IT-Tage 2017
11. - 14.12.2017
Frankfurt am Main

Christian Schneider

11.12.2017

09:00 - 17:00

Raum Plateau

Workshop

Tickets

+ Kollegenrabatt
+ Early Bird
+ Tablet

Jetzt anmelden

In diesem HandsOn-Workshop greifen wir gemeinsam eine Java-Webanwendung an, um Schritt für Schritt die Rolle eines Pentesters einzunehmen. Sie lernen den Umgang mit professionellen Security-Werkzeugen anhand zahlreicher Praxisübungen sowie die allgemeine Vorgehensweise von Pentestern bei Angriffen auf Webanwendungen. Selbstverständlich werden wir uns auch um Abwehrmaßnahmen zur Absicherung der gefundenen Lücken kümmern, im Vordergrund steht jedoch der gezielte Umgang mit Angriffswerkzeugen zur (teil-automatischen) Durchführung einer Sicherheitsanalyse. 

Nach dem Workshop verfügen Sie über praktische Erfahrungen zur Angriffsdurchführung auf Webanwendungen, welche Sie im Rahmen Ihrer eigenen Softwareentwicklung umsetzen können, um die Sicherheit Ihrer Projekte nachhaltig zu erhöhen. Am Ende erhalten Sie sämtliche Materialen des Trainings als PDF zur Nachbereitung.

Ziele

  • Fundierter Überblick über typische Sicherheitslücken in Webanwendungen
  • Einsatz von Pentestwerkzeugen zur Toolgestützten Überprüfung der Sicherheit von Webanwendungen
  • Erlernen darüber hinausgehender manueller Angriffstechniken als Teil eines Pentests
  • Kenntnis über die verschiedenen Absicherungsmaßnahmen zur Anwendungshärtung

Inhalte

  • Einführung in Werkzeuge von Angreifern (“Hacker-Werkzeugkasten”) zum Auffinden und Ausnutzen von Sicherheitslücken in Webanwendungen.
  • Geleitetes Angreifen der Demo-Anwendung: Diese Punkte werden jeweils durch die Teilnehmer eigenständig unter Anleitung durchgeführt. Hierbei kommen manuelle Techniken sowie Toolgestützte Angriffe vor.
  • Erarbeitung von primären und sekundären Abwehrmaßnahmen zum Absichern der Lücken und Härtung der Anwendung.
  • Einsatz von OpenSource DAST- und SAST-Werkzeugen zum Pentesting und zur statischen Codeanalyse.
  • Blind und Super-Blind Exfiltration von Daten aus einer Zielumgebung out-of-band mittels der Seitenkanäle Timing und DNS.
  • Einsatz von OpenSource Werkzeugen zur Infrastruktur-Analyse (Blackbox und Whitebox).
  • Optional bei Interesse: Java-spezifische Angriffe auf Deserialisierungs-Schnittstellen.
  • Checklisten zum Vorgehen von Pentests sowie zur Umsetzung von Härtungsmaßnahmen zur Absicherung.

Methoden: Präsentation, Vortrag, Übungen am Rechner, Diskussion

Zielgruppe: Interessierte Mitarbeiter aus den Bereichen Softwareentwicklung, Qualitätssicherung sowie Pentesting bzw. Verantwortliche aus dem Sicherheitsmanagement.