Web Application Security - Learning from (preferably other people’s) mistakes

/ch/open Workshop-Tage 2012

Referent: Jochen Vogele

Web Application Vulnerabilities sind die Nummer 1 Quelle für Angriffe auf Firmen. Eine einzige unsichere Webanwendung kann die Sicherheit aller Systeme kompromittieren, sogar wenn sie selbst keine sensiblen Daten bereitstellt oder keine sicherheitsrelevanten Funktionen ausführt. So können angeschlossene Application- oder Datenbankserver gefährdet sein. In aller Regel gilt: Je älter eine Webanwendung ist, desto weniger wird sie aktuellen Sicherheitsanforderungen gerecht. Was sind meine Risiken?

Zunächst katalogisieren wir die grössten Bedrohungen für Ihre Web-Anwendung und erläutern, wie diese im Detail funktionieren. Der Workshop vermittelt die Vorgehensweise der Angreifer sowie bekannte und weniger bekannte Angriffstechniken auf Web-Applikationen und die dahinter liegenden Datenbanken und Backends in einem sehr praxisorientierten Stil, der durch zahlreiche Laborübungen angereichert ist. Zudem werden die Beispiele auch anhand eines Real-World-Penetration Tests aufgezeigt.

Programm

  • (kurze) Einführung Ethical Hacking - Systematik und Vorgehensweise bei einem Penetrationstest einer Internet Facing Application
  • Hands-On: Hacking Web Applications

Beispiele behandelter Themenbereiche

  • buzzword bugs - die zehn Risiken für Webentwickler, die laut OWASP 2010 am ehesten ernst zu nehmen sind:
    • Injection
    • Cross-Site Scripting (XSS)
    • Broken Authentication and Session Management
    • Insecure Direct Object References
    • Cross-Site Request Forgery (CSRF)
    • Security Misconfiguration
    • Insecure Cryptographic Storage
    • Failure to Restrict URL Access
    • Insufficient Transport Layer Protection
    • Unvalidated Redirects and Forwards
  • tooling – Burp Suite, WebGoat, Samurai-WTF, nmap, Grendel-Scan, WebScarab, Backtrack, Tamper Data, Firebug, Damn Vulnerable Web App (DVWA)

Anmeldung unter http://www.ch-open.ch/wstage/ erforderlich!

Price: CHF 360
Open in Google Maps