Voraussetzung
-
keine
Zielgruppe
Beschäftige,-
des höheren und gehobenen Dienstes aus dem IT- und Organisationsbereich sowie aus dem Bereich der Auftraggebenden, die Webanwendungen innerhalb der Landesverwaltung betreuen oder entwickeln.
Lernziel
Die Teilnehmenden sollen-
einen Überblick über die häufigsten Risiken in Webanwendungen erhalten und lernen diese Risiken zu vermeiden. Im Fokus der Veranstaltung stehen dabei Demonstrationen von Angriffstechniken sowie theoretische Lösungswege zur programmtechnischen Absicherung des Quellcodes gegen diese Techniken.
Hinweis
Angelehnt an die Top 10 der Webschwachstellen (OWASP Top 10) erhalten die Teilnehmenden ein Verständnis über die gängigsten Schwachstellen und wie diese sich auf die Sicherheit einer Anwendung auswirken.Durch Codebeispiele werden die Gründe für deren aufkommen allgemeinverständlich erläutert. Die Demoszenarien liegen hauptsächlich in PHP, Java, MySQL und Python vor und sind bei Kenntnis einer höheren Programmiersprache leicht verständlich.Um alle Inhalte vollständig mitzunehmen ist ein gutes Basiswissen im Bereich Programmierung / Webapplikationen von Vorteil. Personen ohne Programmierwissen erhalten eine Sensibilisierung und einen guten Überblick über die Gefahren von Schwachstellen.Teilnehmende mit praktischem Hintergrund wünschen sich meist, die demonstrierten Inhalte auch selber anwenden zu können. Dafür empfiehlt sich das Seminar Sicherheit in (Web-)Anwendungen - Praxis. Voraussetzung zur Teilnahme an diesem Seminar ist der Besuch dieser Informationsveranstaltung. Wir empfehlen den Praxiskurs unmittelbar nach der Infoveranstaltung zu besuchen, da die theoretischen Informationen dieses Kurses für den Folgekurs praktisch angewendet werden müssen.Inhalt
-
Unerwünschtes Eindringen von außen (Injections)
-
Manipulationstechniken mit Cross-Site Scripting (XSS)
-
Authentisierung und Sessions sicherer handhaben
-
Direkte unsichere Objektreferenzen vermeiden
-
Cross-Site Request Forgery (CSRF) verhindern
-
Zusammenspiel von Konfigurationseinstellungen
-
Kryptografie für Passwörter und sensible Daten
-
Ungeprüfte Um- und Weiterleitungen verhindern
-
Transportschichten absichern
-
Deserialisierung und Parsing