Workshop Web Application Security

Dauer
5 Tage

Zielgruppe
Sicherheitsaffine Webentwickler oder Penetrationtester

Vorkenntnisse
Basiswissen über Web, Webapplikationen und SQL

Lernziele
Dieses Seminar vermittelt sowohl grundlegendes als auch fortgeschrittenes Wissen zum Thema Web Application Security. Die Teilnehmer werden von A-Z durch die Materie geführt und verlassen das Seminar mit einer verstärkten Sensibilität für Injektionsverwundbarkeiten aller Art, Informationspreisgabe und genereller Security Infrastruktur.

Programm

Grundlagenvermittlung
     - Browser
          - SOP
          - URI Gateway
          - Browserdifferenzen

     - HTTP Protokoll
          - Sessions, Cookies
          - Authentication

     - Markup
          - Encoding
          - Filtering
          - Validation

     - Fundamentale Probleme
          - Injektionsverwundbarkeiten
          - Information Disclosure

XSS in-depth
     - Kontextsensitivität

     - XSS Facetten
          - Reflektives XSS
          - Persistentes XSS
          - Lazy-XSS - Angriffe auf das Backend
          - Untraceable XSS - Der unsichtbare Exploit
          - XSS per Stylesheet
          - XSS via XXE und UTF-7

     - XSS Würmer
        - Analysis of Samy

     - DOMXSS
          - Was ist DOMXSS
          - Sources
          - Sinks
          - Applikationsspezifische Lücken
          - DOMXSS finden und beseitigen

Plugin Security
     - Java
     - PDF
     - Plugins und die SOP
     - Andere externe Inhalte

CSRF in-depth
     - BB-Code

     - CSRF und XSS
          - Anti-XSRF-Schutzmaßnahmen vs. XSS
          - Exploiting Anti-XSRF geschütztes XSS
          - Exploiting Logged-Out XSS
           - Auslesen des Browser-Caches via XSS
           - Semi Logging Out Attack
           - Exploiting Firefox Password Manager

     - Verschleierung
          - Warum Code Obfuscation
          - Verschleierungtechniken verstehen
          - Code einfach entschleiern
          - Forschung und Projekte

     - Lesende Requests
          - Zustandschecks mit JavaScript
          - JavaScript Hijacking

SQL Injection in-depth
     - SQL Grundlagen

     - Schadpotentiale
          - Authentication Bypass
          - Informationsdiebstahl
          - Denial of Service
          - Datenmanipulation
          - Übe rnahme des Servers         

     - Facetten
          - Blind SQL Injections
          - Stored Procedure Injection

     - Datenbankspezifität
          - Fingerprinting des Datenbanksystems
          - Mapping der Datenbank
          - Angriffe auf das System

     - Filter Evasion

     - Client Side SQL Injection

Code Execution
     - Directory Traversal

     - LFI to RCE

     - Uploads
          - Frequent mistakes
             - Überprüfung des Content Types 5x
          - Codeausführung
             - (stark-) vergiftete Bilder
             - PDFs from hell
             - QuickTime
          - Access Control

Nachbesprechung und Verständnistest

Methodik
Vortrag mit umfangreichen praktischen Übungen.

Zeugnis
Sie erhalten eine Teilnahmebestätigung.

Dieses Seminar führen wir ihn Kooperation mit einem Trainer unserer Knowledge Alliance durch.

Hier anmelden

Diese Seite drucken