Kurspaket
Digicomp Code SWOA
Web Application Security Deep Dive («SWOA»)
Kurs-Facts
- Wissen, dass man zur Verschwiegenheit, Vertraulichkeit und Geheimhaltung gegenüber dem Arbeitgeber und den Kunden verpflichtet ist
- Analysieren und Entwickeln von neuen Angriffsmethoden und Attack-Simulationen
- Berücksichtigen der Kunden-Bedürfnisse (intern wie extern)
- Gewährleisten der Cyber-Resilienz des Kunden
- Erklären komplexer Angriffe auf Web-Applikationen und Durchführen von Proof-of-Concept-Angriffen zur aktiven Ausnutzung von Schwachstellen und Sicherheitslücken
- Wissen, wie offensive Techniken eingesetzt werden, um komplexe Schwachstellen und Sicherheitslücken in Systemen, Anwendungen oder Infrastrukturen von Unternehmen verschiedener Branchen zu finden.
- Erstellen und Überprüfen von konkreten Weisungen, Standards, Baselines, Richtlinien und Betriebsdokumentationen, abgeleitet aus branchen- und marktüblichen Standards (BSI, NIST, ISO, andere)
- Durchführen komplexer Sicherheitsanalysen (Web Application Penetration Tests) und Dokumentieren der Ergebnisse in Form eines Berichtes mit Feststellungen und Handlungsempfehlungen und Integrieren der Erkenntnisse aus den Analysen in die Praxis
- Einsetzen der Fachkenntnisse zur Unterstützung interner und externer Auditoren bei der Durchführung von Security Audits und selbstständiges Durchführen von Teilaufgaben im Rahmen von Audits
Tag 1 und 2
Studien zeigen, dass mehr als 90% aller Webanwendungen gravierende Sicherheitsmängel aufweisen, obwohl für die meisten Angriffsarten wirksame Gegenmassnahmen existieren. Die Schwachstellen liegen meist in Architektur und Design, in der Anwendungslogik, im Programmcode, in 3rd-Party-Libraries oder in Deployment und Konfiguration.
Anhand der OWASP Top 10 lernen Sie aktuelle Angriffsmethoden auf (Web-)Anwendungen kennen und erfahren, wie Sie sich effektiv schützen können:
- A01:2021-Broken Access Control
- A02:2021-Cryptographic Failures
- A03:2021-Injection
- A04:2021-Insecure Design
- A05:2021-Security Misconfiguration
- A06:2021-Vulnerable and Outdated Components
- A07:2021-Identification and Authentication Failures
- A08:2021-Software and Data Integrity Failures
- A09:2021-Security Logging and Monitoring Failures
- A10:2021-Server-Side Request Forgery
Tag 3
- Zusammenfassung OWASP Top 10
- Advanced Angriffe auf Web Applikationen
- Umgehen von 2FA anhand eines praktischen Beispiels
- XSS und Clickjacking
- Angriffe auf OAuth 2.0
- Parameter Pollution
- Web Cache Poisoning
- Template Injection
- Angriffe auf JWT
- Request Smuggling
- Server Side Prototype Pollution
- DOM Based Vulnerabilities
- Sichere APIs
- Einführung in die OWASP API Top 10:2019
- Guideline zur gezielten Vorbereitung auf die BSCP-Prüfung
Das Training hat einen hohen Hands-On-Anteil gepaart mit gezielten Theorie-Inputs. Die Übungen werden anhand von Fallstudien behandelt.
Dieser Kurs richtet sich an Security-Experten und angehende Penetration Tester.
Grundkenntnisse in der Entwicklung von Webanwendungen, Kenntnisse im Umgang mit Webservern sowie Kenntnisse grundlegender Webtechnologien wie HTML und Javascript werden vorausgesetzt.