Hackmanit Logo

 

Sichere Webentwicklung, XML- und SSL/TLS-Sicherheit

Unsere Schulungen können bei Ihnen In-House oder bei uns vor Ort in Bochum einzeln sowie im Verbund durchgeführt werden. Zusätzlich besteht die Möglichkeit Fachvorträge zu bestimmten Themengebieten wie bspw. Clickjacking zu buchen. Unsere Schulungen werden in deutscher und englischer Sprache angeboten. Wir haben Ihr Interesse geweckt? Dann kontaktieren Sie uns: mail@hackmanit.de

Angebotene Schulungen mit Teilnahmebescheinigungen: Kleineren Unternehmen und Freiberuflern empfehlen wir eine Buchung beim Linuxhotel. Ab einer Teilnehmerzahl von 5 Personen sind Schulungen empfehlenswert, die In-House oder bei Hackmanit in Bochum durchgeführt werden. In Bochum findet die Schulung in der Regel im Mercure Hotel Bochum City statt.




Sichere Webentwicklung (3 Tage)

Im Intensivseminar Sichere Webentwicklung wird den Teilnehmern anhand von Real-Life-Beispielen vermittelt, wie ein Angreifer Sicherheitslücken im Web ausspäht und ausnutzt. Neben altbewährten und immer wieder brisanten Themen wie SQL Injections, Remote File Inclusion und Cross-Site Scripting kommen auch brandaktuelle Gefahren durch das HTML(5) sowie noSQL (bspw. MongoDB) zur Sprache. Ziel des Intensivseminars ist, dass Sie kleinere Audits bzw. Penetrationstests selbstständig durchführen können. Zudem sind Sie in der Lage gängige Angriffe zu verstehen, zu bewerten und Ihre Webapplikation im Bezug auf die erlernten Themen nachhaltig abzusichern.

Schulungsinhalte:

  • Kurzeinführung
    • HTTP, HTML, CSS, XML und das DOM
  • Social Engineering und Information Disclosure
  • Logical Flaws
  • Same-Origin-Policy
  • Cross-Site Request Forgery
  • Cross-Site Scripting
    • Nichtpersistentes XSS
    • Persistentes XSS
    • DOM-basiertes XSS
    • Self-XSS
    • Mutation-basiertes XSS
  • Session Hijacking und Session Fixation
  • UI-Redressing und Clickjacking
  • DOM Clobbering
  • File Inclusions und Path Traversal
  • Remote Command und Code Execution
  • SQL- und noSQL-Injections
  • Secure-Coding
    • OWASP TOP-10
    • Zeichensätze
    • DOCTYPE-Switch
    • HTTP Parameter Pollution
    • HTML5 sandbox-Attribut
    • Content Security Policy
    • Burp Suite
    • Security Requirements

Teilnahmevoraussetzungen: Der Kurs richtet sich grundlegend an Personen, die sich mit der Thematik des Web-Hacking vertraut machen möchten. Idealerweise sind Sie im Webumfeld beheimatet. Dieser Kurs hilft u. a. Webentwicklern (Frontend und Backend), Leiter einer Webentwicklungsabteilung und bspw. auch Information Security Officer. Es ist hilfreich, wenn Sie grundlegende Kenntnisse in HTML mitbringen.

Beispiel-Folien: 15 Seiten der Schulungsunterlagen

Ansprechpartner: Marcus Niemietz


Web Service und Single Sign-On Security (2 Tage)

Webservices und Single Sign-On gehören zu den wichtigsten Internettechnologien. Sie werden heutzutage in vielen Bereichen wie Automotive, Gesundheitswesen, E-Government bis hin zu Militärdiensten eingesetzt. In den letzten Jahren wurde allerdings gezeigt, dass diese Technologien aufgrund von Implementierungsfehlern schwerwiegende Angriffe ermöglichen. Die Angriffe nutzen Komplexität der eingesetzten XML-Standards aus. Sie erlauben es, Daten aus den fremden Servern auszulesen, sich als beliebiger Nutzer zu authentisieren oder vertrauliche Daten zu entschlüsseln.

In dieser Schulung werden die Webservices und Single Sign-On Technologien eingeführt und anhand von Beispielen die zahlreichen Angriffstechniken vorgestellt. Die Teilnehmer bekommen die Möglichkeit, die Angriffe in einer von uns vorbereiteten virtuellen Maschine selbst durchzuführen. Die Angriffe werden zuerst "per Hand" (z.B. mit soapUI) durchgeführt, um ein Gefühl für die Angriffe zu bekommen. Anschließend werden wir unser Penetrationstest-Tool WS-Attacker vorstellen, mit welchem man viele dieser Angriffe automatisiert abdecken kann.

Schulungsinhalte:

  • XML und SOAP-basierte Webservices
  • XML Schema und WS-Policy
  • WS-Addressing und WS-Addressing Spoofing
  • XML Parsing (DOM vs SAX)
  • XML-spezifische Denial-of-Service Angriffe
  • XML Security und WS-Security
    • Unterschiede zu SSL/TLS
  • XML Signature
    • ID-basierte und XPath-basierte XML Signaturen
    • XML Signature Wrapping Angriffe
  • XML Encryption
    • Angriffe auf symmetrische Verschlüsselung
    • Angriffe auf asymmetrische Verschlüsselung
  • Testen mit WS-Attacker
  • SAML-basiertes Single-Sign On
    • Angriffe
  • REST-basierte Webservices
    • Angriffe und Best Practices

Teilnahmevoraussetzungen: Diese Schulung richtet sich an zwei Gruppen: Einerseits an Entwickler, die XML, Webservices und Single Sign-On Systeme praktisch einsetzen. Andererseits richtet sich diese Schulung an Penetrationstester und Sicherheitsforscher, die sich mit dem Thema XML Sicherheit vertraut machen möchten und Webservices und Single Sign-On Systeme evaluieren werden.

Beispiel-Folien: 15 Seiten der Schulungsunterlagen

Ansprechpartner: Christian Mainka


SSL/TLS-Sicherheit (2 Tage)

Erst durch TLS wird "http" zu "https". Werden im Internet Daten verschlüsselt übertragen, kommt dabei in den meisten Fällen TLS (der Nachfolger von SSL) zum Einsatz. Ob Web, Mail, Telefonie, Chat oder VPN – es gibt kaum eine Kommunikationsart, die nicht auch mit TLS verschlüsselt wird.

Grade da TLS fast überall zu finden ist, lohnt es sich, genauer hinzuschauen: Welche kryptographischen Grundlagen muss ich verstehen? Wie werden diese bei TLS eingesetzt? Welche Implementierungen gibt es? Welche Angriffe auf TLS gibt es? Wie konfiguriere ich meine Server sicher?

Schulungsinhalte:

  • Kurze Einführung in die Kryptographie
  • TLS Protokollablauf
  • TLS Extensions
  • Zertifikate und Zertifikatsvalidierung
  • Angriffe – Kurzer Überblick
    • BEAST, CRIME und u.a. Heartbleed
  • TLS Implementierungen
  • Sichere Serverkonfiguration
    • Apache HTTP Server (mod_ssl)
    • Apache Tomcat
  • Überprüfung eigener Serverkonfiguration mit gängigen Tools

Teilnahmevoraussetzungen: Diese Schulung richtet vor allem an Systemadministratoren und Entwickler mit grundlegenden Kenntnissen über SSL/TLS. Sie lernen dabei, welche Angriffe auf TLS anwendbar sind und was für eine Auswirkung sie auf Ihren Server haben. Anschließend lernen Sie wie man einen eigenen Server sicher konfiguriert und wie man die sichere Konfiguration mit gängigen Tools überprüfen kann.

Beispiel-Folien: 15 Seiten der Schulungsunterlagen

Ansprechpartner: Dr. Juraj Somorovsky