SEMINARE 2016 Zentrum für Informationssicherheit Webanwendungssicherheit-Workshop 15. 17. November 2016, Frankfurt Cyber Akademie (CAk) ist eine eingetragene Marke www.cyber-akademie.de
Webanwendungssicherheit Webapplikationen bzw. Websites allgemein stellen eine sehr beliebte Angriffsmöglichkeit für Hacker und Kriminelle dar, um in die IT-Infrastruktur einer Organisation einzudringen. Zum einen hängt dies mit den zum Teil sehr fehleranfälligen verwendeten Technologien zusammen. Des Weiteren sind viele Webapplikationen quasi Individualanfertigungen mit entsprechend begrenzten Möglichkeiten zur Qualitätssicherung. Um trotzdem Webanwendungen sicher betreiben oder auch selbst erstellen zu können, sind entsprechende Kenntnisse über Webtechnologien und vor allen Dingen die potentiellen Angriffsvektoren und Schutzmaßnahmen erforderlich. Die Cyber Akademie führt dazu drei Seminare für unterschiedliche Zielgruppen mit verschiedenen Detailtiefen und Schwerpunkten durch: Webanwendungssicherheit und Penetrationstests bietet innerhalb einen Tages eine kompakte Einführung in das Thema. Die Teilnehmer erhalten einen Überblick über die häufigsten Sicherheitslücken bei Webanwendungen, geeignete Schutzmaßnahmen sowie Möglichkeiten zur Durchführung von Penetrationstests. Der dreitägige Webanwendungssicherheit-Workshop richtet sich an Teilnehmer mit Kenntnissen im Bereich HTTP bzw. Webtechnologien, welche unter Anleitung von Experten praktische Erfahrungen bezüglich Penetrationstests zum Erkennen von Lücken und Schutzmaßnahmen gewinnen wollen. Sichere Webanwendungen in der öffentlichen Verwaltung Vergabe, Entwicklung, Abnahme legt den Fokus auf die Ausschreibung bzw. die Entwicklung von Webapplikationen im Auftrag von Behörden. Nach einer Einführung in die Sicherheitslücken wird im zweitägigen Seminar vermittelt, welche IT-Sicherheitsanforderungen bei einer Vergabe von Webanwendungsentwicklungen berücksichtigt werden sollten. Weiterhin wird erläutert, wie deren Einhaltung bei Projektabwicklung und Abnahme überprüft und ein sicherer Software-Entwicklungs-Prozess (Secure Development Lifecycle) implementiert werden kann. Ausführliche Informationen zu den Seminaren erhalten Sie auf den folgenden Seiten. 2
Webanwendungssicherheits-Workshop Zielsetzung Nach einem kurzen Überblick zu Webtechnologien erfahren die Teilnehmer anhand praktischer Beispiele und Demonstrationen, welchen Angriffsmöglichkeiten und Risiken Webapplikationen ausgesetzt sind. Mittels entsprechender Tools führen die Teilnehmer selbst an bereitgestellten PC-Arbeitsplätzen Penetrationstests durch, erlernen auf praktische Weise das Erkennen von Lücken sowie Angriffsvektoren und kennen nach dem Workshop die technischen Möglichkeiten zur Absicherung von Webanwendungen. Zielgruppe IT-Administratoren, Entwicklungs-Teamleiter, Webentwickler, Ermittler in Strafverfolgungsbehörden, IT-Dienstleister, CERT-Personal, IT-Sicherheitsbeauftragte trainer Tobias Elsner ist als IT Security Resulter der @-yet GmbH im Schwerpunkt für die Planung und Durchführung von IT-Sicherheitsüberprüfungen verantwortlich. Er verfügt über mehr als 14 Jahre Erfahrung als IT-Berater in den Bereichen IT-Infrastruktur, IT-Security und Servervirtualisierung und verfügt über die Qualifikation EC Council Certified Ethical Hacker. Grundkenntnisse im Bereich HTTP bzw. Webtechnologien werden vorausgesetzt. termin und ort 15. 17. November 2016, Frankfurt a. M. Preis 1.420, Euro zzgl. MwSt. 3
Webanwendungssicherheits-Workshop THEMENÜBERBLICK: 1. Tag, 13:00 18:00 Uhr Grundlagen der Webtechniken Webserver: Apache, Tomcat & Co. HTML, CSS Skriptsprachen: PHP, Perl, Python, Ruby Java-Servlets und JSP Datenbanken Ajax, Javascript, HTML5 Schwachstellen von Webanwendungen Teil 1 Information Disclosure Path-Traversal Authorization Header Manipulation / Header Poisoning SSL-Stripping Website-Spoofing, SSL-Website-Spoofing THEMENÜBERBLICK: 2. Tag, 8:30 17:00 Uhr Schwachstellen von Webanwendungen Teil 2 File-Upload Buffer-Overflows Cross-Site Scripting (XSS), reflectes, persistant, DOM-based XSS Session-Hijacking, Session-Fixation Cross-Site Request Forgery (CSRF) / Session Riding Frame-Spoofing, Link-Spoofing Clickjacking / Der X-FRAME-OPTION Response-Header SQL-Injection, Advanced SQLI, Blind SQL-Injection Command-Injection, XML-Injection, XPATH-Injection, LDAP-Injection Privilege Escalation Insecure Direct Object Reference 2nd Order Code-Injection THEMENÜBERBLICK: 3. Tag, 8:30 15:00 Uhr: Gegenmaßnahmen Webserversicherheit Verschlüsselung Sicheres Programmieren Sichere Datenbankanwendung Auffinden von Schwachstellen Manueller Code-Review/Code-Check Toolgestützte Untersuchung des Quellcodes Pentests gegen Webapplikationen Tools Vorstellung von Tools, wie z. B. nikto, skipfish, burp, dirbuster, sqlmap, CSRFGuard 4
Anmeldung Fax-Anmeldung an: +49(0)228-97097-78 Online-Anmeldung unter: www.cyber-akademie.de Ich nehme am Seminar Webanwendungssicherheits-Workshop teil: 15. 17. November 2016, Frankfurt a. M. zum Preis von 1.420, Euro zzgl. MwSt. Firma/Behörde*: Abteilung*: Funktion*: Vorname*: Name*: Straße*: PLZ*: Ort*: Personalisierte Email*: Ort/Datum/Unterschrift: Freiwillige Angaben Telefon: Fax: Die mit* gekennzeichneten Felder sind für eine Anmeldung unbedingt erforderlich. Ansprechpartnerin für organisatorische Fragen: Julia Kravcov, Veranstaltungsmanagement Tel.: +49(0)228-97097-55, Fax: +49(0)228-97097-78, E-Mail: julia.kravcov@cyber-akademie.de Eine Anmeldung mit diesem Formular oder unter www.cyber-akademie.de ist Voraussetzung für die Teilnahme. Die Teilnahmegebühr versteht sich zzgl. gesetzlicher Mehrwertsteuer und beinhaltet Mittagessen, Erfrischungs- und Pausengetränke und die Dokumentation/Tagungsunterlagen. Die Teilnehmerzahl ist begrenzt. Zusagen erfolgen deswegen in der Reihenfolge der Anmeldungen. Nach Eingang Ihrer Anmeldung erhalten Sie eine Anmeldebestätigung per E-Mail und eine Rechnung per Post. Bei Stornierung der Anmeldung bis zwei Wochen vor Veranstaltungsbeginn wird eine Bearbeitungsgebühr in Höhe von 100, Euro zzgl. MwSt. erhoben. Danach oder bei Nicht erscheinen des Teilnehmers wird die gesamte Tagungsgebühr berechnet. Selbstverständlich ist eine Vertretung des angemel deten Teilnehmers möglich. Mit dieser Anmeldung erkläre ich mich mit den Allgemeinen Geschäftsbedingungen des Veranstalter einverstanden: siehe unter: www.cyber-akademie.de. 5