Security Testing Schulung

Android ist eine offene Plattform für mobile Geräte wie Handys und Tablets. Es verfügt über eine Vielzahl von Sicherheitsfunktionen, um die Entwicklung sicherer Software zu vereinfachen. Es fehlen jedoch auch bestimmte Sicherheitsaspekte, die auf anderen Handheld-Plattformen vorhanden sind. Der Kurs gibt einen umfassenden Überblick über diese Funktionen und zeigt die wichtigsten Mängel auf, die im Zusammenhang mit dem zugrunde liegenden Linux , dem Dateisystem und der Umgebung im Allgemeinen sowie der Verwendung von Berechtigungen und anderen Android Softwareentwicklungskomponenten zu beachten sind.

Typische Sicherheitslücken und Schwachstellen werden sowohl für nativen Code als auch für Java Anwendungen beschrieben. Außerdem werden Empfehlungen und Best Practices zur Vermeidung und Minderung dieser beschrieben. In vielen Fällen werden die besprochenen Probleme durch Beispiele und Fallstudien aus der Praxis untermauert. Abschließend geben wir einen kurzen Überblick über die Verwendung von Sicherheitstest-Tools, um sicherheitsrelevante Programmierfehler aufzudecken.

Teilnehmer an diesem Kurs werden

• Grundlegende Konzepte für Sicherheit, IT-Sicherheit und sichere Codierung verstehen
• Erfahren Sie die Sicherheitslösungen auf Android
• Erfahren Sie, wie Sie verschiedene Sicherheitsfunktionen der Android Plattform verwenden
• Informieren Sie sich über aktuelle Sicherheitslücken in Java auf Android
• Erfahren Sie mehr über typische Codierungsfehler und wie Sie diese vermeiden können
• Erfahren Sie mehr über Sicherheitslücken in nativem Code unter Android
• Erkennen Sie die schwerwiegenden Folgen der unsicheren Pufferbehandlung im systemeigenen Code
• Verstehen Sie die architektonischen Schutztechniken und ihre Schwächen
• Holen Sie sich Quellen und weitere Informationen zu sicheren Codierungsmethoden

Publikum

Fachleute

Die Implementierung einer sicheren vernetzten Anwendung kann schwierig sein, selbst für Entwickler, die bereits verschiedene kryptographische Bausteine (wie Verschlüsselung und digitale Signaturen) verwendet haben. Um den Teilnehmern die Rolle und die Verwendung dieser kryptografischen Primitive verständlich zu machen, wird zunächst eine solide Grundlage über die wichtigsten Anforderungen an eine sichere Kommunikation - sichere Bestätigung, Integrität, Vertraulichkeit, Fernidentifizierung und Anonymität - vermittelt, wobei auch die typischen Probleme, die diese Anforderungen beeinträchtigen können, zusammen mit Lösungen aus der Praxis vorgestellt werden.

Da ein kritischer Aspekt der Netzsicherheit die Kryptographie ist, werden auch die wichtigsten kryptographischen Algorithmen der symmetrischen Kryptographie, des Hashings, der asymmetrischen Kryptographie und der Schlüsselvereinbarung behandelt. Anstatt einen detaillierten mathematischen Hintergrund zu präsentieren, werden diese Elemente aus der Perspektive eines Entwicklers erörtert, wobei typische Anwendungsfälle und praktische Überlegungen im Zusammenhang mit dem Einsatz von Kryptographie, wie z. B. Public-Key-Infrastrukturen, aufgezeigt werden. Es werden Sicherheitsprotokolle in vielen Bereichen der sicheren Kommunikation vorgestellt, wobei die am weitesten verbreiteten Protokollfamilien wie IPSEC und SSL/TLS eingehend diskutiert werden.

Typische Kryptoschwachstellen werden sowohl im Zusammenhang mit bestimmten Kryptoalgorithmen als auch mit kryptografischen Protokollen erörtert, z. B. BEAST, CRIME, TIME, BREACH, FREAK, Logjam, Padding Orakel, Lucky Thirteen, POODLE und ähnliche, sowie der RSA-Zeitangriff. In jedem Fall werden die praktischen Erwägungen und die möglichen Folgen für jedes Problem beschrieben, wiederum ohne auf die mathematischen Details einzugehen.

Da die XML-Technologie für den Datenaustausch von vernetzten Anwendungen von zentraler Bedeutung ist, werden schließlich die Sicherheitsaspekte von XML beschrieben. Dazu gehört die Verwendung von XML in Webdiensten und SOAP-Nachrichten neben Schutzmaßnahmen wie XML-Signatur und XML-Verschlüsselung - sowie Schwachstellen in diesen Schutzmaßnahmen und XML-spezifische Sicherheitsprobleme wie XML-Injektion, XML-External-Entity (XXE)-Angriffe, XML-Bomben und XPath-Injektion.

Die Teilnehmer an diesem Kurs werden

• Grundlegende Konzepte der Sicherheit, der IT-Sicherheit und der sicheren Kodierung verstehen
• die Anforderungen an eine sichere Kommunikation verstehen
• Kenntnisse über Netzwerkangriffe und Verteidigungsmaßnahmen auf verschiedenen OSI-Schichten
• ein praktisches Verständnis von Kryptographie haben
• Verständnis der wichtigsten Sicherheitsprotokolle
• einige aktuelle Angriffe auf Kryptosysteme zu verstehen
• Informationen über einige aktuelle Sicherheitslücken erhalten
• Verstehen der Sicherheitskonzepte von Webdiensten
• Quellen und weiterführende Lektüre zu sicheren Kodierungsverfahren erhalten

Zielgruppe

Entwickler, Fachleute

In diesem dreitägigen Kurs werden die Grundlagen des Sicherns des C / C++ Codes gegen böswillige Benutzer behandelt, die möglicherweise viele Sicherheitslücken im Code mit Speicherverwaltung und Eingabehandhabung ausnutzen. In diesem Kurs werden die Grundlagen des Schreibens von sicherem Code behandelt.

Selbst erfahrene Java-Programmierer beherrschen nicht unbedingt die verschiedenen Sicherheitsdienste, die Java bietet, und kennen auch nicht die verschiedenen Schwachstellen, die für in Java geschriebene Webanwendungen relevant sind.

Der Kurs behandelt - neben der Einführung in die Sicherheitskomponenten der Standard Java Edition - Sicherheitsfragen der Java Enterprise Edition (JEE) und Web Services. Der Diskussion von spezifischen Diensten werden die Grundlagen der Kryptographie und der sicheren Kommunikation vorangestellt. Verschiedene Übungen befassen sich mit deklarativen und programmatischen Sicherheitstechniken in JEE, während sowohl die Transportschicht als auch die Ende-zu-Ende-Sicherheit von Webservices diskutiert wird. Die Verwendung aller Komponenten wird in mehreren praktischen Übungen vorgestellt, in denen die Teilnehmer die besprochenen APIs und Tools selbst ausprobieren können.

Im Kurs werden auch die häufigsten und schwerwiegendsten Programmierfehler der Java-Sprache und -Plattform sowie webbezogene Schwachstellen durchgesprochen und erläutert. Neben den typischen Fehlern, die von Java-Programmierern begangen werden, umfassen die vorgestellten Sicherheitslücken sowohl sprachspezifische Probleme als auch solche, die sich aus der Laufzeitumgebung ergeben. Alle Schwachstellen und die entsprechenden Angriffe werden anhand von leicht verständlichen Übungen demonstriert, gefolgt von den empfohlenen Codierungsrichtlinien und den möglichen Entschärfungstechniken.

Die Teilnehmer an diesem Kurs werden

• Grundlegende Konzepte der Sicherheit, der IT-Sicherheit und der sicheren Kodierung verstehen
• lernen Web-Schwachstellen über die OWASP Top Ten hinaus kennen und wissen, wie man sie vermeidet
• die Sicherheitskonzepte von Webdiensten verstehen
• Verschiedene Sicherheitsfunktionen der Java-Entwicklungsumgebung nutzen können
• Praktisches Verständnis der Kryptographie
• Sicherheitslösungen von Java EE verstehen
• Typische Programmierfehler kennen und wissen, wie man sie vermeiden kann
• Informationen über einige aktuelle Schwachstellen im Java Framework erhalten
• Praktische Kenntnisse in der Verwendung von Sicherheitstests erhalten
• Sie erhalten Quellen und weiterführende Literatur zu sicheren Programmierpraktiken.

Zielgruppe

Entwickler

Beschreibung

Die Java Sprache und die Laufzeitumgebung (Runtime Environment, JRE) wurden so entwickelt, dass sie frei von den problematischsten Sicherheitslücken sind, die in anderen Sprachen wie C / C++ . Softwareentwickler und -architekten sollten jedoch nicht nur wissen, wie sie die verschiedenen Sicherheitsfunktionen der Java Umgebung nutzen (positive Sicherheit), sondern auch die zahlreichen Schwachstellen kennen, die für die Java Entwicklung noch relevant sind (negative Sicherheit).

Der Einführung von Sicherheitsdiensten geht ein kurzer Überblick über die Grundlagen der Kryptographie voraus, der eine gemeinsame Grundlage für das Verständnis des Zwecks und der Funktionsweise der jeweiligen Komponenten bietet. Die Verwendung dieser Komponenten wird in mehreren praktischen Übungen vorgestellt, in denen die Teilnehmer die diskutierten APIs selbst ausprobieren können.

Der Kurs geht auch durch und erklärt die häufigsten und schwerwiegendsten Programmierfehler der Java Sprache und -Plattform, wobei sowohl die typischen Fehler von Java Programmierern als auch die sprach- und umgebungsspezifischen Probleme behandelt werden. Alle Sicherheitslücken und die relevanten Angriffe werden anhand von leicht verständlichen Übungen demonstriert, gefolgt von den empfohlenen Codierungsrichtlinien und den möglichen Abhilfemaßnahmen.

Teilnehmer an diesem Kurs werden

• Grundlegende Konzepte für Sicherheit, IT-Sicherheit und sichere Codierung verstehen
• Informieren Sie sich über Web-Schwachstellen, die über OWASP Top Ten hinausgehen, und lernen Sie, diese zu vermeiden
• Erfahren Sie, wie Sie verschiedene Sicherheitsfunktionen der Java Entwicklungsumgebung verwenden
• Ein praktisches Verständnis der Kryptographie haben
• Erfahren Sie mehr über typische Codierungsfehler und wie Sie diese vermeiden können
• Informieren Sie sich über aktuelle Sicherheitslücken im Java Framework
• Holen Sie sich Quellen und weitere Informationen zu sicheren Codierungsmethoden

Publikum

Entwickler

Zur Kompilierung von Code für .NET- und ASP.NET-Frameworks stehen heute eine Reihe von Programmiersprachen zur Verfügung. Die Umgebung bietet leistungsstarke Mittel für die Sicherheitsentwicklung. Entwickler sollten jedoch wissen, wie sie die Programmiertechniken auf Architektur- und Codierungsebene anwenden, um die gewünschte Sicherheitsfunktionalität zu implementieren und Schwachstellen zu vermeiden oder deren Ausnutzung zu begrenzen.

Ziel dieses Kurses ist es, Entwicklern anhand zahlreicher praktischer Übungen beizubringen, wie sie verhindern, dass nicht vertrauenswürdiger Code privilegierte Aktionen ausführt, Ressourcen durch starke Authentifizierung und Autorisierung schützen, Remoteprozeduraufrufe bereitstellen, Sitzungen verarbeiten, verschiedene Implementierungen für bestimmte Funktionen einführen und vieles mehr Mehr.

Die Einführung verschiedener Sicherheitsanfälligkeiten beginnt mit der Darstellung einiger typischer Programmierprobleme, die bei der Verwendung von .NET auftreten. Die Diskussion der Sicherheitsanfälligkeiten von ASP.NET befasst sich auch mit verschiedenen Umgebungseinstellungen und deren Auswirkungen. Schließlich befasst sich das Thema ASP.NET-spezifischer Sicherheitslücken nicht nur mit einigen allgemeinen Sicherheitsherausforderungen für Webanwendungen, sondern auch mit speziellen Problemen und Angriffsmethoden wie dem Angriff auf den ViewState oder den Angriffen auf die Beendigung von Zeichenfolgen.

Teilnehmer an diesem Kurs werden

• Grundlegende Konzepte für Sicherheit, IT-Sicherheit und sichere Codierung verstehen
• Informieren Sie sich über Web-Schwachstellen, die über OWASP Top Ten hinausgehen, und lernen Sie, diese zu vermeiden
• Erfahren Sie, wie Sie verschiedene Sicherheitsfunktionen der .NET-Entwicklungsumgebung verwenden
• Erhalten Sie praktische Kenntnisse im Umgang mit Sicherheitstest-Tools
• Erfahren Sie mehr über typische Codierungsfehler und wie Sie diese vermeiden können
• Informieren Sie sich über aktuelle Sicherheitslücken in .NET und ASP.NET
• Holen Sie sich Quellen und weitere Informationen zu sicheren Codierungsmethoden

Publikum

Entwickler

Der Kurs führt einige gemeinsame Sicherheitskonzepte ein, gibt einen Überblick über die Art der Schwachstellen unabhängig von den verwendeten Programmiersprachen und Plattformen und erklärt, wie man mit den Risiken, die in Bezug auf Software-Sicherheit in den verschiedenen Phasen des Software-Entwicklungs-Lebenszyklus umgehen kann. Ohne tief in technische Details zu gehen, betont es einige der interessantesten und bemerkenswertesten Schwachstellen in verschiedenen Softwareentwicklungstechnologien und stellt die Herausforderungen der Sicherheitstests vor, zusammen mit einigen Techniken und Tools, die man anwenden kann, um alle bestehenden Probleme in ihrem Code zu finden.

Die Teilnehmer, die an diesem Kurs teilnehmen, werden 

• Verständnis der grundlegenden Konzepte von Sicherheit, IT-Sicherheit und sicherer Codierung
• Verständnis von Web-Schwachstellen sowohl auf der Server- und Client-Seite
• Erkennen Sie die schweren Konsequenzen der unsicheren Bufferbehandlung
• Informieren Sie sich über einige jüngste Schwachstellen in Entwicklungsumgebungen und Rahmenbedingungen
• Erfahren Sie über typische Codierungsfehler und wie Sie sie vermeiden können
• Verständnis von Sicherheitsprüfungsmethoden und Methoden

Publikum

Manager

Der Kurs vermittelt PHP-Entwicklern wesentliche Fähigkeiten, die sie benötigen, um ihre Anwendungen gegen aktuelle Angriffe über das Internet zu schützen. Web-Schwachstellen werden anhand von PHP-basierten Beispielen erörtert, die über die OWASP-Top Ten hinausgehen und verschiedene Injektionsangriffe, Skriptinjektionen, Angriffe auf die Sitzungsbehandlung von PHP, unsichere direkte Objektreferenzen, Probleme beim Hochladen von Dateien und viele andere behandeln. Die PHP-bezogenen Schwachstellen werden in die Standard-Schwachstellenarten fehlende oder unsachgemäße Eingabevalidierung, falsche Fehler- und Ausnahmebehandlung, unsachgemäße Verwendung von Sicherheitsmerkmalen und zeit- und zustandsbezogene Probleme eingeteilt. Für letztere werden Angriffe wie die open_basedir-Umgehung, Denial-of-Service durch Magic Float oder der Hash-Table-Kollisionsangriff diskutiert. In allen Fällen werden die Teilnehmer mit den wichtigsten Techniken und Funktionen vertraut gemacht, die zur Entschärfung der genannten Risiken eingesetzt werden können.

Ein besonderer Schwerpunkt liegt auf der Client-seitigen Sicherheit, wobei die Sicherheitsprobleme von JavaScript, Ajax und HTML5 behandelt werden. Eine Reihe von sicherheitsrelevanten Erweiterungen zu PHP werden vorgestellt, wie z.B. hash, mcrypt und OpenSSL für die Kryptographie, oder Ctype, ext/filter und HTML Purifier für die Eingabevalidierung. Die besten Härtungspraktiken werden im Zusammenhang mit der PHP-Konfiguration (Einstellung der php.ini), Apache und dem Server im Allgemeinen gegeben. Schließlich wird ein Überblick über verschiedene Sicherheitstests und -techniken gegeben, die Entwickler und Tester verwenden können, darunter Sicherheitsscanner, Penetrationstests und Exploit-Packs, Sniffer, Proxy-Server, Fuzzing-Tools und statische Quellcode-Analysatoren.

Sowohl die Einführung in die Schwachstellen als auch die Konfigurationspraktiken werden durch eine Reihe praktischer Übungen unterstützt, die die Folgen erfolgreicher Angriffe demonstrieren, die Anwendung von Abhilfetechniken zeigen und die Verwendung verschiedener Erweiterungen und Werkzeuge vorstellen.

Die Teilnehmer an diesem Kurs werden

• Grundlegende Konzepte der Sicherheit, der IT-Sicherheit und der sicheren Kodierung verstehen
• Web-Schwachstellen jenseits der OWASP Top Ten kennen und wissen, wie man sie vermeidet
• Sie lernen clientseitige Schwachstellen und sichere Programmierpraktiken kennen
• ein praktisches Verständnis von Kryptographie haben
• Lernen Sie, verschiedene Sicherheitsfunktionen von PHP zu nutzen
• Lernen Sie typische Programmierfehler kennen und wie Sie diese vermeiden können
• Über aktuelle Schwachstellen des PHP-Frameworks informiert sein
• Praktische Kenntnisse in der Verwendung von Sicherheitstools
• Quellen und weiterführende Lektüre zu sicheren Programmierpraktiken

Zielgruppe

Entwickler

Das kombinierte SDL-Kerntraining bietet einen Einblick in das sichere Design, die Entwicklung und das Testen von Software über den Microsoft Secure Development Lifecycle (SDL). Es bietet einen Überblick über die grundlegenden Bausteine von SDL auf Stufe 100, gefolgt von Entwurfstechniken, mit denen Fehler in frühen Phasen des Entwicklungsprozesses erkannt und behoben werden können.

Der Kurs befasst sich mit der Entwicklungsphase und gibt einen Überblick über die typischen sicherheitsrelevanten Programmierfehler von verwaltetem und nativem Code. Die Angriffsmethoden für die besprochenen Sicherheitslücken werden zusammen mit den damit verbundenen Abhilfemaßnahmen vorgestellt. Diese werden durch eine Reihe von praktischen Übungen erläutert, die den Teilnehmern Live-Hacking-Spaß bieten. Nach der Einführung verschiedener Sicherheitstestmethoden wird die Wirksamkeit verschiedener Testtools demonstriert. Die Teilnehmer können die Funktionsweise dieser Tools anhand einer Reihe praktischer Übungen verstehen, indem sie die Tools auf den bereits diskutierten anfälligen Code anwenden.

Teilnehmer an diesem Kurs werden

• Grundlegende Konzepte für Sicherheit, IT-Sicherheit und sichere Codierung verstehen

• Machen Sie sich mit den wesentlichen Schritten des Microsoft Secure Development Lifecycle vertraut

• Lernen Sie sichere Design- und Entwicklungspraktiken

• Erfahren Sie mehr über sichere Implementierungsprinzipien

• Verstehen der Sicherheitstestmethode

• Holen Sie sich Quellen und weitere Informationen zu sicheren Codierungsmethoden

Publikum

Entwickler, Manager

Der Schutz von Anwendungen, auf die über das Web zugegriffen werden kann, erfordert einen gut vorbereiteten Sicherheitsexperten, der jederzeit über die aktuellen Angriffsmethoden und -trends informiert ist. Es gibt eine Vielzahl von Technologien und Umgebungen, die eine komfortable Entwicklung von Webanwendungen ermöglichen. Man sollte sich nicht nur der Sicherheitsprobleme bewusst sein, die für diese Plattformen relevant sind, sondern auch aller allgemeinen Sicherheitslücken, die unabhängig von den verwendeten Entwicklungstools auftreten.

Der Kurs gibt einen Überblick über die anwendbaren Sicherheitslösungen in Webanwendungen, wobei der Schwerpunkt auf dem Verständnis der wichtigsten anzuwendenden kryptografischen Lösungen liegt. Die verschiedenen Sicherheitslücken in Webanwendungen werden sowohl auf der Serverseite (im Anschluss an die OWASP Top-Ten- OWASP ) als auch auf der Clientseite dargestellt, anhand der entsprechenden Angriffe demonstriert und anschließend die empfohlenen Codierungstechniken und Abhilfemethoden zur Vermeidung der damit verbundenen Probleme beschrieben. Das Thema der sicheren Codierung wird mit einigen typischen sicherheitsrelevanten Programmierfehlern im Bereich der Eingabevalidierung, der unsachgemäßen Verwendung von Sicherheitsmerkmalen und der Codequalität abgeschlossen.

Tests spielen eine sehr wichtige Rolle bei der Gewährleistung der Sicherheit und Robustheit von Webanwendungen. Verschiedene Ansätze - von hochrangigen Audits über Penetrationstests bis hin zu ethischem Hacking - können angewendet werden, um Schwachstellen unterschiedlicher Art zu finden. Wenn Sie jedoch über die leicht zu findenden, niedrig hängenden Früchte hinausgehen möchten, sollten Sicherheitstests gut geplant und ordnungsgemäß ausgeführt werden. Denken Sie daran: Sicherheitstester sollten idealerweise alle Fehler finden, um ein System zu schützen, während es für Gegner ausreicht, eine ausnutzbare Sicherheitslücke zu finden, um in das System einzudringen.

Praktische Übungen helfen dabei, Sicherheitslücken in Webanwendungen, Programmierfehler und vor allem die Abhilfemaßnahmen zu verstehen. In diesem Kurs werden praktische Versuche mit verschiedenen Testtools von Sicherheitsscannern über Sniffer, Proxy-Server, Fuzzing-Tools bis hin zu statischen Quellcode-Analysegeräten durchgeführt grundlegende praktische Fähigkeiten, die am nächsten Tag am Arbeitsplatz angewendet werden können.

Teilnehmer an diesem Kurs werden

• Grundlegende Konzepte für Sicherheit, IT-Sicherheit und sichere Codierung verstehen
• Informieren Sie sich über Web-Schwachstellen, die über OWASP Top Ten hinausgehen, und lernen Sie, diese zu vermeiden
• Informieren Sie sich über clientseitige Sicherheitslücken und sichere Codierungsmethoden
• Ein praktisches Verständnis der Kryptographie haben
• Verstehen der Ansätze und Methoden für Sicherheitstests
• Erhalten Sie praktische Kenntnisse im Umgang mit Sicherheitstesttechniken und -werkzeugen
• Informieren Sie sich über aktuelle Sicherheitslücken in verschiedenen Plattformen, Frameworks und Bibliotheken
• Holen Sie sich Quellen und weitere Informationen zu sicheren Codierungsmethoden

Publikum

Entwickler, Tester

In diesem von einem Ausbilder geleiteten Live-Kurs lernen die Teilnehmer, wie sie die richtige Sicherheitsstrategie formulieren, um der DevOps-Sicherheitsherausforderung zu begegnen.

This Course in Schweiz aims to help in the following:

1. Help Developers to master the techniques of writing Secure Code
2. Help Software Testers to test the security of the application before publishing to the production environment
3. Help Software Architects to understand the risks surrounding the applications
4. Help Team Leaders to set the security base lines for the developers
5. Help Web Masters to configure the Servers to avoid miss-configurations

Dieser Kurs behandelt die sicheren Codierungskonzepte und -prinzipien mit Java mithilfe der OWASP von Open Web Application Security Project ( OWASP ). Das Open Web Application Security Project ist eine Online-Community, die frei verfügbare Artikel, Methoden, Dokumentationen, Tools und Technologien im Bereich der Sicherheit von Webanwendungen erstellt.

In diesem Kurs werden die Konzepte und Prinzipien der sicheren Codierung mit ASP.net anhand der Testmethode des Open Web Application Security Project ( OWASP ) behandelt. OWASP ist eine Online-Community, die frei verfügbare Artikel, Methoden, Dokumentationen, Tools und Technologien in diesem Bereich erstellt der Sicherheit von Webanwendungen.

In diesem Kurs werden die Sicherheitsfunktionen von Dot Net Framework und das Sichern von Webanwendungen erläutert.