- Buchbar für Einzelpersonen und kleinere Gruppen (1-3 Personen)
- Schulungsort: SBA Research
- Termine: 1-2x pro Jahr, siehe Liste
- Austausch mit anderen TeilnehmerInnen
- Branchen spezifische Diskussion
- Beleuchtung verschiedener Perspektiven
Der Kurs vermittelt die typischen und gefährlichsten Sicherheitsschwachstellen in modernen Webapplikationen, unter anderem die laut der OWASP-Organisation gefährlichsten und am häufigsten zu findenden Sicherheitsschwachstellen.
Der Kursinhalt ist dabei unabhängig von einer bestimmten Programmiersprache, da sich die Angriffsszenarien für alle modernen Webapplikationen (Java, .NET, PHP, Python, Perl, etc.) ähneln. Sicherheitsschwachstellen, die nur in systemnahen Code (C/C++) zu finden sind, wie zum Beispiel Buffer Overflows, Integer Overflows oder Format String Vulnerabilities werden in diesem Kurs nicht behandelt. Codebeispiele im Kurs sind in PHP, JAVA oder Pseudocode gehalten.
Aus dem Inhalt:
Der Kurs fokussiert sich unter anderem auf die folgenden Themengebiete, wobei die Auswahl der Themen bis zu einem gewissen Grad von den Vorkenntnissen und Wünschen der Teilnehmenden abhängig ist:
- Injection-Angriffe
- Authentifizierung und Session-Management
- Kontensicherheit
- Schutz gegen Brute-Force-Angriffe auf den Login
- Single sign-on (JSON Web Tokens (JWT), OpenID Connect)
- Autorisierung (OAuth)
- Fehlende Zugriffskontrolle auf funktionaler Ebene
- Unsichere direkte Objektreferenzen
- TLS-Sicherheit
- Angewandte Kryptographie
- Cross-Site Scripting (XSS)
- Unsichere Deserialisierung
- Komponenten mit bekannten Schwachstellen
- Logging und Monitoring
- Same-Origin Policy (SOP)
- Cross-Site Request Forgery (CSRF)
- Cross-Origin Resource Sharing (CORS)
- Sicherer Datei-Upload
- WebSocket-Sicherheit
