Seminare

Websecurity Workshop

Unser viertägiger Websecurity Workshop, indem ihr Unternehmen alles an Wissen von uns bekommt, um sich erfolgreich gegen Cyberangriffe zu schützen.

Agenda

Tag 1

  • Einführung in die Thematik
  • IT- und Informationssicherheit – Informationen zur DSGVO
  • Technische und organisatorische Sicherheit – Protokolle im Web (HTTP, WebSocket)
  • Prinzipien im Web (DOM, SOP)
  • Prinzipien zur Codierung
  • Session Angriffe (Man-in-the-Middle, Cookie Replay Angriffe)
  • Session Hijacking & Session Fixation
  • Cross Site Request Forgery (CSRF)
  • Schutzmaßnahmen (Verschlüsselung, Session IDs, CSRF-Tokens)
d

Tag 2

  • Cross Site Scripting (XSS)
  • Persistentes XSS, Reflexives XSS, DOM-based XSS, flash-based XSS
  • uXSS, social-engineered XSS, self-XSS
  • Schutzmaßnahmen (Filter, XSS-Filter im Browser, http-only Flag, Content-Security-Policy)
  • Injection-Fehler wie SQL-, OS und LDAP-Injection / SMTP-Header Injection / HTTP-Header Injection
  • Sicherung von nachgelagerten Datenbanksystemen
  • Local File Inclusion (LFI) / Remote File Inclusion (RFI) / Path Traversal / Nullbyte Injection
  • XML External Entities (XXE)
  • Schutzmaßnahmen zu File Inclusions
  • Broken Access Control
  • Insecure Deserialization
  • UI-Redressing / Clickjacking
  • Cursor-Hacking
  • Fortgeschrittene UI-Redressing Angriffe
  • Schutzmaßnahmen (X-Frame-Options (XFO), Framebusting, Content-Security-Policy)

Tag 3

  • Code Audits – .NET Security Code Scan – Sicherheit von Authentifizierungsmechanismen
  • Wörterbuch-Angriffe / Brute-Force-Methode / unsichere Vergleiche – Rainbow Tables / Passwordcracking
  • Schutzmaßnahmen: Passwordhashing, Password Policies, Rate Limits
  • Kerberos Authentifizierungen
  • Sicherheit von Kerberos Authentifizierungen
  • Zertifikatsinfrastruktur
  • Sicherheit bei Zertifikatsauthentifizierungen
  • Informationspreisgabe (Sensitive Data Exposure)
  • Standardwerte / öffentlich Zugängliche Informationen
  • Fehlkonfigurationen (Directory Listing, Fehlermeldungen, Referrer-Leak)
  • „Versteckte Subdomains“ / ungeprüfte Um- und Weiterleitungen
  • Using Components with known Vulnerabilities
  • Race-Conditions
  • Angriffe gegen die Business Logik
  • Angriffe im DNS
  • Subdomain Hijacking
  • Typosquatting
  • Tools zur Identifizierung von Schwachstellen

Tag 4

  • Sicherheit bei Konzeption (Security by Default)
  • Sichere Entwicklung im Kontext agiler Methoden
  • Wichtigsten Regeln für Entwickler und Sicherheitsverantwortliche
  • Security Review Basics / Vulnerability Scanning
  • Erfahrungswerte eines Penetrationstesters
  • Sicherheit bei Konzeption im Kontext von Cloud-Umgebungen

Bekannt aus

Partner

KALWEIT ITS steht für die exzellente Verknüpfung von Cyber­security und Strategie. Als Beratungsmanufaktur für IT-Sicherheit helfen wir unseren Kunden dabei, IT-Risiken und damit verbundene Kosten zu senken: Durch effektive IT-Sicherheit. In interdisziplinären Teams challengen wir durch holistische Sicherheitsüberprüfungen den Status-Quo unserer Kunden und schaffen Sicherheiten im Rahmen der Unternehmensberatung dort, wo auch wirkliche IT-Risiken sind. Eben so, dass sie auch von der Unternehmenskultur angenommen werden.
Neue Perspetiven, mutige Ideen, pragmatisch umgesetzt.