Hacking Extrem Web-ApplikationenHacking Extrem Web-Applikationen

Hacking Extrem Web-Applikationen

Referenten: cirosec-Berater

Dauer: 3 Tage

Webbasierte Applikationen haben sich zu bevorzugten Angriffspunkten entwickelt: Nicht nur, weil immer mehr Firmen Onlineshops, Bankanwendungen, Mitarbeiterportale oder andere interaktive Applikationen mit Web-Frontends oder Webservices anbieten, sondern auch, weil diese Systeme stets mit neuen Methoden angegriffen und manipuliert werden können.

„Hacking Extrem Web-Applikationen” ist ein Training, das sich mit Angriffen auf Web-Applikationen und Backend-Systeme beschäftigt.

Das Intensivtraining vermittelt Ihnen die Vorgehensweise der Angreifer sowie bekannte und weniger bekannte Angriffstechniken auf Web-Applikationen mit den dahinter liegenden Datenbanken und Backends. Der ausgesprochen praxisorientierte Stil ist durch zahlreiche Laborübungen angereichert.

Jedem Teilnehmer steht bei diesem Training ein Notebook mit diversen Werkzeugen zur Verfügung. So kann jeder selbst erfahren, wie ein Angreifer praktisch vorgeht. 

Die Trainer führen regelmäßig Sicherheitsüberprüfungen durch und sind als Experten im Bereich der Applikationssicherheit bekannt.

Die Schulung deckt alle Schwachstellenarten der OWASP Top Ten 2021 ab.

Wesentliche Themenbereiche sind:

Informationsgewinnung

  • Klassische Informationsgewinnung über Banner, Fehlerseiten etc.
  • Webserver-Fingerprinting
  • Einsatz von Crawlern
  • Auffinden von Informationen in Metadaten

Angriffe auf Web- und Applikationsserver

  • Softwareschwachstellen in Web- und Applikationsservern (Buffer Overflows etc.)
  • Ausnutzung von Fehlkonfigurationen (Directory Listings etc.)
  • Schwachstellen in Applikations-Frameworks

Angriffe auf die Übertragung

  • Abhören der Kommunikation, TLS-Man-in-the-Middle-Angriffe
  • Fehlkonfigurationen und Schwachstellen bei TLS
  • Schwachstellen in der Verschlüsselung auf Anwendungsebene

Angriffe auf die Anwendung

  • Angriffe auf die Authentisierung
  • Angriffe auf gespeicherte Passwörter
  • Umgehung von CAPTCHAs
  • Angriffe auf die Session-Verwaltung
  • Cross-Site Scripting (persistent, nicht persistent, DOM-basiert)
  • Cross-Site Request Forgery (CSRF), Schwachstellen in Anti-CSRF-Mechanismen
  • Server-Site Request Forgery (SSRF)
  • Autorisierungsschwachstellen auf Funktionsebene
  • Autorisierungsschwachstellen auf Objektebene
  • File Inclusion (lokal/remote)
  • Offene Redirects
  • Command Injection
  • Angriffe mittels serialisierter Objekte
  • Schwachstellen im Datei-Upload
  • Logikfehler in der Anwendung
  • Schwachstellen in clientseitiger JavaScript-Logik
  • Angriffe auf AJAX-Dienste
  • HTML5-basierte Angriffsvektoren
  • Web Spoofing
  • CORS (Cross-Origin Resource Sharing)
  • Angriffe durch eingebundene Ressourcen von Drittanbietern
  • Nachvollziehbarkeit von Angriffen durch Protokollierung sicherheitsrelevanter Ereignisse
  • Angriffe begünstigt durch unsichere Architektur

Angriffe auf das Backend

  • SQL Injection/Blind SQL Injection
  • LDAP Injection
  • Schwachstellen in Webservices
  • XML Injection, XML-External-Entity-Angriffe (XXE), XML Bombs
  • XPath Injection
  • XSLT Injection

Behandelte Systeme:
Unix- oder Windows-basierte Webserver, Datenbanken, Application Server, ...

Zielgruppe:
Administratoren und Sicherheitsverantwortliche, die die Sicherheit auch durch die Brille des Angreifers betrachten und dabei sehr tief in dessen Welt eintauchen möchten. Ebenso ist das Training interessant für Entwickler von Webanwendungen sowie für Administratoren von Webservern und E-Business-Systemen. 

Das Training ist als „fortgeschrittene” Schulung zu betrachten. Die Anzahl der Teilnehmer ist beschränkt, um ein effektives und individuelles Lernen zu ermöglichen.

Voraussetzung:
Grundkenntnisse in HTTP, HTML sowie im Bereich Webserver und Datenbanken. Die Übungen erfordern teilweise den Umgang mit Kommandozeilenwerkzeugen unter Linux. Bei deren Handhabung assistieren die Trainer im Bedarfsfall gern.

Preis:
2.400,- € zzgl. MwSt.

Wir bieten die Trainings je nach Situation entweder vor Ort oder online an. Bis spätestens ca. 4 Wochen vor Veranstaltungsbeginn fällt die Entscheidung.

Frühbucherrabatt: 
Bei einer Anmeldung bis 8 Wochen vor Beginn des Trainings erhalten Sie einen Frühbucherrabatt von 5 %.

Das Training wird in deutscher Sprache durchgeführt. Unsere Trainer sind als Berater und Penetration Tester tätig und können daher umfassende und aktuelle Praxiserfahrungen in die Schulung einbringen.
Für die Teilnahme am Training Hacking Extrem Web-Applikationen erhalten Sie CPE-Punkte. Das Training dauert insgesamt 24 Stunden. 
Zum Abschluss des Trainings erhalten Sie ein Zertifikat.

Termine:
24.09.-26.09.2024 in Ludwigsburg 
10.12.-12.12.2024 in München

Hinweis zu den Online-Schulungen:
Bei den Online-Schulungen können die Teilnehmer nicht nur die Folien und die Trainer per Video-Übertragung in Microsoft-Teams sehen, sondern auch die Kontrolle über einen eigenen virtuellen Übungsarbeitsplatz übernehmen, der von cirosec bereitgestellt wird und mit zahlreichen Werkzeugen und Exploits ausgestattet ist. Die Schulungsteilnehmer können somit auch bei der Online-Variante der Schulung alle Übungsaufgaben interaktiv und mit individueller Betreuung der Trainer durchführen.

Schulungsort:
Die Trainings finden in schönen, ausgesuchten Hotels statt:

Auf Wunsch können wir Ihnen gerne in den Schulungshotels Zimmer zu Spezialraten reservieren.

Gerne bieten wir Ihnen diese Schulung auch als Inhouse-Training an.

Online-Anmeldung

Stimmen bisheriger Teilnehmer:

„Angenehme Atmosphäre, sehr motivierende Art des Vortragens, sehr kompetente Moderatoren, hat Spaß gemacht. Danke.“
Roberto Scaduto, DEVK Sach- u. HUK VVaG

„Sehr gute Einführung in die Ausnutzung der Schwachstellen der OWASP Top Ten.“
Johann Ort, Hubert Burda Media

"Sehr kompetenter und angenehmer Trainer, tolle Schulung! Sollte Pflichtveranstaltung für alle Anwendungsentwickler werden."
Michael Martin, Deutsche Telekom AG

"Der Kurs ist sehr gut für den Aufbau von Wissen, mit dem ich tiefergehend in die Thematik einsteigen kann."
Vanessa Kroh, REWE Systems GmbH

„Sehr kompakte und praxisorientierte Schulung über die gängigsten Angriffsmöglichkeiten auf heutige Web-Applikationen mit sehr erfahrenen Trainingsexperten, die auf jede Frage die passende Antwort haben. Wirklich top!“
Gunnar Schmidt, ZF Friedrichshafen AG

"Eine exzellente Möglichkeit für Anwendungsentwickler ein Gefühl für Bedrohungen und Schwachstellen sowie deren Folgen zu bekommen"
Benedikt Zumbrink, DEVK

"Rundum gelungene Veranstaltung!"
Jürgen Kürpig, DEVK

"Die Schulung hat meine Erwartungen voll erfüllt, sogar übertroffen. Die Dozenten wirkten immer kompetent und wussten auf jede Frage eine zufriedenstellende Antwort. Durch viele Beispiele (manche waren erschreckend) und Übungen war die Schulung sehr kurzweilig."
Carsten Lau, COOP

Ihre Trainer

Joshua Tiago

Benjamin Häublein

Simon Kömpf

Michael Brügge