IT Security Camp 2022 - Training / Workshop von Software & Support Media GmbH

Das IT Security Camp mit Christian Schneider, der als freiberuflicher White-Hat-Hacker, Trainer und Security-Coach tätig ist, bietet während drei Workshoptagen einen ausführlichen Einstieg in die IT-Sicherheit und vermittelt aktuelle Techniken zur Absicherung von Software-Systemen. Das Konzept der Schulung ist mit seinem hohem Übungsanteil praxis- und umsetzungsorientiert.Die Teilnehmer:innen erlernen in drei Tagen nach dem Basiswerkzeug, tiefere offensive Fähigkeiten sowie defensive Techniken zur Automation von Security-Checks in CI/CD Pipelines. Das Programm besteht aus vier komplexen Teilen, in welchen das Ziel verfolgt wird, die Sicherheit Ihrer Projekte nachhaltig zu erhöhen. Die praxisnahe Vermittlung der Inhalte wird unter anderem in der Angriffsdurchführung auf Webanwendungen und Backends sowie Erweiterung von Build-Pipelines um Security-Checks im DevSecOps-Sinne ausgehändigt. Zudem wird eine genauere Einschätzung der Sicherheitslücken und Ihres Pentesting-Wissens angezielt.

AUSZUG:Teil 1

• Injection-Schwachstellen wie SQL-Injection, HQL-Injection, Command-Injection, etc. – inkl. Post-Exploitation bis zur Remote Code Execution (RCE) auf dem Datenbankserver
• XML External Entity Attacks (XXE)
• Path-Traversals (inkl ClassPath-Traversals)
• Session Attacks wie Session Fixation, etc.
• Authentication Bypass
• Information Disclosures
• Server-Side Request Forgery (SSRF)
• Risiken und Absicherung von File-Uploads und -Downloads
• Angriffe auf WebSockets

Teil 2:

• Remote- und Reverse-Shells
• Tunneln und Exfiltrieren von Daten
• Ausnutzen von Blind und Super-Blind Lücken
• In-band Signaling: Time & Denial-of-Service
• Eskalation zu Remote Code Executions (RCEs)
• XML Unmarshalling Angriffe
• Angriffe auf JSON Interfaces 

Teil 3

• Geführte Dynamische Scans (DAST) automatisieren
• Statische Analyse (SAST) automatisieren
• Scans mittels Bytecode Instrumentation (IAST-like) erweitern 

Teil 4

• Maßnahmen zur Vollautomatisierung einer teil-manuellen Analyse (z.B. im Rahmen von Build-Prozessen) Live Übungen: 
• Aufbauen einer CI/CD-Pipeline basierend auf der Trainingsanwendung und Erweiterung der Konfigurations-Scans inkl. False Positive Handling und Reporting
• Aufbauen einer Ende-zu-Ende-Build-Pipeline mit passenden Security-Checks gegen eine Trainingsanwendung. Arbeiten mit Open-Source-Tools.