Kurspaket

Web Application Security Deep Dive («SWOA»)

Sie betrachten Sicherheitsrisiken Ihrer Website auf der Basis der OWASP10. Sie diskutieren aktuelle Cyber Attacken mit Blick auf Risiken & Schutzmassnahmen. Mit Hilfe der Labs lernen Sie Angriffstools zu nutzen, um Webanwendungen auf Sicherheit zu prüfen.

Dauer 3 Tage

Preis 3'000.– zzgl. 8.1% MWST

Kursdokumente Digicomp Kursunterlagen (digital)

Anmelden

Auf die Merkliste

Kurs-Facts

Key Learnings

Wissen, dass man zur Verschwiegenheit, Vertraulichkeit und Geheimhaltung gegenüber dem Arbeitgeber und den Kunden verpflichtet ist
Analysieren und Entwickeln von neuen Angriffsmethoden und Attack-Simulationen
Berücksichtigen der Kunden-Bedürfnisse (intern wie extern)
Gewährleisten der Cyber-Resilienz des Kunden
Erklären komplexer Angriffe auf Web-Applikationen und Durchführen von Proof-of-Concept-Angriffen zur aktiven Ausnutzung von Schwachstellen und Sicherheitslücken
Wissen, wie offensive Techniken eingesetzt werden, um komplexe Schwachstellen und Sicherheitslücken in Systemen, Anwendungen oder Infrastrukturen von Unternehmen verschiedener Branchen zu finden.
Erstellen und Überprüfen von konkreten Weisungen, Standards, Baselines, Richtlinien und Betriebsdokumentationen, abgeleitet aus branchen- und marktüblichen Standards (BSI, NIST, ISO, andere)
Durchführen komplexer Sicherheitsanalysen (Web Application Penetration Tests) und Dokumentieren der Ergebnisse in Form eines Berichtes mit Feststellungen und Handlungsempfehlungen und Integrieren der Erkenntnisse aus den Analysen in die Praxis
Einsetzen der Fachkenntnisse zur Unterstützung interner und externer Auditoren bei der Durchführung von Security Audits und selbstständiges Durchführen von Teilaufgaben im Rahmen von Audits

Inhalt

Tag 1 und 2

Studien zeigen, dass mehr als 90% aller Webanwendungen gravierende Sicherheitsmängel aufweisen, obwohl für die meisten Angriffsarten wirksame Gegenmassnahmen existieren. Die Schwachstellen liegen meist in Architektur und Design, in der Anwendungslogik, im Programmcode, in 3rd-Party-Libraries oder in Deployment und Konfiguration.

Anhand der OWASP Top 10 lernen Sie aktuelle Angriffsmethoden auf (Web-)Anwendungen kennen und erfahren, wie Sie sich effektiv schützen können:

A01:2021-Broken Access Control
A02:2021-Cryptographic Failures
A03:2021-Injection
A04:2021-Insecure Design
A05:2021-Security Misconfiguration
A06:2021-Vulnerable and Outdated Components
A07:2021-Identification and Authentication Failures
A08:2021-Software and Data Integrity Failures
A09:2021-Security Logging and Monitoring Failures
A10:2021-Server-Side Request Forgery

Tag 3

Zusammenfassung OWASP Top 10
Advanced Angriffe auf Web Applikationen
- Umgehen von 2FA anhand eines praktischen Beispiels
- XSS und Clickjacking
- Angriffe auf OAuth 2.0
- Parameter Pollution
- Web Cache Poisoning
- Template Injection
- Angriffe auf JWT
- Request Smuggling
- Server Side Prototype Pollution
- DOM Based Vulnerabilities
Sichere APIs
- Einführung in die OWASP API Top 10:2019
Guideline zur gezielten Vorbereitung auf die BSCP-Prüfung

Methodik & Didaktik

Das Training hat einen hohen Hands-On-Anteil gepaart mit gezielten Theorie-Inputs. Die Übungen werden anhand von Fallstudien behandelt.

Zielpublikum

Dieser Kurs richtet sich an Security-Experten und angehende Penetration Tester.

Anforderungen

Grundkenntnisse in der Entwicklung von Webanwendungen, Kenntnisse im Umgang mit Webservern sowie Kenntnisse grundlegender Webtechnologien wie HTML und Javascript werden vorausgesetzt.