Home › Seminare › Digitale Kompetenz › WEBSEC
25 Jahre Erfahrung FreeCall 0800 tutegos
Sichere Webanwendungen entwickeln
Moderne Webanwendungen und HTTP APIs sind heute zentraler Bestandteil vieler Unternehmensanwendungen und gleichzeitig ein häufiges Ziel von Angriffen. Sicherheitslücken entstehen dabei nicht nur durch technische Schwächen, sondern oft auch durch fehlerhafte Architekturentscheidungen, unsichere Konfigurationen und unzureichende Eingabevalidierung. Das Seminar vermittelt praxisnah die Entwicklung und Absicherung sicherer Webanwendungen auf Basis aktueller Sicherheitsstandards und Empfehlungen, unter anderem des Bundesamts für Sicherheit in der Informationstechnik (BSI) und des Open Web Application Security Project (OWASP). Teilnehmer lernen typische Schwachstellen moderner Webanwendungen kennen und erfahren, wie sich Angriffe frühzeitig erkennen und vermeiden lassen. Anhand konkreter Beispiele behandelt der Kurs Sicherheitsmechanismen für Authentifizierung, Session-Management, HTTP-Kommunikation, Datenbanken und Webserver. Weitere Themen sind sichere Softwarearchitektur, Absicherung von APIs, Sicherheits-Testing sowie Monitoring und Logging moderner Websysteme.
![[LOGO]](../../../images/seminare/logos/web-security.svg)
![[decoration]](../../../images/learning-group.webp)
Inhalte des Seminars
Grundlagen sicherer Webanwendungen
- Sicherheitsziele und Bedrohungsmodelle
- Sicherheitsprinzipien moderner Webanwendungen
- Minimalitätsprinzip und Least Privilege
- Ebenenmodell zur Sicherheitskonzeption
- Typische Angriffsvektoren
- Social Engineering
- Sicherheitsrisiken durch Programmierfehler
- TLS, HTTPS und sichere Kommunikation
- Authentifizierung und Autorisierung
- Absicherung der Systemplattform
- Sicherheitsrichtlinien des BSI
- Einführung in OWASP Top 10
- STRIDE-Bedrohungsmodell
Eingabevalidierung und HTTP-Sicherheit
- Manipulierte Benutzereingaben
- Validierung und Sanitizing
- Serverseitige und clientseitige Validierung
- Sichere Verarbeitung von Formular- und API-Daten
- Schutz vor Parameter-Manipulation
- Sichere Nutzung von HTTP-Headern
- Schutz vor Directory Traversal
- Dateiuploads absichern
Cross-Site Scripting (XSS)
- Grundlagen von Code-Injektionen
- Reflected, Stored und DOM-based XSS
- HTML- und JavaScript-Injektionen
- Context-sensitive Output-Encoding
- Whitelist- und Blacklist-Ansätze
- Content Security Policy (CSP)
- Schutzmechanismen moderner Frameworks
- Frame Injection und Clickjacking
Authentifizierung und Session-Management
- Zustandsverwaltung in HTTP-Anwendungen
- Sessions, Cookies und Tokens
- Sichere Session-IDs
- HttpOnly-, Secure- und SameSite-Cookies
- Ablauf und Erneuerung von Sessions
- Schutz vor Session Hijacking
- Sichere Redirects
- Schutz vor Cross-Site Request Forgery (CSRF)
- Multi-Faktor-Authentifizierung
- OAuth2 und OpenID Connect
Datenbanken und Backend-Sicherheit
- SQL-Injection
- First-Order- und Second-Order-Injections
- Prepared Statements
- OR-Mapper sicher einsetzen
- Datenbankberechtigungen und Rollen
- Schutz vor Command Injection
- Sichere Verarbeitung externer Daten
- Secrets und Konfigurationsdaten absichern
Absicherung der Serverumgebung
- Sichere Serverkonfiguration
- Vermeidung von Information Leakage
- Sichere Fehlerseiten
- Rechte- und Benutzerverwaltung
- Logging und Monitoring
- Patch- und Update-Management
- Fingerprinting erschweren
- Absicherung von Webservern und Reverse Proxys
Schutz vor automatisierten Angriffen
- Denial-of-Service- und Brute-Force-Angriffe
- Rate Limiting
- Captchas und Bot-Erkennung
- Zugriffsbeschränkungen und Verzögerungsstrategien
- Schutzmechanismen für Login-Formulare
- API-Schutzmechanismen
Sicherheitswerkzeuge und Sicherheitsanalysen
- Web Application Firewalls
- mod_security und vergleichbare Lösungen
- Sicherheits-Scanner und Penetration-Testing
- Statische und dynamische Codeanalyse
- Security Testing in Entwicklungsprozessen
- Entwicklung von Sicherheitstestplänen
- Rechtliche Aspekte von Sicherheitstests
Weitere Sicherheitsthemen
- Sichere JavaScript-Entwicklung
- Browser-Sicherheit
- Umgang mit lokal gecachten Daten
- Schutz sensibler Informationen
- Sicherheitsrisiken moderner Browser-APIs
- Typische Angriffsszenarien in der Praxis
- Vorgehensweisen bei Web-Angriffen
Termine / Kontakt
Jedes Seminar führt tutego als kundenangepasstes Inhouse-Seminar durch.
Alle unsere Seminare können zudem als Live-Online-Seminar besucht werden.
Wir helfen Ihnen gerne bei der Anmeldung und einen passenden Termin zu finden. Kontaktieren Sie uns per E-Mail oder unter 0800/tutegos (kostenlos aus allen Netzen).
Die Fakten
- Empfohlene Schulungsdauer: 2 Tage, insgesamt 16 Unterrichtsstunden à 45 Minuten
- Zielgruppe: Anwendungsentwickler, Projektleiter, Sicherheitsbeauftragte, Administratoren
- Schulungsunterlagen: Umfassende Seminarunterlagen und Referenzdokumentation
- Seminar-Software: Das Seminar ist programmiersprachenunabhängig und ist für alle serverseitigen Technologien wie PHP, Java, .NET gültig. Bezüge zu aktuellen Bibliotheken sind gewährleistet.
Weiterführende Seminare
In den Seminaren Jakarta Faces, Jakarta Server Pages (JSP) und Servlets, <<<ASPNET>>>, <<<GWT>>> lernen Teilnehmer Möglichkeiten kennen, welche Sicherungsmöglichkeiten ihr Web-Framework bietet.
Alle Kategorien
- .NET
- AutoCAD
- Big Data
- C und C++
- Datenbanktechnologien
- Digitale Kompetenz
- HTML und CSS
- Informationssicherheit und Recht
- iWork
- Java
- JavaScript und Framework
- KI, ML, AI
- Kotlin
- Linux
- MATLAB
- Mobile Geräteentwicklung
- Netzwerke
- Office
- Oracle
- Programmiersprachen
- Python
- SAP
- Server-Administration und Systemverwaltung
- Software-Architektur
- Web-Backend
- XML