Kurs Online: Web Application Security: hands-on intro
Dieser Kurs vermittelt die Grundlagen der Web Application Security, basierend auf den häufigsten Schwachstellen und praktischen Beispielen der Damn Vulnerable Web Application (https://github.com/digininja/DVWA).
Das Ziel dieses Kurses ist es, nicht nur ein Bewusstsein für häufige Sicherheitsprobleme in Webanwendungen zu schaffen, sondern diese Probleme auch durch praktische Experimente kennenzulernen. Durch gemeinsames Experimentieren und Reflexion versuchen wir die häufigsten Lücken und Probleme auszunutzen und dadurch Erfahrungen für die sichere Webentwicklung zu sammeln.
Der Kurs hat folgende Ziele:
- Verständnis für die Grundlagen der Web Application Security schaffen.
- Teilnehmerinnen erlangen Selbstvertrauen, um selbständig Web Application Security Tests durchzuführen.
- Bewusstsein für häufige Schwachstellen und Skills zur sicheren Entwicklung von Webanwendungen schaffen.
- Theoretisches Wissen anhand von realistischen Beispielen praktisch anwenden.
Aufbau und Methode des Kurses:
Nach einer Vorstellrunde, in der die Teilnehmerinnen auch ihre spezifischen Interessen und Erwartungen einbringen können, starten wir mit einem Input zur Funktionsweise von Web-Applikationen und den dahinterliegenden Technologien.
Der praktische Hauptteil des Kurses wird in einer iterativen Weise verbreitete Schwachstellen in Webanwendungen anhand folgendem Zyklus durchgehen:
- eine kurze Einführung in die Art der Sicherheitslücke
- eine ausgedehnte praktische Einheit, in der die Teilnehmerinnen versuchen, sich in die DVWA zu hacken, indem sie diese Art von Schwachstelle ausnutzen
- eine gemeinsame Reflexion und Diskussion möglicher Lösungen (sowohl für den Hack als auch für die Absicherung gegen diese Art von Sicherheitslücke)
Der Kurs wird mit einer allgemeinen Reflexion darüber abgeschlossen, was die Teilnehmerinnen gelernt haben und wie und wo sie ihre Reise in die Web Application Security fortsetzen können.
Am Ende des Kurses schauen wir uns als Bonus Challenge auch noch den OWASP Juice Shop (https://owasp.org/www-project-juice-shop/) an, für alle die nach dem Workshop gerne noch weiterhacken wollen.
Besprechungs-ID: 394 996 958 605
Kennung: T49VEZ
Infos:
Voraussetzungen:
Die Teilnehmerinnen müssen keine geübten Webentwicklerinnen sein, sollten aber zumindest mit einer Programmiersprache vertraut sein. Ein Verständnis für PHP, HTML, JavaScript und SQL sind bei den jeweiligen praktischen Übungen hilfreich, aber nicht notwendig, wenn mensch ein Grundverständnis für die Programmierung im Allgemeinen oder praktische Erfahrungen z.B. mit Python, Java, C/C++, etc. hat.
Ein Grundverständnis für Webanwendungen ist ebenfalls hilfreich, aber nicht notwendig. Wir werden eine kurze Einführung geben, was Webanwendungen sind.
Die Teilnehmerinnen sollten mit ihrem eigenen Computer teilnehmen. Von der Teilnahme mit einem Smartphone oder Tablet wird abgeraten, da die praktischen Übungen auf die Nutzung am Desktop zugeschnitten sind. Das Einzige, was sie benötigen, ist ein generischer Webbrowser (z.B. Firefox oder Chromium).
Wir empfehlen jedoch zusätzlich vorab eine Testumgebung mit VirtualBox oder Docker lokal einzurichten und die kostenlose Burp Suite Community Edition zu installieren (oder Kali Linux z.B. über die VirtualBox zu verwenden). Eine Anleitung dazu wird im Vorfeld zur Verfügung gestellt.
Geschlossene Veranstaltung
Nur für die angemeldeten Teilnehmerinnen