IT-Sicherheit für Webentwickler

Seminarinformationen

Seminar - Ziel

• In dieser 2-tägigen Schulung "IT-Sicherheit für Webentwickler" lernen Sie, wie Sie die vielfältigen Anforderungen der Sicherheit im Entwickleralltag meistern können. Sie erwerben umfassendes Wissen und praktische Fähigkeiten, um Webanwendungen sicher zu entwickeln und zu schützen. Die Schulung behandelt Grundlagen der IT-Sicherheit, Sicherheitskonzepte in Webanwendungen und Angriffsszenarien wie OWASP Top-10, Man-in-the-Middle Attacken, XSS und mehr. Sie lernen praxisnahe Methoden zur sicheren Implementierung von Formularen, Datei-Uploads, APIs und Frontends kennen. Des Weiteren werden Sie in sichere Softwareentwicklung, Architektur, Security Testing und den sicheren Betrieb von Webservern eingeführt. Dieses Seminar vermittelt Ihnen das nötige Wissen, um sichere Webanwendungen zu entwickeln und potenzielle Schwachstellen effektiv zu erkennen und zu behandeln.

Teilnehmer - Zielgruppe

• IT-Fach- & -Führungskräfte
• Softwareentwickler
• CTOs
• technische Abteilungsleiter
• technische Consultants

Kurs - Voraussetzungen

• IT-Basiskenntnisse
• Grundlagen der Basis-Webtechnologien insb. HTTP, HTML, JavaScript Basics
• dynamische Backendsprache ihrer Wahl verfügen
• Programmierkenntnisse: Einsteiger-Niveau oder in der Vergangenheit einmal damit zu tun gehabt haben

Seminardauer

• 2 Tage
• 09:00 Uhr bis 17:00 Uhr

Schulungsunterlagen

• nach Absprache

Seminar-Inhalt / Agenda

IT-Security Grundlagen

• Hashing
• Verschlüsselung
• Encoding
• HMAC
• Post-Quantum-Cryptography
• Zertifikaten
• Authentication & Authorization
• wichtige Algorithmen & Prinzipien
• Protokolle
• Handlungsempfehlungen bei entdeckten Angriffen
• uvm.

Sicherheitskonzepte in Webanwendungen

• Same Origin Policy
• Cookie-Sicherheit
• HTTP-Sicherheit
• richtiger Einsatz sicherheitsrelevanter HTTP-Header
• Content Security Policy
• Transportverschlüsselung
• Umgang mit Captchas
• Angriffserkennung mittels Logging
• Monitoring & Alerting
• richtiger Einsatz der Two-Factor-Authentication
• JWT
• OAuth2
• WebAuthn
• Honeypots
• uvm.

Praktische Anwendung der Sicherheitskonzepte

• Wie man Datenintegrität sicher stellt, selbst wenn diese
  • über unsichere Kanäle laufen
  • den Kommunikationsweg absichert
  • Anwendungen mehrstufig schützt
  • Passwörter sicher speichert und
• Worauf man achten muss bei einer
  • Authentifizierungs-implementierung
  • Einsatz eines Web-Frameworks
• Sichere Implementierung von
  • Formularen und Datei-Uploads
  • Denial-of-Service-Absicherungsstrategien
  • Sicherheitsmaßnahmen für das Frontend und
  • sichere API-Entwicklung u.a. mit REST-Services

Angriffe auf Webanwendungen

• OWASP Top-10
• Information Disclosure
• Man-in-the-Middle Attacken
• Brute-Forcing
• Session-Hijacking
• XSS
• CSRF
• Click-Jacking
• diverse Injection-Attacken (z.B. SQL-, Command-, SMTP-, Host-Header-Injection)
• Local & Remote File Inclusion
• DoS
• IP-Spoofing
• Web Cache Poisoning
• Replay-Attacken
• Google-Hacking
• Social Engineering-Abwehr im Application Layer
• Kali-Linux mit den wichtigsten Werkzeugen
• uvm.

Absicherung von Webanwendungen

• im Zuge der vorgestellten Angriffsvektoren

Einführung in das Prüfen auf Schwachstellen einer Webanwendung

• manuelle und automatische Werkzeuge
• statische und dynamische Analyse zum Scannen auf Sicherheitslücken

Sichere Softwareentwicklung

• Sicherheit im kompletten Software-Entwicklungsprozess
• Architektur
• Security Software Testing inkl. konkreten Test-Empfehlungen
• Entwickler-Rechner sicher halten
• Supply-Chain-Attacken verhindern
• Bewertung von Sicherheits-Risiken
• Tipps für den Entwickleralltag wie z.B. der Auswahl von Dependencies

Der sichere Webserver als Einführung

• Datenübertragung
• mehrstufiges Hardening
• Beachtenswertes beim Hosting
• konkrete Software-Empfehlungen für Linux-Server

Weitere Schulungen zu Thema JavaScript