Seminar IT-Sicherheit für Webentwickler
Alles was Entwickler brauchen, um sichere Web-Anwendungen zu schreiben, auf den Punkt
gebracht.
Damit können Sie das Thema endlich abhaken.
Schulung in Ihrer Nähe oder online.
Vorteile
- Das umfassende Wissen, um sichere Webanwendungen entwickeln zu können. Alle Teilnehmer können danach das Thema Weiterbildung im Bereich Web-Security abhaken.
- Wissens-Vermittlung in kürzester Zeit. Kein langes Fachbuch-Lesen, IT-Security-Studium etc. mehr notwendig.
- Verständlich und anschaulich demonstriert
- Antworten vom Experten auf Fragen zu eigenen Anwendungsfällen
- Keine Sorge mehr vor Angriffen auf die eigene Software
- Wettbewerbs- & Vertrauensvorteil gegenüber uninformiertem Mitbewerb
- Kein Risiko durch Geld-zurück- und Erfolgsgarantie
- Teilnahmezertifikat
Einleitung
Hochwertiger Code und gut funktionierende Software hört nicht bei der Erfüllung von funktionalen Anforderungen auf. Gerade Software, die über das Internet abrufbar ist, hat hohe Anforderungen hinsichtlich der Resistenz gegenüber Angriffen von Hackern. Neben System- und Netzwerkadministratoren sind aber gerade Webentwickler diejenigen, deren Verantwortung es ist, grundlegende Prinzipien der IT-Sicherheit umzusetzen und somit Angriffe, die Umsatzentgang, Datendiebstahl oder -Verlust oder Image-Schaden zur Folge haben, zu verhindern.
Dabei gelten vor allem folgende beiden Grundprinzipien:
- Software ist nur so sicher wie Entwickler sie machen.
- Entwickler können nur absichern was sie kennen.
Dieses Wissen lernt man selten ausreichend in der Ausbildung zum Softwareentwickler. Ziel dieses Seminars
ist es daher, umfassend auf die Sicherheits-Anforderungen des Entwickler-Alltags vorzubereiten, damit
teilnehmende Entwickler nicht nur um die Gefahren Bescheid wissen, sondern in Zukunft selbstständig
Sicherheitslücken erkennen und vermeiden können.
Diese Schulung ist das Destillat eines IT-Security-Studiums, zig-tausenden Seiten
Fachliteratur, unzähligen Stunden Weiterbildung, sowie jahrzehntelanger
Erfahrung in genau diesem Gebiet, heruntergebrochen auf die Anforderungen von
Softwareentwicklern im Web. Sparen Sie sich und Ihrem Team diese Zeit und lernen Sie in
kürzestmöglicher Zeit alles was Sie zur täglichen Arbeit brauchen, um sichere Webanwendungen zu
schreiben! Die Inhalte decken dabei ein solch breites Feld ab, dass Sie das Thema
Web-Security-Weiterbildung für die nächsten Jahre getrost abhaken können.
Themen werden verständlich erklärt und demonstriert. (Sie werden
überrascht sein, was alles möglich ist!) Am Ende werden die umfassenden Inhalte auf ein paar wenige
Prinzipien heruntergebrochen, die in der täglichen Entwicklerarbeit leicht zu
berücksichtigen sind. Wenn Entwickler das Gelernte in ihrer Arbeit umsetzen, ist entstehender
Code nahezu unhackbar.
Die Schulung wird von Georg Knabl gehalten. Er hat jahrelange Erfahrung als Webentwickler und IT-Security-Consultant, einen Masterabschluss in IT-Security, spricht auf Konferenzen über genau diese Themen, ist diplomierter Erwachsenentrainer und bildet an Hochschulen Softwareentwickler aus.
- Dauer
-
Das klassische Seminar hat einen Umfang von ca. zwölf Stunden und ist daher mehrtägig. Je nach Termin
sind verschiedene Varianten möglich. (Details dazu unten bei den Terminen.)
Bei In-House Schulungen sind auch modifizierte Formate, wie z.B. ein Intensivtag in acht Stunden, möglich. - Ort
- Je nach Termin in Ihrer Nähe vor Ort oder online. Auch als In-House Schulung in Ihrem Unternehmen oder einem Seminarort Ihrer Wahl verfügbar.
- Mindest-Teilnehmerzahl
- Keine (bei In-House Schulungen
oder online Terminen) oder
7 (Bei von uns geplanten vor-Ort-Terminen. Wird diese Zahl unterschritten, wird die Veranstaltung online abgehalten.) - Maximale Teilnehmerzahl
- 30
Inhalte & Ablauf
Inhalte der Schulung werden meist sowohl theoretisch, als auch praktisch erklärt und gezeigt. Teilnehmer haben die Möglichkeit, ausgewählte Angriffe und Gegenmaßnahmen selbst auszuprobieren. Folgende Inhalte werden behandelt:
- IT-Security Grundlagen inkl. Kryptografie-Crashkurs u.a. mit Hashing, Verschlüsselung, Encoding, HMAC, Post-Quantum-Cryptography, Zertifikaten, Authentication & Authorization, wichtige Algorithmen & Prinzipien, Protokolle, Handlungsempfehlungen bei entdeckten Angriffen uvm.
- Sicherheitskonzepte in Webanwendungen inkl. Same Origin Policy, Cookie-Sicherheit, HTTP-Sicherheit, richtiger Einsatz sicherheitsrelevanter HTTP-Header, Content Security Policy, Transportverschlüsselung, Umgang mit Captchas, Angriffserkennung mittels Logging, Monitoring & Alerting, richtiger Einsatz der Two-Factor-Authentication, JWT, OAuth2, WebAuthn, Honeypots uvm.
- Praktische Anwendung der Sicherheitskonzepte z.B. wie man Datenintegrität sicher stellt, selbst wenn diese über unsichere Kanäle laufen, den Kommunikationsweg absichert, Anwendungen mehrstufig schützt, Passwörter sicher speichert und worauf man bei einer Authentifizierungsimplementierung oder beim Einsatz eines Web-Frameworks achten muss. Außerdem die sichere Implementierung von Formularen und Datei-Uploads, Denial-of-Service-Absicherungsstrategien, Sicherheitsmaßnahmen für das Frontend und sichere API-Entwicklung u.a. mit REST-Services.
- Angriffe auf Webanwendungen inkl. OWASP Top-10, Information Disclosure, Man-in-the-Middle Attacken, Brute-Forcing, Session-Hijacking, XSS, CSRF, Click-Jacking, diverse Injection-Attacken (z.B. SQL-Injection, Command-Injection, SMTP-Injection, Host-Header-Injection), Local & Remote File Inclusion, DoS, IP-Spoofing, Web Cache Poisoning, Replay-Attacken, Google-Hacking, Social Engineering-Abwehr im Application Layer, Kali-Linux mit den wichtigsten Werkzeugen uvm.
- Absicherung von Webanwendungen im Zuge der vorgestellten Angriffsvektoren
- Einführung in das Prüfen auf Schwachstellen einer Webanwendung inkl. manueller und automatischer Werkzeuge für die statische und dynamische Analyse zum Scannen auf Sicherheitslücken
- Sichere Softwareentwicklung inkl. Sicherheit im kompletten Software-Entwicklungsprozess, Architektur, Security Software Testing inkl. konkreten Test-Empfehlungen, Entwickler-Rechner sicher halten, Supply-Chain-Attacken verhindern, Bewertung von Sicherheitsrisiken, Tipps für den Entwickleralltag wie z.B. der Auswahl von Dependencies
- Der sichere Webserver als Einführung inkl. Datenübertragung, verwundbare Softwarekomponenten, mehrstufiges Hardening, Beachtenswertes beim Hosting und konkrete Software-Empfehlungen für Linux-Server
Goodies
Alle Teilnehmenden erhalten außerdem digitale Extras, wie sofort nutzbare Checklisten, ready-to-use (Code-)Snippets für Absicherungsmaßnahmen und fertig nutzbare Textierungen für die eigenen User. Nach Abschluss erhalten alle Teilnehmer ein Teilnahmezertifikat.
Zielgruppe, Branchen & Voraussetzungen
Dieses Seminar ist für alle Branchen, die Webtechnologien in ihren Produkten einsetzen und diese selbst entwickeln bzw. solche evaluieren müssen, geeignet und sinnvoll, da in jedem Fall Software gegen Angriffe abgesichert sein muss.
Zielgruppe dieser Schulung sind IT-Fach- & -Führungskräfte (Softwareentwickler, CTOs, technische Abteilungsleiter und technische Consultants), zu deren Aufgaben es zählt, Webapplikationen im Frontend (JavaScript, HTML, CSS) oder Backend (z.B. via Java, Python, PHP, node.js, C#, Ruby) umzusetzen, solche Anwendungen zu konzipieren oder technische Hintergründe zu bewerten. Dementsprechend betrifft dies auch Unternehmen, die diese Entwicklungsleistung am Markt anbieten oder in-house verwenden.
Folgende Voraussetzungen sollten gegeben sein:
- Teilnehmer sollten Grundlagen der Basis-Webtechnologien insb. HTTP, HTML, JavaScript Basics, sowie idealerweise eine dynamische Backendsprache ihrer Wahl verstehen. Einsteiger-Niveau oder in der Vergangenheit einmal damit zu tun gehabt zu haben, ist ausreichend.
- Wenn der Wunsch besteht, aktiv im Code mitzuarbeiten oder etwas selbst auszuprobieren, ist ein Rechner mit vorinstallierter und -konfigurierter Software erforderlich (Wird vorab bekannt gegeben.). Dies ist aber für den Lernerfolg nicht zwingend notwendig und daher optional.
- Bei Online-Veranstaltungen benötigen Teilnehmer eine ausreichend schnelle Internetverbindung, um Bildschirmübertragungen und gestreamtes Video flüssig empfangen zu können. Außerdem sind eine funktionierende Webcam und Mikrofon notwendig.
Angreifbarer Beispielcode inkl. Absicherungsmaßnahmen wird bereitgestellt. Da sämtlicher Code sehr einfach gehalten ist und erklärt wird, sind keine speziellen Kenntnisse in den verwendeten Sprachen erforderlich.
Unser Qualitätsversprechen
Teilnehmer erhalten einen professionellen und lehrreichen Kurs, abgehalten von einem Top-Experten.
Wir sind uns der Qualität so sicher, dass wir folgende Garantien abgeben:
- Geld-zurück-Garantie: Sollte der Kurs nicht den hier dargestellten Merkmalen entsprechen oder ausfallen, bekommen Sie Ihr Geld zurück. No Questions asked.
- Erfolgsgarantie: Es bleibt genug Zeit, um etwaige offene Fragen zu den Themen zu behandeln.
Hygiene & Sicherheit
Bei Vor-Ort-Terminen werden sämtliche regional vorgegebene Hygiene & Sicherheitsstandards genauestens eingehalten. In Zeiten erhöhter Corona-Aktivität wird u.U. auf Online-Veranstaltungen ausgewichen.
Nächste Termine
Aktuell sind keine Termine geplant. Nutzen Sie unteres Formular, um uns Schulungswünsche an Ihrem Ort bekannt zu geben bzw. informiert zu werden. Selbstverständlich können Sie uns auch jederzeit für eine In-House- oder Online-Schulung in Ihrem Unternehmen buchen.
Veranstaltungserinnerung & Orts-Wunsch
Wenn Sie über unsere Veranstaltungsreihen informiert werden wollen oder Interesse an einem Schulungstermin in Ihrer Stadt oder online unverbindlich kundtun möchten, können Sie uns dies in diesem Formular mitteilen. Diese Anfragen helfen uns, zukünftige Veranstaltungen zu planen und entsprechende Orte zu finden, sowie Interessenten bei nahegelegenen Veranstaltungsorten zu kontaktieren.
Sollten Sie hingegen In-House- oder Online-Schulungen speziell für Ihr Unternehmen bevorzugen, nehmen Sie bitte direkt mit uns Kontakt auf.
Wir freuen uns darauf, Sie und Ihr Team auf das nächste Level zu bringen!
Haben wir Ihr Interesse geweckt? Wir freuen uns auf Ihre Anfrage.
Kontakt zu Page On Stage
In-House Schulungen
andere
Schulungen