Achtung: Sie verwenden einen sehr alten Browser! Die Webseite sollte trotzdem funktionieren, aber mit einem neueren Browser wäre alles übersichtlicher und schöner!
Banner-Bild: Ditact Teilnehmerinnen

Kurs Online: Hack the heck out of this website!

Eine interaktive Einführung in die Sicherheit von Webanwendungen
Andrea Ida Malkah Klaura
Melanie Hosinner

Andrea Ida Malkah Klaura, Melanie Hosinner

Dieser Kurs vermittelt die Grundlagen der Web Application Security, basierend auf den häufigsten Schwachstellen und praktischen Beispielen der Damn Vulnerable Web Application (https://dvwa.co.uk).

Das Ziel dieses Kurses ist es, nicht nur ein Bewusstsein für häufige Sicherheitsprobleme in Webanwendungen zu schaffen, sondern diese Probleme auch durch praktische Experimente kennenzulernen. Durch gemeinsames Experimentieren und Reflexion versuchen wir die häufigsten Lücken und Probleme auszunutzen und dadurch Erfahrungen für die sichere Webentwicklung zu sammeln.

Der Kurs hat folgende Ziele:

  • Verständnis für die Grundlagen der Web Application Security schaffen.
  • Teilnehmerinnen erlangen Selbstvertrauen, um selbständig Web Application Security Tests durchzuführen.
  • Bewusstsein für häufige Schwachstellen und Skills zur sicheren Entwicklung von Webanwendungen schaffen.
  • Theoretisches Wissen anhand von realistischen Beispielen praktisch anwenden.

Aufbau und Methode des Kurses:

Wir beginnen mit dem allgemeinen Kurs-Ablauf und einer Vorstellrunde, in der Teilnehmerinnen auch ihre spezifischen Interessen und Erwartungen einbringen können.

Der Hauptteil des Kurses wird in einer iterativen Weise verbreitete Schwachstellen in Webanwendungen anhand folgendem Zyklus durchgehen:

  • eine kurze Einführung in die Art der Sicherheitslücke
  • eine ausgedehnte praktische Einheit, in der die Teilnehmerinnen versuchen, sich in die DVWA zu hacken, indem sie diese Art von Schwachstelle ausnutzen
  • eine gemeinsame Reflexion und Diskussion möglicher Lösungen (sowohl für den Hack als auch für die Absicherung gegen diese Art von Sicherheitslücke)

Der Kurs wird mit einer allgemeinen Reflexion darüber abgeschlossen, was die Teilnehmerinnen gelernt haben und wie und wo sie ihre Reise in die Web Application Security fortsetzen können.

Auf Grund der aktuellen Pandemie-Situation findet dieser Kurs online statt.

Infos:

Voraussetzungen:

Die Teilnehmerinnen müssen keine geübten Webentwicklerinnen sein, sollten aber zumindest mit einer Programmiersprache vertraut sein. Ein Verständnis für PHP, HTML, JavaScript und SQL sind bei den jeweiligen praktischen Übungen hilfreich, aber nicht notwendig, wenn man ein Grundverständnis für die Programmierung im Allgemeinen oder praktische Erfahrungen z.B. mit Python, Java, C/C++, etc. hat.

Ein Grundverständnis für Webanwendungen ist ebenfalls hilfreich, aber nicht notwendig. Wir werden eine kurze Einführung geben, was Webanwendungen sind.

Die Teilnehmerinnen sollten mit ihrem eigenen Computer teilnehmen. Von der Teilnahme mit einem Smartphone oder Tablet wird abgeraten, da die praktischen Übungen auf die Nutzung am Desktop zugeschnitten sind. Das Einzige, was sie benötigen, ist ein generischer Webbrowser (z.B. Firefox oder Chromium).

Wir empfehlen vorab eine Testumgebung mit VirtualBox oder Docker lokal einzurichten und die kostenlose Burp Suite Community Edition zu installieren, oder Kali Linux (z.B. mit VirtualBox) zu verwenden. Eine Anleitung dazu wird im Vorfeld zur Verfügung gestellt. Auch eine (optionale) Install-Session wird einige Tage vor dem Kurs stattfinden. Wer noch keine Erfahrung mit diesen Technologien hat kann auch von uns einen Testserver zur Verfügung gestellt bekommen.

Geschlossene Veranstaltung

Nur für die angemeldeten Teilnehmerinnen

Veranstaltungsort:

Online