels Zimmer vorreserviert. Diese Zimmer sind bis 8 Wochen vor Seminar beginn direkt beim Hotel zu buchen. Eine Liste der Hotelkonditionen finden Sie hier
|
Durchführungsgarantie |
Alle unsere Seminare finden statt. Bei uns gibt es keine Seminar Absage wegen geringer Teilnehmerzahl odgl.
|
>>> Frühbucher Bonus verlängert bis 30. April 18
Hackbook das Notebook mit Kali Linux GRATIS zu jeder Anmeldung. Ideal um das Erlernte in der Praxis umzusetzen! Sie arbeiten mit dem Gerät und den Tools im Seminar, und können die Praxisübungen später direkt im Unternehmen umsetzen
Termine
Datum | Ort | Freie Seminarplätze | Anmeldung |
23.-25.04.18 | München
Leonardo Hotel München Arabellapark link |
03/15 Plätze frei |
Anmeldung hier |
18.-20.06.18 | Hamburg
Hotel Side link |
05/15 Plätze frei |
|
26.-28.11.18
neuer Termin |
Berlin
Hotel Arcotel John F link |
14/15 Plätze frei |
ACHTUNG! Dieses Seminar richtet sich nicht an Privatpersonen!
Voraussetzungen
Das Seminar richtet sich an Entwickler, IT-Projektleiter, Softwaretester und andere mit der Qualitätssicherung von Webanwendungen betraute Personen. Grundkenntnisse der Programmierung werden vorausgesetzt, die vermittelten Inhalte sind aber unabhängig von der konkreten Programmiersprache. Die Anwendung der Tools wird detailliert erklärt und dient der praxisrelevanten Wissensvermittlung.
Inhouse Seminar HACKING [WEB-Apps]
Gerne bieten wir dieses Seminar auch als In-House Variante für Gruppen zwischen 3 und 12 Teilnehmern aus dem selben Unternehmen an. Fragen Sie nach Ihrem persönlichen Angebot!
Teilnehmerstimmen
Folgendes Feedback stammt direkt aus den Feedbackformularen der Teilnehmer nach dem Workshop!
Sven Heinz – Zooplus AG „Klarverständlich. Manchmal ein bisschen kniffelig, aber das macht den Reiz aus und sorgt für den AHA-Effekt. Erwartungen wurden voll erfüllt!“
Thomas Hadinger Software GmbH „Die Erwartungen wurden voll erfüllt! Die Beispiele waren gut vorbereitet und sehr gute Hoilfestellungen! Weiteremphelung ++“
Richard Federa – Swarovski „Awareness konnte ich durch den Kurs gut ausbauen!“
Nick Prosch – codecentric AG „Viel Input … Der Trainer vermittelt ein enormes Wissen, sowohl sehr breit als auch erstaunlich tief. Respekt! Immer da um auf Fragen und Wünsche einzugehen … Super!“
Sven Lammers – S-ConSiT GmbH „Aufgrund der Übungen werden einem die Gefahren für Webanwendungen sehr plastisch vorgeführt. Dies führt zu einem dauerhaften und intensiven Lernerfolg.“
Daniel Filkow – Roche Diagnostics GmbH „Laptops/Umgebung perfekt vorbereitet. Beispiele veranschaulichen Inhalte sehr gut. Sehr guter Kurs“
Jens Puhle – Verlag für Standesamtswesen „Theoretisch kannte ich die meisten Angriffsszenarien bereits. Es ist aber für die Einschätzung des Bedrohungsrisikos sehr hilfreich, die Angriffe in den Praxisbeispielen selbst ausprobiert zu haben. Das schärft das Sicherheitsbewusstsein ungemein. Über die Praxisbeispiele hinaus hat der Kurs das Bewusstsein für mögliche Bedrohungsszenarien sehr erweitert. Für die Anwendung und Umsetzung auf unsere Programme habe ich wertvolle Anregungen erhalten.“
Michael Daxberger – Arrow ECS Internet Security AG „Der Kursinhalt wird ‚aus der Praxis für die Praxis’ vermittelt.“
Hr. Schäfer – Hessischer Rundfunk „Kennen lernen neuer Tools, sehr interessant. Grundkenntnisse konnten wie erwartet vertieft werden. Gut verständlicher Vortrag, gute Didaktik!“
Vladimir Shagovalev – LHS „Sehr gut! Typische Fälle wie Injection, XSS usw. wurden gut abgebildet und man hat die Vorstellung auf jeden Fall bekommen wie man die Schwachstellen entdeckt und dann beseitigt. Danke!“
*) oder technisch vergleichbares Gerät