15 Jahre Erfahrung FreeCall 0800 tutegos

Sichere Web-Anwendungen entwickeln

Das Web 2.0 und neue Programmiertechniken öffnen auch immer neue Angriffsflächen für Hacker. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat zu diesem Thema einen ›Maßnahmenkatalog und Best Practices für Sicherheit von Webanwendungen‹ herausgegeben. Dieses Seminar behandelt sowohl die BSI-Richtlinien als auch weiterführende Techniken, mit denen Entwickler ihre Web-Anwendungen und Server vor Cracking und Datendiebstahl schützen können. Teilnehmer lernen durch praxisnahe Anwendungsbeispiele sowohl Schwachstellen vor der Entwicklung aufzudecken und zu schließen, als auch bestehende Anwendungen vor Angriffen zu schützen.

Inhalte des Seminars

[LOGO]

Grundlagen sicherer Web-Anwendungen

  • Was bedeutet Sicherheit?
  • Minimalitätsprinzip für Informationen
  • Ebenenmodell zur Sicherheitskonzeption
  • Social Engineering-Angriffe
  • Programmierfehler
  • Verschlüsselung SSL/TLS/HTTPS
  • Authentifizierungsverfahren im Web, Benutzerkennungen
  • Absicherung der Systemplattform
  • Ältere Web-Anwendungen überprüfen
  • Vorgehensmodell bei neuen Web-Anwendungen
  • Microsofts STRIDE Model
  • Das ›Open Web Application Security Project‹ (OWASP)

Formulardaten und allgemeine Datenübergaben via HTTP

  • Manipulierte Benutzereingaben
  • Strategien zur Verhinderung von Parametermanipulationen
  • Parametermanipulation über GET und POST
  • Datenvalidierung, Filterung
  • Client-Validierung und Server-Validierung
  • Header-Manipulation
  • Directory Traversal (Path Traversal) verhindern

Cross-Site Scripting (XSS)

  • Das Prinzip der Code-Injizierung
  • Gefahren durch Injizierung von HTML (Defacement) und Client-seitigen Skripten
  • Whitelist-Verfahren und Blacklist-Verfahren
  • Filterung von HTML-Tags
  • Sicherheit von JavaScript
  • DOM-based (Type 0) XSS Verwundbarkeit (local cross-site scripting)
  • Non-persistent (Type 1) Verwundbarkeit
  • Persistent (Type 2) Verwundbarkeit
  • Frame Injection

Authentifizierung und sichereres Session Management

  • Authentifizierung von Clients
  • Wie kommt der Zustand in das zustandslose HTTP?
  • URL-Rewriting, Cookies, Session-ID
  • Sichere Session-IDs
  • Referrer-Leck verhindern
  • Secure-Flag von Cookies, HttpOnly-Flag
  • Gültigkeitsdauer einer Session, SessionID erneuern, Session beenden
  • Nutzung von Tokens
  • IP-Adresse an die Session binden, Proxy-Architektur berücksichtigen
  • Sichere URL-Weiterleitungen (Redirects)
  • ›Cross-Site Request Forgery‹ (CSRF) als verwandter Angriff

Datenbankgetriebene Webseiten

  • Was ist SQL-Injection?
  • Beispiele und Vermeidungsstrategien
  • First Order, Second Order SQL-Injection
  • Escape-Funktionen verschiedener Programmbibliotheken
  • Absichern durch Prepared Statements und OR-Mapper
  • Datenbanken sicher konfigurieren, Privilegien bei Abfragen/Änderungen
  • Allgemeine Probleme durch Remote-Command Execution

Absichern der Serverumgebung

  • Ungewollte Veröffentlichung interner Informationen
  • Kommentar einer Webseite
  • Informationen über Serverumgebung verschleiern
  • Einholen von Fingerprints über Web-Server, Betriebssystem unterbinden
  • Namenserweiterungen richtig setzen
  • Fehlerseiten
  • Logging, Monitoring und Patching
  • Rechtevergabe, Dateiberechtigungen für Verzeichnisse
  • Benutzerkennung für Web-Server und Datenbank

Verhinderung von Denial-of-Service Attacken

  • Welche automatisierten Angriffe gibt es?
  • Angreifbarkeit des Passworts
  • Rätselfrage
  • Mustererkennung (Captchas)
  • Blocken und Verzögern von Zugriffen

Verteidigung durch Web Shields und Web-Scanner

  • Web Application Firewalls, Web Shields
  • Schutz des Apache Web-Servers
  • Application-Level-Firewall mit Apache mod_security
  • Web Application Scanner (Web Scanner)
  • Code-Scanner und Tools für Penetration Tests
  • Kommerzielle und freie Tools im Überblick
  • Sicherheitstestplan entwickeln und Sicherheitstest durchführen
  • Rechtliche Aspekte von Web-Scannern

Weitere Sicherheitsbemerkungen

  • Obfuscation/Decompilierung von Java-Applets, Flash-/Silverlight-Anwendungen
  • HTML and JavaScript durch Google Caja absichern
  • Ajax Security, JavaScript Hijacking
  • Google als Hacking Tool
  • Persistent Cookies, Cached Web Content
  • Browser History
  • Umsetzung der Angriffsmethoden in der Praxis
  • Wie ein Hacker bei Web-Angriffen vorgeht

Termine / Kontakt

Wir helfen Ihnen gerne bei der Anmeldung und einen passenden Termin zu finden. Kontaktieren Sie uns per E-Mail oder unter 0800/tutegos (kostenlos aus allen Netzen).

Die Fakten

  • Empfohlene Schulungsdauer: 2 Tage, insgesamt 16 Unterrichtsstunden à 45 Minuten
  • Zielgruppe: Anwendungsentwickler, Projektleiter, Sicherheitsbeauftragte, Administratoren
  • Seminar-Software: Das Seminar ist programmiersprachenunabhängig und ist für alle serverseitigen Technologien wie PHP, Java, .NET gültig. Bezüge zu aktuellen Bibliotheken sind gewährleistet.

Weiterführende Seminare

In den Seminaren JavaServer Faces 2.2, JavaServer Pages (JSP) und Servlets, Web-Applikationen mit ASP.NET, Google Web Toolkit (GWT) lernen Teilnehmer Möglichkeiten kennen, welche Sicherungsmöglichkeiten ihr Web-Framework bietet.

Verweise

Alle Kategorien

Was Teilnehmer sagen

›Das tutego-Seminar war genau auf unsere Wünsche abgestimmt. Somit konnten wir 100% davon in unser Tagesgeschäft übernehmen.‹
Jens-Peter B., Rossmann

›Bester Kurs, den ich je besucht habe.‹
Kent G., Deutsche Bank

›Schöne Schulung. Endlich das ein oder andere AHA-Erlebnis.‹
Teilnehmer, innovas

›Die lockere, aber stets themenbezogene Art des Trainers, die es ihm ermöglicht, auch schwierige Sachverhalte deutlich zu machen [hat mir besonders gut gefallen].‹
Jörg H., Bundeswehr

›[Der tutego-Trainer] hat es mühelos geschafft, auch komplizierte Sachverhalte leicht verständlich darzustellen. Seine Begeisterung für das Thema hat sich nachhaltig auf die Teilnehmer übertragen - ich kann den Trainer nur weiterempfehlen.‹
Mathias W., Deutsche Afrika-Linien

›Referent war sehr kompetent. Referent ging stets auf Fragen ein.‹
Reinholt P., debis Systemhaus

›Guter Dozent, der weiß wovon er redet.‹
Jochen H., Dresdner Bank

›Die tutego-Trainer waren äußerst kompetent, konnten ihr Wissen sehr gut vermitteln und sind stets auf alle Fragen und Problemstellungen eingegangen.‹
Teilnemer, Nö. Gebietskrankenkasse

›Die Vortragsart des Referenten und dessen fachliche Sicherheit [hat mit sehr gefallen]. Gute Übungen, Konzentration auf das Wesentliche.‹
Gil R., MDR

›Durch seine moderne und kompetente Art schafft es C. Ullenboom mit seinem fundierten Hintergrundwissen den Seminarteilnehmern jedes Thema aus dem Bereich Java verständlich zu machen und das Interesse für neue Technologien zu wecken.‹
René D., Servicezentrum Landentwicklung und Agrarförderung

›Vielen Dank noch einmal für das interessante und umfangreiche Seminar. Mir persönlich hat es viel gebracht!.‹
Thomas S., Sächsische Aufbaubank/Förderbank

›[Der tutego-Trainer] hat uns das komplexe Thema Objective-C sehr kompetent vermittelt. Beide Trainings waren individuell auf uns abgestimmt.‹
Andre M., Gathmann Michaelis und Freunde

›Die Schulung ist sehr gut bei den Teilnehmern angekommen. Ich habe bisher nur positives Feedback erhalten.‹
Torsten L., Netbiscuits

›Wir waren mit dem Kurs sehr zufrieden. Auch die Unterlagen sind sehr gut aufbereitet.‹
Igor R., typo3expert.at

›Die Abstimmung im Vorfeld über die Inhalte ist gut gelaufen, es war eine sehr individuelle Betreuung, wie man das von einem Inhouse Seminar in dieser Form erwartet hat.‹
Dr. Andreas V., edacentrum

›Die Kursteilnehmer waren mit dem Kurs sehr zufrieden. In den vier abgehaltenen Seminarblöcken wurden die Kursanforderungen vollständig abgedeckt, die Kursinhalte konnten individuell abgesprochen werden.‹
Teilnemer, Nö. Gebietskrankenkasse

›Die Schulung bot einen kompakten und zielgerichteten Wissenstransfer auf hohem Niveau. Im Ergebnis für alle Teilnehmer eine echte Bereicherung.‹
Johannes W., Schönhofer Sales and Engineering

›Das Training war logisch strukturiert, inhaltlich auf unseren fachlichen Anspruch abgestimmt und hat zudem noch Spaß gemacht. Vielen Dank für diese tolle Schulung.‹
Christoph G., my.IRS

›Wir waren sehr zufrieden. Die Teilnehmer haben das mitgenommen, was sie brauchten und erwartet haben.‹
Michael O., Basler Versicherungen

›Das thematisch flexibel gestaltete Seminar hat unsere Einsteiger und auch fortgeschrittenen Teilnehmer begeistert.‹
Ralph B., PiSA sales

›Wir kommen sicherlich wegen des nächsten geplanten Seminars auf den tutego-Trainer zurück.‹
Ralph B., PiSA sales

›Wir waren mit dem C# Seminar sehr zufrieden. Der Referent hat unsere Sonderwünsche sofort, kompetent und eingehend behandelt. Wir hoffen auf eine baldige Fortsetzung des Seminars zur Vertiefung des Stoffes. ‹
Winfried S., Lacroix Electronics

›Der Trainer hat die Balance zwischen den unterschiedlichen Vorkenntnissen von Anfängern und Fortgeschrittenen hervorragend gemeistert.‹
Brigitte K., Rutronik Elektronische Bauelemente GmbH

›Wir waren sehr zufrieden mit den Workshop und die Erwartungen wurden sogar übertroffen. Zudem ist auch die Nachbetreuung durch den tutego-Referenten exzellent.‹
Oliver J., SRS-Management

›Wir waren rundum zufrieden und würden uns freuen, den tutego-Referenten bei weiteren Schulungen in unserem Hause begrüßen zu dürfen.‹
Carsten P., Barmenia Versicherungen

›Ihr Dozent hat bei uns für zwei spannende Tage gesorgt, ich habe nur positive Feedback von meinen Kollegen gehört. Sowohl seine Kompetenz als auch der Inhalt der Schulung, sowie die Art und Weise, wie er das präsentiert hat, kamen sehr gut an!‹
Wladimir J., circ IT

›Das Java Seminar hat uns einen grossen Schritt nach vorne gebracht, da es genau auf unsere Bedürfnisse zugeschnitten war. Vielen Dank nochmals dafür.‹
Wolfgang S., signotec

›Der Dozent hatte sich relativ schnell auf unser doch sehr hohes Niveau eingestellt und die Schulung entsprechend dynamisch angepasst.‹
Torsten L., Netbiscuits

›Die Schulung [...] hat prima geklappt und die Teilnehmer waren ausnahmslos mit dem Trainer sehr zufrieden. Das vermittelte Wissen wird uns sicher den Start in eine neue Technologie ermöglichen.‹
Hendrik F. d. C., Wincor Nixdorf International

›Der Trainer war gut vorbereitet und hoch motiviert und er hat zwischen Frontvortrag, interaktiver Entwicklung des Stoffs am Whiteboard und praktischen Übungen am PC gut gewechselt.‹
Hendrik F. d. C., Wincor Nixdorf International

›Ich würde den Dozenten jederzeit weiterempfehlen und wäre auch nicht abgeneigt, weitere Kurse von Ihm abhalten zu lassen.‹
Torsten L., Netbiscuits

›Der Primefaces Kurs mir persönlich sehr gut gefallen. Der Kursleiter hat es geschafft uns die Besonderheiten von PrimeFaces zu vermitteln.‹
Greta Z., Raiffeisenverband

›Der Referent ist auch auf unsere Fragen eingegangen und hat diese sehr professionell beantwortet.‹
Greta Z., Raiffeisenverband

›Die Themen waren spannend und sehr breit aufgestellt. Der Trainer hat die Themen gut vermittelt.‹
Teilnemer, gadiv