Hacking Extrem Web-Applikationen - Special Edition
Referenten: Michael Brügge und Joshua Tiago
Inhalt:
Webbasierte Applikationen haben sich zu bevorzugten Angriffspunkten entwickelt: Nicht nur, weil immer mehr Firmen Online-Shops, Bankanwendungen, Mitarbeiterportale oder andere interaktive Applikationen mit Web-Front-Ends oder Web Services anbieten, sondern auch, weil diese Systeme stets mit neuen Methoden angegriffen und manipuliert werden können.
„Hacking Extrem Web-Applikationen” ist ein Training, das sich mit Angriffen auf Web-Applikationen und Back-End-Systeme beschäftigt.
Das Intensivtraining vermittelt Ihnen die Vorgehensweise der Angreifer sowie bekannte und weniger bekannte Angriffstechniken auf Web-Applikationen mit den dahinter liegenden Datenbanken und Back-Ends. Der ausgesprochen praxisorientierte Stil ist durch zahlreiche Laborübungen angereichert.
Jedem Teilnehmer steht bei diesem Training ein Notebook mit zahlreichen Werkzeugen zur Verfügung. So kann jeder selbst erfahren, wie ein Angreifer praktisch vorgeht.
Die Trainer führen regelmäßig Sicherheitsüberprüfungen durch und sind als Experten im Bereich der Applikationssicherheit bekannt.
Die Schulung deckt alle Schwachstellenarten der OWASP Top Ten 2013 ab.
Wesentliche Themenbereiche sind:
Informationsgewinnung
- Klassische Informationsgewinnung über Banner, Fehlerseiten etc.
- Webserver-Fingerprinting
- Einsatz von Crawlern
- Auffinden von Informationen in Metadaten
- Dekompilieren von Client-Komponenten (Flash, Java Applets, Silverlight)
Angriffe auf Web- und Applikationsserver
- Softwareschwachstellen in Web- und Applikationsservern (Buffer Overflows etc.)
- Ausnutzung von Fehlkonfigurationen (Directory Listings etc.)
- Schwachstellen in Applikations-Frameworks
Angriffe auf die Übertragung
- Abhören der Kommunikation, SSL-Man-in-the-Middle-Angriffe
- Fehlkonfigurationen und Schwachstellen bei SSL
- Schwachstellen in der Verschlüsselung auf Anwendungsebene
Angriffe auf die Anwendung
- Angriffe auf die Authentisierung
- Angriffe auf gespeicherte Passwörter
- Umgehung von CAPTCHAs
- Angriffe auf die Session-Verwaltung
- Cross-Site Scripting (persistent, nicht persistent, DOM-basiert)
- Cross-Site Request Forgery (CSRF), Schwachstellen in Anti-CSRF-Mechanismen
- Autorisierungsschwachstellen auf Funktionsebene
- Autorisierungsschwachstellen auf Objektebene
- File Inclusion (lokal/remote)
- Offene Redirects
- Command Injection
- Schwachstellen im Datei-Upload
- Logikfehler in der Anwendung
- Schwachstellen in clientseitiger JavaScript-Logik
- Angriffe auf AJAX-Dienste
- HTML5-basierte Angriffsvektoren
- Web Spoofing
Angriffe auf das Backend
- SQL Injection / Blind SQL Injection
- LDAP Injection
- Schwachstellen in Web Services
- XML Injection / XML Bombs
- XPath Injection
- XSLT Injection
Behandelte Systeme:
Unix- oder Windows-basierte Webserver, Datenbanken, Application Server, ...
Zielgruppe:
Administratoren und Sicherheitsverantwortliche, die die Sicherheit durch die Brille des Angreifers betrachten wollen und dabei sehr tief in dessen Welt eintauchen möchten. Ebenso ist das Training interessant für Entwickler von Webanwendungen und Administratoren von Webservern und E-Business-Systemen.
Voraussetzung:
Grundkenntnisse im Bereich Webserver, HTTP und HTML.
Teilnahme am Training „Hacking Extrem” ist von Vorteil.
Preis: 2.000,- €
Datum: 25. – 26 Januar 2016 – die beiden Tage vor der IT-Defense 2016
Das Training wird in deutscher Sprache von zwei erfahrenen Trainern durchgeführt. Sie sind als Berater und Penetration Tester tätig und können daher umfassende und aktuelle Praxiserfahrungen in die Schulung einbringen.
Für die Teilnahme am Training Hacking Extrem Web-Applikationen erhalten Sie CPE-Punkte. Das Training dauert insgesamt 16 Stunden.
Informationen zu den regulären Terminen des Trainings „Hacking Extrem Web-Applikationen“ sowie weitere Informationen finden Sie hier.
Trainingsort:
Hyatt Regency Mainz
Malakoff-Terrasse 1
55116 Mainz
Tel: +49 6131 73 1234
Fax: +49 6131 73 1235
E-Mail: mainz.regency@hyatt.com