• Training Awareness Center: Training für Mitarbeiter - Mit Sicherheit die beste Strategie

    Sichere Softwareentwicklung mit Java EE

Wann

26.10. - 27.10.2016

09:00 - 16:00 Uhr

Veranstaltungsort

Riesaer Straße 5, 01129 Dresden

Preis

990,00 € zzgl. MwSt.

Sichere Softwareentwicklung mit Java EE

Traditionell zeichnet sich ein guter Softwareentwickler durch die Programmierung von effizientem, zuverlässigem und wartbarem Quellcode aus. Heutzutage muss allerdings noch eine weitere Eigenschaft berücksichtigt werden: Sicherer Quellcode!
Der Kurs "Sichere Softwareentwicklung" der T-Systems Multimedia Solutions GmbH vermittelt den Teilnehmern die Kunst der sicheren Web-Entwicklung, um dieses Wissen bei eigenentwickelter Software anzuwenden und damit vor Hackerangriffen und Datenverlust zu schützen. Dazu versetzen sich die Teilnehmer in die Position eines potentiellen Angreifers und lernen anhand praktischer Beispiele typische Schwachstellen in J2EE Web-Anwendungen sowie deren Gegenmaßnahmen kennen. Neben der Vorstellung von aktuellen Angriffstechniken wie "Cross-Site Scripting", "SQL-Injection", "XML-Injection" oder "Insecure Passwort & Session Management" vermittelt der Kurs Ansätze zum Umgang mit kryptographischen Algorithmen, sowie Möglichkeiten der frühzeitigen Integration sicherer Softwareentwicklung in den Development Life Cycle.

Zielgruppe:  Softwareentwickler, Verantwortliche Softwareentwicklung

Vorkenntnisse / Voraussetzungen:

  • Programmierkenntnisse von Vorteil
  • Laptop mit 10 GB freien Speicher und 4GB Arbeitsspeicher
  • VirtualBox zur Nutzung bereitgestellter virtueller Maschinen
  • Auf Anfrage kann für die Teilnahme am Training ein Leihgerät zur Verfügung gestellt werden.

     Seminarinhalt:

    • Einführung und Motivation für die Notwendigkeit sicherer Softwareentwicklung

    • Secure Design
      • Sichere Entwicklung beginnt bereits bei der Anforderungsanalyse.
      • Welche sicherheitsrelevanten Punkte müssen bereits in der Planung und Architektur der Anwendung berücksichtigt werden?

    • Validierungsparadigmen - Es gibt diverse Arten, wie Eingaben validiert werden können. Welche sind wann anzuwenden und was muss dabei beachtet werden?

    • Ausgabekodierung - Warum eine korrekte Ausgabekodierung notwendig ist, wird anhand von konkreten Schwachstellen beschrieben.

    • Injections - Durch Injection-Angriffe wird das Verhalten des Daten- und Programmflusses verändert. Für jede der folgenden Injection-Schwachstellen wird eine theoretische Erläuterung, ein praktisches Beispiel, eine Risikobeschreibung und eine Gegenmaßnahme aufgezeigt.
      • SQL-Injection
      • LDAP-Injection
      • XML Injection
      • XPath Injection
      • Code Injection
      • Header Injection
      • Log-Forgery

    • Denial of Service - Durch gezielte Ausnutzung von vermeintlich harmlosen Anwendungsfeatures kann es einem Angreifer gelingen, die Erreichbarkeit der Anwendung zu beeinträchtigen. Wie das geht und was man dagegen unternehmen kann, wird in diesem Kapitel erörtert.

    • Ressourcen-Manipulation - Anhand folgender Schwachstellen werden Möglichkeiten aufgezeigt Ressourcen zu manipulieren.
      • Unvalidierter Datei-Upload
      • Directory Traversal
      • XML External Entity
      • Unreleased Resource Streams

    • Session Management - Durch unsauberes Session Management kann ein Angreifer die Sitzung eines anderen Benutzers übernehmen. Was ist dabei zu beachten und welche Sicherheitsfeatures unterstützen moderne Browser?

    • Kryptographie - Nach einer kurzen Einführung in die Kryptographie wird auf Fallstricke bei der Implementierung von kryptographischen Methoden eingegangen.

    • Umgang mit Passwörtern - Wie werden Passwörter serverseitig sicher gespeichert und was muss beim Umgang mit Passwörten beachtet werden?

    • Secure SDLC (Secure System Development Lifecycle) - Wie kann Sicherheit im Entwicklungsprozess integriert werden und welche Tools unterstützen dabei?

    Im Kurspreis enthalten:

    • Schulungsunterlagen, Handout
    • Teilnehmerzertifikat
    • Pausenverpflegung (Mittagsimbiss, Getränke, Pausensnacks)

    Bitte melden Sie sich über das Kontaktformular für die Veranstaltung an. Anschließend erhalten Sie ein Angebot für das Training, welches Sie verbindlich beauftragen.

Hier können Sie sich anmelden:

GESCHÄFTSADRESSE


NEWS ZU SCHULUNGEN:

Weitere Events

Training and Awareness