IT-Sicher­heit für Web­ent­wick­ler

Hochwertiger Code und gut funktionierende Software hört nicht bei der Erfüllung von funktionalen Anforderungen auf. Gerade Software, die über das Internet abrufbar ist, hat hohe Anforderungen hinsichtlich der Resistenz gegenüber Angriffen von Hackern. Neben System- und Netzwerkadministratoren sind aber gerade Webentwickler diejenigen, deren Verantwortung es ist, grundlegende Prinzipien der IT-Sicherheit umzusetzen und somit Angriffe, die Umsatzentgang, Datendiebstahl oder -Verlust oder Image-Schaden zur Folge haben, zu verhindern.

Dieses Wissen lernt man selten ausreichend in der Ausbildung zum Softwareentwickler. Ziel dieser Schulung ist es daher, umfassend auf die Sicherheits-Anforderungen des Entwickler-Alltags vorzubereiten, damit teilnehmende Entwickler nicht nur um die Gefahren Bescheid wissen, sondern in Zukunft selbstständig Sicherheitslücken erkennen und vermeiden können.

Die Schulung wird von Georg Knabl gehalten. Er hat jahrelange Erfahrung als Webentwickler und IT-Security-Consultant, einen Masterabschluss in IT-Security, spricht auf Konferenzen über genau diese Themen, ist diplomierter Erwachsenentrainer und bildet an Hochschulen Softwareentwickler aus.

Dauer

zwei Tage

Ort

bei Ihrem Unternehmen bzw. einem Ort Ihrer Wahl

Teilnehmeranzahl

1 bis 10 Personen pro Schulungstermin (Wenn die gewünschte Anzahl größer ist, sind weitere Schulungstermine möglich.)

Inhalte & Ablauf

Die Inhalte der Schulung werden sowohl theoretisch, als auch praktisch erklärt und gezeigt. Teilnehmer haben die Möglichkeit, aktiv Angriffe und Gegenmaßnahmen auszuprobieren. Folgende Inhalte werden behandelt:

• IT-Security Grundlagen inkl. Hashing, Verschlüsselung, Encoding, HMAC, Zertifikate, Authentication & Authorization, wichtige Algorithmen & Prinzipien, Trust-Boundaries, Handeln bei entdeckten Angriffen uvm.
• Sicherheitskonzepte in Webanwendungen inkl. Same Origin Policy, Cookie-Sicherheit, HTTP-Sicherheit, richtiger Einsatz sicherheitsrelevanter HTTP-Header, Transportverschlüsselung, Umgang mit Captchas uvm.
• Angriffe auf Webanwendungen inkl. Information Disclosure, Man-in-the-Middle Attacken, Brute-Forcing, Session-Hijacking, XSS, CSRF, Click-Jacking, SQL-Injection, Local & Remote File Inclusion, Command-Injection uvm.
• Absicherung von Webanwendungen im Zuge der vorgestellten Angriffsvektoren
• Einführung in das Prüfen auf Schwachstellen einer Webanwendung

Zielgruppe & Voraussetzungen

Zielgruppe dieser Schulung sind Softwareentwickler, zu deren Aufgaben es zählt, Webapplikationen im Frontend (JavaScript, HTML) oder Backend (z.B. via Java, Python, PHP, node.js, C#, Ruby) umzusetzen. Dementsprechend betrifft dies auch Unternehmen, die diese Entwicklungsleistung am Markt anbieten oder in-house verwenden.

Folgende Voraussetzungen sollten gegeben sein:

• Teilnehmende Entwickler sollten Grundlagen der Basis-Webtechnologien insb. HTTP, HTML, JavaScript, sowie idealerweise eine dynamische Backendsprache ihrer Wahl verstehen. Einsteiger-Niveau ist ausreichend. Auch reine Frontend- oder Backendentwickler können teilnehmen.
• Anwesenheit vor Ort (keine Telko)
• Wenn der Wunsch besteht, aktiv im Code mitzuarbeiten oder etwas selbst auszuprobieren, ist evtl. ein Laptop mit vorinstallierter Software (wird vorab bekannt gegeben) erforderlich. Dies ist aber für den Lernerfolg nicht zwingend notwendig und daher optional.

Beispielcode liegt in JavaScript oder PHP vor. Da der Backend-Code sehr einfach gehalten ist und erklärt wird, sind keine speziellen PHP-Kenntnisse durch die Teilnehmer erforderlich.

Die Anforderungen an die Umgebung sind simpel: Ein ruhiger Raum mit Tischen und Sitzgelegeheiten, sowie einem Beamer und funkbasierter Internetverbindung für alle.

Preis

Diese Schulung wird zum Fixpreis angeboten. Preis auf Anfrage. Enthalten sind neben dem Termin an sich, die Präsentationsunterlagen und zusammenhängender Code. Ausgenommen sind etwaige Reisekosten.

Wir freuen uns darauf, Ihr Team auf das nächste Level zu bringen!