GEDOPLAN

Web Security Bootcamp

Praktischer Angriff und Verteidigung

Dauer: 2 bis 3 Tage

Beschreibung

In dem vollgepackten, praktischen Training im Bootcamp-Stil erfahren Sie, wie Hacker an eine typische Webanwendung herangehen, um mehr über die Sicherheitslücken zu erfahren, die in vielen Webanwendungen und Backends/APIs auftreten.

Außerdem wechseln wir während des Trainings oft die Seite und übernehmen die Perspektive des Verteidigers, um zu lernen, wie primäre und sekundäre Gegenmaßnahmen die Sicherheitslage heutiger Anwendungen und Backends auf tiefgreifende Weise stärken.

Alle Übungen werden in einer teilnehmerindividuellen Trainingsumgebung durchgeführt, die vorbereitet werden für jeden Teilnehmer individuell in einer Cloud.

Dieses Training im Bootcamp-Stil führt in die genannten Schwachstellen ein und konzentriert sich auch auf defensive Aspekte, um diese Schwachstellen in einem tiefgreifenden Verteidigungsstil zu beheben. Wenn Sie eher offensiv orientiert sind und sich eher für die Kunst der Ausnutzung dieser Schwachstellen als für defensive Ansätze interessieren, könnte das Pentesting-Training für Sie interessanter sein.

Da es sich um eine vollwertige Bootcamp-Schulung handelt, werden auch DevSecOps-Scan-Automatisierungstechniken vorgestellt. Wenn Sie an der Automatisierung von Sicherheitsscans innerhalb von CI/CD-Build-Pipelines interessiert sind, ist das DevSecOps-Coaching möglicherweise auch für Sie interessanter, entweder als Ergänzung oder als Ersatz.

Das Bootcamp kann auf Deutsch (Muttersprachler) oder Englisch (verhandlungssicher) durchgeführt werden.

 

Agenda

  • Injection Vulnerabilities, including Post-Exploitation towards Remote Code Execution (RCE)
  • XML External Entity Attacks (XXE)
  • Path-Traversals (including ClassPath-Traversals)
  • Cross-Site Scripting (XSS): Reflected, Persistent, DOM-based and different contexts
  • Session Attacks, etc.
  • Authentication Bypass
  • Information Disclosures
  • Server-Side Request Forgery (SSRF), especially in cloud-based environments
  • Attacks on File-Uploads and -Downloads
  • Attacks on WebSockets
  • Java Deserialization Vulnerabilities & Attacks
  • Advanced XML Attacks (leading to RCEs)
  • JSON Attacks (leading to RCEs)
  • …and many more
     

Zu der Schulung erhalten die Teilnehmer Folgendes:

  • Zugriff auf cloudbasierte Schulungsumgebungen (individuell für jeden Teilnehmer erstellt).
  • Alle Folien und Workshop-Materialien als PDF-Set.
  • Lebenslanger Zugriff auf GitHub- und DockerHub-Repos mit Christian Schneiders Trainingsumgebungen, um alle Übungen mit einem funktionierenden Setup (einschließlich neu hinzugefügter Inhalte in der Zukunft) zusammenzufassen.
  • Support per Mail für den Aufbau und die anschließende Übungsabwicklung.
  • Ausgedruckte und unterschriebene Teilnahmebescheinigung von Christian Schneider mit Auflistung der Schulungsinhalte.

Teilnehmerkreis und Voraussetzungen

Für die Teilnahme ist lediglich ein Webbrowser erforderlich und es sind keine Vorinstallationen auf den Computern der Teilnehmer erforderlich. Um die praktischen Übungen nachvollziehen zu können, erhalten die Teilnehmer nach dem Kurs Docker-Container mit der Trainingsumgebung und allen Übungen, um diese lokal auf ihren Maschinen ausführen zu können.

Das Material und die praktischen Übungen decken die neuesten Top-10-Inhalte ab: OWASP Top 10 2021 + OWASP API Top 10 2023.

Schulungstermine

Diese Schulung bieten wir auch als maßgeschneiderte Firmenschulung an

GEDOPLAN erstellt für Sie auf Ihre Unternehmensziele zugeschnittene Firmenschulung.
Durch unser modulares Schulungssystem sind wir in der Lage, anhand Ihrer Angaben eine individuelle Schulung zu gestalten. Denn die optimale Weiterbildung Ihrer Mitarbeiter nach Ihren Vorgaben und Anforderungen stehen bei uns im Mittelpunkt.
Bei Interesse nehmen Sie bitte Kontakt, wir führen dann gerne mit Ihnen ein unverbindliches Gespräch

GEDOPLAN - Telefonkontakt

030 / 20 89 82 63 0

GEDOPLAN - E-Mail Kontakt

Tim.Neumann@GEDOPLAN.de

Weitere Schulungen

Vorträge & News zum Thema
Es wurden keine Ergebnisse gefunden, die deinen Suchkriterien entsprechen.

News aus Schulung, Beratung & Softwareentwicklung

News aus Schulung, Beratung & Softwareentwicklung