• Sichere Webentwicklung für Softwareentwickler

    Sichere Web-Entwicklung (mit Java EE)

    Traditionell zeichnet sich ein guter Softwareentwickler durch die Programmierung von effizienten, zuverlässigen und wartbarem Quellcode aus. Heutzutage muss allerdings noch eine weitere Eigenschaft aufgenommen werden: sicherer Quellcode. Der Kurs "Sichere Web-Entwicklung" der T-Systems Multimedia Solutions GmbH vermittelt den Teilnehmern die Kunst der sicheren Web-Entwicklung, um das Wissen an eigenentwickelter Software anzuwenden und damit vor Hackerangriffen und Datenverlust zu schützen. Dazu versetzen sich die Teilnehmer in die Position eines potentiellen Angreifers und lernen anhand praktischer Beispiele typische Schwachstellen in J2EE Web-Anwendungen sowie deren Gegenmassnahmen kennen. Neben der Vorstellung von aktuellen Angriffstechniken wie "Cross-Site Scripting", "SQL-Injection", "XML-Injection" oder "Insecure Passwort & Session Management" vermittelt der Kurs Ansätze zum Umgang mit kryptographischen Algorithmen, sowie Möglichkeiten der frühzeitigen Integration sichere Softwareentwicklung in den Development Life Cycle.

Wann

06.07. - 07.07.2015

09:00 - 17:00 Uhr

Veranstaltungsort

Riesaer Straße 5, 01129 Dresden

 

Zielgruppe: Softwareentwickler, Verantwortliche Softwareentwicklung

Vorkenntnisse: Programmierkenntnisse von Vorteil

Voraussetzungen: Laptop mit 10 GB freien Speicher und 4GB Arbeitsspeicher, VirtualBox zur Nutzung bereitgestellter virtueller Maschinen, auf Anfrage kann für die Teilnahme am Training ein Leihgerät zur Verfügung gestellt werden.

Alternativtermin: 27.-28.10.2015

Agenda

  • Einführung und Motivation
    • In diesem Kapitel wird einführend die Notwendigkeit sicherer Entwicklung erörtert.
  • Secure Design
    • Sichere Entwicklung beginnt bereits bei der Anforderungsanalyse. Welche sicherheitsrelevanten Punkte müssen bereits in der Planung und Architektur der Anwendung berücksichtigt werden?
  • Validierungsparadigmen
    • Es gibt diverse Arten, wie Eingaben validiert werden können. Welche wann anzuwenden sind und was dabei beachtet werden muss, wird in diesem Kapitel vermittelt.
  • Ausgabekodierung
    • Warum eine korrekte Ausgabekodierung notwendig ist, wird anhand von konkreten Schwachstellen beschrieben.
  • Injections
    • Durch Injection-Angriffe wird das Verhalten des Daten- und Programmflusses verändert. Für jede der folgenden Injection-Schwachstellen wird eine theoretische Erläuterung, ein praktisches Beispiel, eine Risikobeschreibung und eine Gegenmaßnahme aufgezeigt: SQL-Injection, LDAP-Injection, XML Injection, XPath Injection, Code Injection, JavaScript?, Code Injection, Header Injection, Log-Forgery
  • Denial of Service
    • Durch gezielte Ausnutzung von vermeintlich harmlosen Anwendungsfeatures kann es einem Angreifer gelingen, die Erreichbarkeit der Anwendung zu beeinträchtigen. Wie das geht und was man dagegen unternehmen kann, wird in diesem Kapitel beschrieben.
  • Ressourcen-Manipulation
    • Anhand folgender Schwachstellen werden Möglichkeiten aufgezeigt Ressourcen zu manipulieren: Unvalidierter Datei-Upload, Directory Traversal, XML External Entity, Unreleased Resource Streams
  • Session Management
    • Durch unsauberes Session Management kann ein Angreifer die Sitzung eines anderen Benutzers übernehmen. Was dabei zu beachten ist und welche Sicherheitsfeatures moderne Browser unterstützen, wird in diesem Kapitel aufgegriffen.
  • Kryptographie
    • Nach einer kurzen Einführung in die Kryptographie wird auf Fallstricke bei der Implementierung von kryptographischen Methoden eingegangen.
  • Umgang mit Passwörtern
    • Wie werden Passwörter serverseitig sicher gespeichert und was muss beim Umgang mit Passwörten beachtet werden, sind unter anderem Themen dieses Kapitels.
  • Secure SDLC (Secure System Development Lifecycle)
    • Wie kann Sicherheit im Entwicklungsprozess integriert werden und welche Tools unterstützen dabei?

    Im Kurspreis enthalten:

    • Schulungsunterlagen, Handout
    • Teilnehmerzertifikat
    • Pausenverpflegung (Mittagsimbiss, Getränke, Pausensnacks)

    Kurspreis: 1.350,00 € zzgl. MWSt.

    Bitte melden Sie sich über das Kontaktformular für die Veranstaltung an. Anschließend erhalten Sie ein Angebot für das Training, welches Sie verbindlich beauftragen. Informieren Sie sich über unsere Geschäftsbedingungen hier. 

    Hier können Sie sich anmelden:

    GESCHÄFTSADRESSE

    NEWS ZU SCHULUNGEN:

    Ich möchte zukünftig über Trainingsangebote informiert werden