JETZT AUCH ALS WEBINAR link
In unserem Praxisseminar HACKING [WEB APPS] zeigen wir Ihnen die Techniken, Vorgehensweisen und Tools, die Hacker verwenden um sich Zugriff auf Ihre Webanwendung zu verschaffen.
Finden Sie die Sicherheitslücke in Ihrer Anwendung – bevor es ein Angreifer tut!
In unserem Hacking Lab hacken Sie selbst. Anhand eines konkreten durchgängigen Web Community Projekts
- bestimmen Sie Risiken und Bedrohungen,
- erkennen Sie die Schwachstellen,
- hacken Sie sich selbständig in die Anwendung,
- erarbeiten Sie Gegenmaßnahmen.
So lernen Sie die größten Risiken für Webanwendungen praxisnah kennen und erfahren, wie man sich wirkungsvoll vor ihnen schützt. Erkennen Sie Anzeichen für laufende Angriffe und wehren Sie diese ab. Geben Sie Angreifern keine Chance! Klar strukturierte Checklisten und Methoden helfen Ihnen, das Erlernte direkt in Ihrem Unternehmen umzusetzen.
Inhalt
LAB steht in PHP und JAVA zur Verfügung – Sämtliche Übungen sind in JAVA und PHP!
[Tag 1] – Information Gathering und Initialangriffe
Bedrohungen bestimmen und bewerten
Wer greift an? Woher kommt der Angriff? Was sind lohnende Ziele?
Welche Möglichkeiten gibt es für das Unternehmen sich zu schützen?
Fingerprinting
Lernen Sie wie Angreifer herausfinden welche Software zum Einsatz kommt. Welche Tools werden von den Angreifern verwendet?
*Praxis: Bestimmen Sie nach der zuvor gelernten Methode Bedrohungen, denen die Community ausgesetzt ist.
Fallstricke bei der Überprüfung – UTF-8 und andere Kodierungen, reguläre Ausdrücke
Sind Ihre Schwachstellen den Angreifern längst bekannt?
Google Hacking, Frameworks, Social Networks
Was sind die OWASP Top 10?
Die zehn größten Sicherheitsrisiken für Webanwendungen.
Google Hacking
Lernen Sie Suchmaschinen und deren Nutzen für Angreifer kennen. Nicht nur Google wird von Angreifern verwendet (z.B. Shodan)
*Praxis: Hacking mittels Suchmaschinen live im Internet
Brute-Force-Angriffe
Wie können Angreifer schwache Zugangsdaten herausfinden? Welche Gegenmaßnahmen gibt es dabei?
Cross Site Scripting / XSS
User ausspähen und manipulieren, Webseiten übernehmen
*Praxis: Spüren Sie anfällige Seiten auf und führen Sie verschiedene XSS-Angriffe aus. Sehen Sie so die Bedeutung dieses Angriffs in einem ganz neuen Licht.
HTML5 Security Praxis
Cross-Site-Scripting in Zeiten von HTML5, Was ist die Content-Security-Policy? Und vieles mehr…
Cross Site Request Forgery / CSRF
Weit verbreitet kaum bekannt – vorausgefüllte Formulare im Namen anderer Absenden und die passenden Gegenmaßnahmen.
*Praxis: Finden Sie Formulare die nicht durch CSRF geschützt sind. Bringen Sie einen anderen Benutzer dazu Gruppen zu erstellen durch den Besuch eines schädlichen Links.
[Tag 2] – Serverseitige Schwachstellen
Fehler in der Authentifizierung und dem Session Management
*Praxis: Sie analysieren Sessions und finden deren Schwächen.
SQL Injection, LDAP Injection, Command Injection
Daten ausspähen und einschleusen.
*Praxis: Dringen Sie in den Account eines ahnungslosen Users ein. Finden Sie die geheimen Nachrichtenkanäle der Administratoren.
SQL Injections automatisieren – Lassen Sie ein Tool arbeiten um die Schwachstellen zu finden.
*Praxis: Durch die Verwendung von sqlmap wird der vorher gesehene Angriff automatisiert.
Direkter Zugriff auf vertrauliche Daten
*Praxis: Lesen Sie die geheimen Nachrichten des Community Managements.
XML External Entities – XXE
Schwachstellen innerhalb von XML-Parsern verstehen und ausnutzen.
*Praxis: Verwenden Sie ein verwundbares Web-Service um lokale Dateien am Server zu lesen.
JSON-Webserices
Worin unterscheiden sich JSON-Webservices im Gegensatz zu XML-Webservices? Sind beide Verwundbar?
Direkte Objektreferenzierung – IDOR
Lernen Sie Fehlfunktionen von Applikationen kennen, welche direkt auf Dateien zugreifen
*Praxis: Durch die gezielte Lokalisierung einer Schwachstelle werden Konfigurationsdateien inkl. Passwörtern ausgelesen.
File Uploads
Viel verwendet, häufig mit Fehlern gespikt.
*Praxis: In einem eigenen „File-Upload-Lab“ lernen Sie gängige Fehler in File-Uploads kennen.
Server-Side-Request-Forgery (SSRF)
Lernen Sie wie Angreifer durch Fehlfunktionen den Server dazu bringen Requests abzusenden.
*Praxis: In einem eigenen „SSRF-Lab“ lernen Sie die Schwachstelle näher kennen.
Web-Shells und Post-Exploitation
Sehen Sie Tools die Angreifer einsetzen um weiter in das Netzwerk vorzudringen.
[Tag 3] – Spezialthemen
Web Application Firewall (WAF)
Wodurch unterstützt eine WAF Administratoren? Wie gut greifen die Schutzmechanismen?
*Praxis: Sie versuchen die bisher bekannten Schwachstellen auf die Communiy anzuwenden. Diesmal jedoch mit aktivierter WAF.
Automatisiert Schwachstellen aufspüren mit Skipfish, Nikto2, ZAP
*Praxis: Werten Sie die Scan-Ergebnisse aus und decken so weitere Schwachstellen auf.
Intercepting-Proxy-Deep-Dive
Lernen Sie den bisher verwendeten Intercepting Proxy detaillierter kennen.
*Praxis: Sie lernen die Software und die vorhandenen Funktionen Schritt für Schritt näher kennen.
Mobile-App-Security
Die Analyse von mobilen Anwendungen steht in diesem Kapitel im Vordergrund.
*Praxis: Analysieren Sie eine Android-Applikation mit dem MobSF Framework und erkennen Sie die Funktionsweise der App.
Capture The Flag Contest – mittels des erworbenen Wissens hacken Sie sich selbstständig in eine weitere Anwendung
*Praxis: Setzen Sie das Wissen für einen erfolgreichen Penetration Test ein.
Abschluss mit Zertifikat
Veranstaltungsdetails
| Seminarpreis |
Euro 2.690,- exkl. USt.
inkl. Seminarunterlagen
inkl. Pausen und Mittagsverpflegung
inkl. sämtliche notwendige Hardware wird bereitgestellt
|
| Seminardauer | 3 Tage |
| Seminarzeiten | täglich von 09:00 bis 17:00 Uhr |
| Anmeldung |
Nach der Anmeldung erhalten Sie eine automatische Bestätigung
Anschließend erhalten Sie die Rechnung per E-Mail
Etwa 10 Tage vor Schulungsbeginn erhalten Sie noch einmal die Details zu Ihrem Seminar per E-Mail zugesandt
|
| Nächtigungen |
Nächtigungskosten sind nicht im Seminarpreis inkludiert. Wir haben in den u.a. Hotels Zimmer vorreserviert. Diese Zimmer sind bis 8 Wochen vor Seminar beginn direkt beim Hotel zu buchen. Eine Liste der Hotelkonditionen finden Sie hier
|
Hardware Bonus bis 31.12.2020
Hackbook das Notebook mit vorinstalliertem Kali Linux GRATIS zu jeder Anmeldung. Ideal um das Erlernte in der Praxis umzusetzen! Sie arbeiten mit dem Gerät und den Tools im Seminar, und können die Praxisübungen später direkt im Unternehmen umsetzen
Termine
| Datum | Veranstaltungsort | Freie Seminarplätze | Anmeldung |
|---|---|---|---|
| WEBINAR | HACKING WEB APPS als Praxis |
Webinar | |
| 29.09.-01.10.20 | Berlin Hotel ARCOTEL John F. Werderscher Markt 11, 10117 Berlin +49 30 405046-1981 |
AUFGRUND VON COVID-19 LOCKDOWN ABGESAGT |
|
| 30.11.-02.12.20 | Köln Hotel Mondial Köln am Dom Kurt-Hackenberg-Platz 1, 50667 Köln +49 221 2063 510 |
AUFGRUND VON COVID-19 LOCKDOWN ABGESAGT |
zum Hotel |
| 20.-22.04.21 | München
AZIMUT Hotel München |
15 Plätze frei | Anmeldung hier zum Hotel |
| 08.-10.06.21 | Hamburg
Empire Riverside Hamburg |
15 Plätze frei | Anmeldung hier zum Hotel |
| 30.11.-02.12.21 | Köln
Hotel Mondial Köln am Dom |
15 Plätze frei | Anmeldung hier zum Hotel |
ACHTUNG! Dieses Seminar richtet sich nicht an Privatpersonen!
Voraussetzungen
Das Seminar richtet sich an Entwickler, Softwaretester und andere mit der Qualitätssicherung von Webanwendungen betraute Personen sowie IT-Projektleiter. Grundkenntnisse der Programmierung werden vorausgesetzt, die vermittelten Inhalte sind aber unabhängig von der konkreten Programmiersprache. Die Anwendung der Tools wird detailliert erklärt und dient der praxisrelevanten Wissensvermittlung.
Inhouse Seminar HACKING [WEB-Apps]
Gerne bieten wir dieses Seminar auch als In-House Variante für Gruppen zwischen 3 und 12 Teilnehmern aus dem selben Unternehmen an. Fragen Sie nach Ihrem persönlichen Angebot!
Feedback
Folgendes Feedback stammt direkt aus den Feedbackformularen der Teilnehmer nach dem Workshop!
- Sven H. – Zooplus AG „Klarverständlich. Manchmal ein bisschen kniffelig, aber das macht den Reiz aus und sorgt für den AHA-Effekt. Erwartungen wurden voll erfüllt!“
- Thomas H. – Software GmbH „Die Erwartungen wurden voll erfüllt! Die Beispiele waren gut vorbereitet und sehr gute Hoilfestellungen! Weiteremphelung ++“
- Richard F. – Swarovski „Awareness konnte ich durch den Kurs gut ausbauen!“
- Nick P. – codecentric AG „Viel Input … Der Trainer vermittelt ein enormes Wissen, sowohl sehr breit als auch erstaunlich tief. Respekt! Immer da um auf Fragen und Wünsche einzugehen … Super!“
- Sven L. – S-ConSiT GmbH „Aufgrund der Übungen werden einem die Gefahren für Webanwendungen sehr plastisch vorgeführt. Dies führt zu einem dauerhaften und intensiven Lernerfolg.“
- Daniel F. – Roche Diagnostics GmbH „Laptops/Umgebung perfekt vorbereitet. Beispiele veranschaulichen Inhalte sehr gut. Sehr guter Kurs“
- Jens P. – Verlag für Standesamtswesen „Theoretisch kannte ich die meisten Angriffsszenarien bereits. Es ist aber für die Einschätzung des Bedrohungsrisikos sehr hilfreich, die Angriffe in den Praxisbeispielen selbst ausprobiert zu haben. Das schärft das Sicherheitsbewusstsein ungemein. Über die Praxisbeispiele hinaus hat der Kurs das Bewusstsein für mögliche Bedrohungsszenarien sehr erweitert. Für die Anwendung und Umsetzung auf unsere Programme habe ich wertvolle Anregungen erhalten.“
- Michael D. – Arrow ECS Internet Security AG „Der Kursinhalt wird ‚aus der Praxis für die Praxis’ vermittelt.“
- Hr. S. – Hessischer Rundfunk „Kennen lernen neuer Tools, sehr interessant. Grundkenntnisse konnten wie erwartet vertieft werden. Gut verständlicher Vortrag, gute Didaktik!“
- Vladimir S. – LHS „Sehr gut! Typische Fälle wie Injection, XSS usw. wurden gut abgebildet und man hat die Vorstellung auf jeden Fall bekommen wie man die Schwachstellen entdeckt und dann beseitigt. Danke!“