Web Hacking

• Einführung in Werkzeuge von Angreifern (“Hacker-Werkzeugkasten”) zum Auffinden und Ausnutzen von Sicherheitslücken in Webanwendungen.
  
  
• OWASP inkl. "OWASP Top 10" als Vulnerability-Katalog sowie Darstellung der darüber hinaus gehenden Angriffsvektoren.
  
  
• Geleitetes Angreifen der Demo-Anwendung: Diese Punkte werden jeweils durch die Teilnehmer eigenständig unter Anleitung durchgeführt. Hierbei kommen manuelle Techniken sowie Toolgestützte Angriffe vor.
  
  
• Erarbeitung von primären und sekundären Abwehrmaßnahmen zum Absichern der Lücken und Härtung der Anwendung.

• Präsentation
  
  
• Vortrag
  
  
• Übungen am Rechner
  
  
• Diskussion

Da es sich bei diesem Workshop um einen übungsintensiven Tag handelt, sind ein paar Grundvoraussetzungen notwendig, sofern man an den Praxisübungen teilnehmen möchte:

* Notebook mit einer vorab durchgeführten Installation der „Kali Linux“-VM! Diese für Pentester gedachte Linux-Distribution kann unter kali.org als VMWare oder als VirtualBox Image kostenlos heruntergeladen werden (ca. 2,6 GB) bzw. auch als ISO-Image. Um nicht gleich den ganzen Notebook platt machen zu müssen, reicht selbstverständlich eine durchgeführte Installation als virtuelle Maschine. Aufgrund der Installationsdauer (und je nach Wifi ggf. auch der Größe) empfiehlt der Dozent, dass Kali Linux bereits vor dem Workshop in einer VM auf dem mitgebrachten Notebook lauffähig installiert wurde. Notfalls kann man zu Beginn (per Stick oder Wifi) noch eine Installation versuchen.

* Der grundlegende (einfache) Umgang mit der Linux-Kommandozeile ist sicherlich von Vorteil. Aber keine Sorge, es sind keine tiefgreifenden Linux-Kenntnisse von Nöten, um den geleiteten Übungen folgen zu können. Dennoch sollte man vor Bash und CLIs nicht zurückschrecken.

* Vor Ort verteilt der Dozent per separatem Download-Link (ca. 50 MB) bzw. USB-Stick die Trainings-Webanwendung, welche wir im Kali dann nutzen (bzw. angreifen) werden.

Und für diejenigen ohne Notebook vor Ort: Auch ohne bei den Praxisübungen mitzumachen, nimmt man selbstverständlich eine Menge Input aus dem Workshop mit. Wer in den Suchübungen jedoch sein erlerntes Können unter Beweis stellen möchte, sollte einen eigenen Notebook mitbringen.

Dieser Workshop benötigt eine Mindestteilnehmerzahl.

In diesem HandsOn-Workshop greifen wir gemeinsam eine Java-Webanwendung an, um Schritt für Schritt die Rolle eines Pentesters einzunehmen. Sie lernen den Umgang mit professionellen Security-Werkzeugen anhand zahlreicher Praxisübungen sowie die allgemeine Vorgehensweise von Pentestern bei Angriffen auf Webanwendungen. Selbstverständlich werden wir uns auch um Abwehrmaßnahmen zur Absicherung der gefundenen Lücken kümmern, im Vordergrund steht jedoch der gezielte Umgang mit Angriffswerkzeugen zur (teil-automatischen) Durchführung einer Sicherheitsanalyse.

Nach dem Workshop verfügen Sie über praktische Erfahrungen zur Angriffsdurchführung auf Webanwendungen, welche Sie im Rahmen Ihrer eigenen Softwareentwicklung umsetzen können, um die Sicherheit Ihrer Projekte nachhaltig zu erhöhen. Am Ende erhalten Sie sämtliche Materialen des Trainings als PDF zur Nachbereitung.

• Fundierter Überblick über typische Sicherheitslücken in Webanwendungen
  
  
• Einsatz von Pentestwerkzeugen zur Toolgestützten Überprüfung der Sicherheit von Webanwendungen
  
  
• Erlernen darüber hinausgehender manueller Angriffstechniken als Teil eines Pentests
  
  
• Kenntnis über die verschiedenen Absicherungsmaßnahmen zur Anwendungshärtung

Interessierte Mitarbeiter aus den Bereichen Softwareentwicklung, Qualitätssicherung sowie Pentesting bzw. Verantwortliche aus dem Sicherheitsmanagement.