Web-Anwendungen sind in vielen Unternehmen allgegenwärtig. Dabei ist vielen das potenzielle Risiko dem sie ihre Organisation durch die Implementierung unsichere Anwendungen aussetzten, nicht bewusst. Unsichere Webanwendungen können dazu führen, das Kundendaten freigelegt werden oder es zu Systemausfallzeiten kommt, die zu erheblichen finanziellen Schaden oder zu einer Rufschädigung des Unternehmens führen können. Da Web-Anwendungen neue Möglichkeiten für einen Angriff mit sich bringen , müssen auch Organisationen geschult werden, um diese neuen Risiken zu verstehen und zu adressieren. Dieses Seminar bietet Ihnen eine Einführung zu den verbreiteten Sicherheits-Risiken von Web-Anwendungen. Anhand von praktischen Übungen, wird Ihnen gezeigt, wie Sie mögliche Risiken identifizieren, testen und korrigierende Maßnahmen einleiten können.
Das vorrangige Ziel des Seminars Web Application Security Testing: Einführung ist es, das Risiko die von Web-Anwendungen für ihre Organisation ausgeht, aufzuzeigen und gegebenenfalls zu mindern, indem Ihnen sichere Design- und Entwicklungs-Praktiken vorgestellt und erläutert werden, so dass Sie die neuen Risiken verstehen, erkennen und beseitigen/mindern können, bevor diese für Ihre Organisation zu einem Problem werden.
Unsere nächsten Termine für den Kurs Web Application Security Testing: Einführung
Schulungsinhalte des Kurs Web Application Security Testing: Einführung
- Einführung Web Application Security
- Authentifizierung: Eine Diskussion zu Authentifizierungsmechanismen
- Sitzungs-Management: Die Pflege des Sitzungs-Zustand ist in allen Web-Anwendungen wichtig. Angreifer können schlechte Sitzungs-Management Praktiken ausnutzen, um Zugang oder eskalieren Privilegien innerhalb der Anwendung zu erlangen.
- Datenvalidierung: Die Zugangsbeschränkungen zwischen Nutzern werden immer wichtiger - im Zuge der Zunahme an Komplexität und Funktionalität von Web-Anwendung.
- Offenlegung von Informationen: Alle Nutzereingaben sollten aus Vorsicht vor schädlichen Inhalten als unsicher behandelt werden bis diese bereinigt oder validiert sind. Bei diesem Thema handelt es sich um eines der wichtigsten im Rahmen der Web Application Security betrachteten Themen.
- Code-Injektion: Kommentare und Debugging-Informationen von Entwicklern, die z.B. bei Problembehandlungen hinterlassen werden, können für potentielle Angreifern als eine Fundgrube für Informationen angesehen werden, wenn diese versuchen die Anwendung zu verstehen und Schwachstellen zu ermitteln.
- Cross Site Scripting: Interpreter, die außerhalb deiner Anwendung eine zusätzliche Verarbeitung durchführen, wenn z.B. eine Nutzerabfrage erstellt wird, bieten Potenzial für einen Angreifer in die Logikeinzugreifen und diese zu manipulieren. Themen wie SQL-Injection, Command-Injection oder eine Cross Site Scripting gehören ebenfalls dazu.
- Path-Traversal: Durch das Senden von Eingaben eines Nutzers und dem Senden zurück an den Browser ohne eine Validierung, ist die Anwendung offen für Phishing und anderen Scripting-Attacken, die für den Nutzer völlig legitim erscheinen.
- Path-Traversal: Das Zulassen von Eingaben, dem Hochladen oder Löschen einer Datei durch einen Nutzer können nicht nur die Anwendung, sondern auch den gesamten Server gefährden.
- OWASP Top Ten: Die OWASP Top Ten umreißt die zehn häufigsten Sicherheitslücken von Web-Anwendung. Das Prüfen Ihre Anwendungen gegen die OWASP Top Ten ist vielleicht der effektivste erste Schritt in Richtung Veränderung der Software-Entwicklungs- Kultur innerhalb Ihrer Organisation.
- Threat Modelling: Diese Methode ermöglicht es Ihnen, effektiv Bedrohungen und Schwachstellen denen Ihre Anwendung ausgesetzt ist zu finden und zu adressieren.