Sicherheit Web-basierter Anwendungen - Seminar / Kurs von encomit UG (haftungsbeschränkt)

Die Nutzung Web-basierter Anwendungen ist Alltag geworden und zwar sowohl für Endkonsumenten wie Unternehmen gleichermaßen. Egal, ob eine offene Internet-Anwendung oder eine geschlossene Intranet-Anwendung betrachtet wird, die grundlegenden Technologien sind dieselben. Leider finden Sicherheitsbetrachtungen immer noch zu selten vor deren Implementierung statt und infolgedessen lesen wir immer häufiger von Datendiebstahl, Verletzungen des Datenschutzes oder Computern unter Fremdkontrolle.

Vermeintlich alte Betrachtungsweisen auf die Sicherheit von Web-Anwendungen sind immer noch brandaktuell. Dies gilt nicht nur, weil lückenhafte Anwendungen nicht nur nicht auszusterben sondern stark zu zunehmen scheinen, sondern weil auch bei neuen Technologien wie Cloud Computing, SaaS oder Web 2.0 alt-bewährte Basistechnologien zum Einsatz kommen.

Ziel dieses zweitägigen Seminars ist es, das Thema Sicherheit von Web-basierten Anwendungen sowohl praxisnah als auch für Entscheider zugänglich zu vermitteln. Der umfassende Blick auf alle essentiellen Bereiche der IT-Sicherheit für Web-Anwendungen wird wo möglich mit Praxisbeispielen angereichert. Es wird die technologische Seite genauso beleuchtet wie die notwendigen organisatorischen Maßnahmen des heutigen Best Practice.

Das Seminar ist so aufgebaut, dass die beiden Einzeltage auch getrennt und unabhängig von einander besucht werden können, falls sich der Teilnehmer in einem Bereich bereits ausreichend informiert fühlt. Die thematische Trennung erfolgt in die Bereiche:

1. Sichere Implementierung
2. Krypto- und Authentifizierungsmaßnahmen

Zielgruppe: IT-Sicherheit-Interessierte, IT-Leiter, Entscheider, Entwickler, Administratoren

Sicherheit Web-basierter Anwendungen – Sichere Implementierung

Das Seminar beginnt mit einer Einführung und Demonstration von typischen Angriffsarten auf Web-Anwendungen mit entsprechenden Programmierschwachstellen und deren Folgen. Als Beispiele sind zu nennen:

• Cross-Site-Scripting
• HTML-Injection
• SQL Code Injection
• Path Traversal
• Denial of Service

Mit dem Basisverständnis für das Vorgehen von Angreifern ausgestattet, stellen wir dazu passende sichere Implementierungstechniken vor. Auch die richtige Zuhilfenahme von Test-Tools zur Absicherung während der Entwicklung und beim Betrieb von Web-Anwendungen wird erläutert. Als letztes werden gängige Sicherheitsprozesse und Sicherheitsstandards (wie z.B. BSI-Grundschutz, OWASP, PCI-PA-DSS) beleuchtet, um dem Teilnehmer weitere Anhaltspunkte zu geben, wie man in der Praxis bei konkreten Anforderungen verfahren kann, etwa um Sicherheitstests in den Entwicklungsprozess zu integrieren.

Zu den Themen gehören:

• Einführung in Web-Technologien
• Angriffsszenarien
• Sichere Implementierung von Web-Anwendungen

• Intrusion Detection und Application-Level-Firewalls
• Security Testing
• Sicherheitsstandards

Als Abschluss wird der Vollständigkeit halber das Thema Client-Security erörtert. Hier finden Aspekte wie sichere Browserkonfiguration und Privacy Enhancing Erwähnung.

Sicherheit Web-basierter Anwendungen – Krypto- und Authentifizierungsmaßnahmen

Die Betrachtung von Kryptographischen und Authentifizierungsmaßnahmen für Web-basierte Anwendungen ist von zentraler Bedeutung für deren sicheren Einsatz. Dies betrifft Intranet- und offene Internet-Anwendungen gleichermaßen, wenngleich bestimmte Technologien nur für geschlossene Benutzergruppen infrage kommen.

Dass der Einsatz verschlüsselter Verbindungen die Sicherheit einer Anwendung erhöht, leuchtet vielen buchstäblich sofort ein. Den Unterschieden eingesetzter Technologien und der effektive Nutzen von Grundregeln bei deren Einsatz ist jedoch essentiellen für den Erfolg der Sicherheitsmaßnahmen.

Hoch sichere Authentifizierungsmöglichkeiten für Intranet-Applikationen bieten Token-basierte Logonmethoden, z.B. via SmartCard oder One-Time-Pad. Aber auch der oftmals unausweichliche Einsatz von Passwörtern kann durch diverse Maßnahmen, etwa Passwortregeln und Hash-Funktionen, signifikant abgesichert werden.

Zu den Themen gehören:

• Einführung in Kryptographie
• PKI-Technologien
• Authentifizierungsmechanismen
• Einführung in SSL/TLS
• Regeln für sichere Authentifizierung
• Single-Sign-on
• Sicherheitsstandards

• Einführung in Web-Technologien
• Angriffsszenarien
• Sichere Implementierung von Web-Anwendungen

• Intrusion Detection und Application-Level-Firewalls
• Security Testing

• Einführung in Kryptographie
• PKI-Technologien
• Authentifizierungsmechanismen
• Einführung in SSL/TLS
• Regeln für sichere Authentifizierung
• Single-Sign-on
• Sicherheitsstandards