Sie entwickeln eine Webanwendung und möchten wissen, wie Sie diese sicher gestalten können? Verwendet Ihre Applikation Single Sign-On Verfahren, Webservices oder XML? Setzen Sie TLS ein? Die Experten von Hackmanit zeigen Ihnen welche Gefahren diese Technologien mitbringen können und wie es möglich ist, Ihre Anwendung gegen aktuelle Hackertechniken zu schützen. 

Webservices werden heutzutage von vielen Applikationen verwendet und sind in vielen Szenarien nicht mehr wegzudenken. So ermöglichen sie zum Beispiel die Anbindung an soziale Netzwerke oder das Bereitstellen eigener Dienste für Drittanbieter. In den letzten Jahren wurden Webservices aufgrund von Implementierungsfehlern zum Ziel schwerwiegende Angriffe. Die Angriffe nutzen dabei vor allem die Komplexität der eingesetzten XML-Standards aus und erlauben es Angreifern, Daten aus den fremden Servern auszulesen oder vertrauliche Daten zu entschlüsseln.

In dieser Schulung werden zunächst Webservice Technologien eingeführt und anhand von Beispielen die zahlreichen unterschiedlichen Angriffstechniken, die verwendet werden, um SOAP-basierte Webservices anzugreifen, vorgestellt. Anschließend bekommen die Teilnehmer die Möglichkeit, verschiedene Angriffe in einer von uns vorbereiteten virtuellen Maschine selbst durchzuführen. Die Angriffe werden zuerst "per Hand" (z.B. mit SoapUI) durchgeführt, um ein Gefühl für die zugrundeliegenden Schwachstellen zu bekommen. Anschließend werden wir unser Penetrationstest-Tool WS-Attacker vorstellen, mit Hilfe dessen viele dieser Angriffe automatisiert abgedeckt werden können. Die virtuelle Maschine ist offline nutzbar und steht den Teilnehmern nach der Schulung weiterhin zur internen Weiterbildung zur Verfügung.

Durch die immense Bedeutung der Integration von Webservices in Ihr Unternehmensökosystem, ist es wichtig, die Probleme dieser Technologie im Detail zu verstehen und zu adressieren. In der Schulung werden unter anderem die nachfolgenden Fragen beantwortet:

  • Wie verwende ich einen XML Parser richtig?
  • Wie prüfe ich eine XML Dokumentensignatur korrekt?
  • Welche Gefahren entstehen bei der Nutzung von WS-* Erweiterungen?
  • Reicht eine Verschlüsselung meiner Nachrichten mit TLS?
  • Wie kann ich meine Systeme vor Angreifern schützen?

Schulungsinhalte:

  • XML und SOAP-basierte Webservices
  • XML Schema und WS-Policy
  • WS-Addressing und WS-Addressing Spoofing
  • XML Parsing (DOM vs. SAX)
  • XML-spezifische Denial-of-Service Angriffe
  • XML Security und WS-Security
    • Unterschiede zu SSL/TLS
  • XML Signature
    • ID-basierte und XPath-basierte XML Signaturen

Tag 2:

  • XML Signature Wrapping Angriffe
  • XML Encryption
    • Angriffe auf symmetrische Verschlüsselung
    • Angriffe auf asymmetrische Verschlüsselung
  • Testen mit WS-Attacker
  • Ausblick: SAML-basiertes Single Sign-On
  • REST-basierte Webservices
    • Angriffe und Best Practices

Teilnahmevoraussetzungen: Diese Schulung richtet sich an zwei Gruppen: Einerseits an Entwickler, die XML und Webservices praktisch einsetzen; zum anderen an Penetrationstester und Sicherheitsforscher, die sich mit dem Thema XML Sicherheit vertraut machen und Webservices evaluieren möchten.

Beispiel-Folien: 15 Seiten der Schulungsunterlagen
Flyer der Schulung: Webservice Sicherheit

Ansprechpartner: Dr. Juraj Somorovsky