Seminareinheiten

Websecurity Workshop

Tag 1 Einführung und erste Angriffsmethoden

- Einführung in die Thematik
- IT- und Informationssicherheit - Informationen zur DSGVO
- Technische und organisatorische Sicherheit - Protokolle im Web (HTTP, WebSocket)
- Prinzipien im Web (DOM, SOP)
- Prinzipien zur Codierung
- Session Angriffe (Man-in-the-Middle, Cookie Replay Angriffe)
- Session Hijacking & Session Fixation
- Cross Site Request Forgery (CSRF)
- Schutzmaßnahmen (Verschlüsselung, Session IDs, CSRF-Tokens)

Tag 2 Theorie und Praxis bekannter Schwachstellen (Praxis mit Live-Umgebung)
- Cross Site Scripting (XSS)
- Persistentes XSS, Reflexives XSS, DOM-based XSS, flash-based XSS
- uXSS, social-engineered XSS, self-XSS
- Schutzmaßnahmen (Filter, XSS-Filter im Browser, http-only Flag, Content-Security-Policy)
- Injection-Fehler wie SQL-, OS und LDAP-Injection / SMTP-Header Injection / HTTP-Header Injection
- Sicherung von nachgelagerten Datenbanksystemen
- Local File Inclusion (LFI) / Remote File Inclusion (RFI) / Path Traversal / Nullbyte Injection
- XML External Entities (XXE)
- Schutzmaßnahmen zu File Inclusions
- Broken Access Control
- Insecure Deserialization
- UI-Redressing / Clickjacking
- Cursor-Hacking
- Fortgeschrittene UI-Redressing Angriffe
- Schutzmaßnahmen (X-Frame-Options (XFO), Framebusting, Content-Security-Policy)

Tag 3 - Theorie und Praxis bekannter Schwachstellen (Praxis mit Live-Umgebung)
- Code Audits - .NET Security Code Scan - Sicherheit von Authentifizierungsmechanismen
- Wörterbuch-Angriffe / Brute-Force-Methode / unsichere Vergleiche - Rainbow Tables / Passwordcracking
- Schutzmaßnahmen: Passwordhashing, Password Policies, Rate Limits
- Kerberos Authentifizierungen
- Sicherheit von Kerberos Authentifizierungen
- Zertifikatsinfrastruktur
- Sicherheit bei Zertifikatsauthentifizierungen
- Informationspreisgabe (Sensitive Data Exposure)
- Standardwerte / öffentlich Zugängliche Informationen
- Fehlkonfigurationen (Directory Listing, Fehlermeldungen, Referrer-Leak)
- "Versteckte Subdomains" / ungeprüfte Um- und Weiterleitungen
- Using Components with known Vulnerabilities
- Race-Conditions
- Angriffe gegen die Business Logik
- Angriffe im DNS
- Subdomain Hijacking
- Typosquatting
- Tools zur Identifizierung von Schwachstellen

Tag 4 Security by Design / Sicherheit bei der Entwicklung
- Sicherheit bei Konzeption (Security by Default)
- Sichere Entwicklung im Kontext agiler Methoden
- Wichtigsten Regeln für Entwickler und Sicherheitsverantwortliche
- Security Review Basics / Vulnerability Scanning
- Erfahrungswerte eines Penetrationstesters
- Sicherheit bei Konzeption im Kontext von Cloud-Umgebungen
We use cookies to deliver you the best experience. By browsing our website you agree to our use of cookies. Learn More Wir benutzen Cookies um dir beim Besuchen unserer Website die bestmögliche Erfahrung zu bieten. Beim Besuchen unserer Website erlaubst du uns die Nutzung dieser Cookies. Learn More