DevSecOps: Automatisierte Sicherheitstests für die WebApp-Entwicklung

(2-tägiger iX-Workshop)

Das lernen Sie

Die Teilnehmenden des Kurses lernen die Integration von (automatisierten) Sicherheitsprüfungen auf Anwendungsebene in den DevSecOps-Prozess kennen. Hierfür werden zunächst die Grundlagen der Sicherheit moderner Webanwendungen dargestellt. Auf Basis dieser Beispiele werden anschließend in mehreren theoretischen und praktischen Teilen die einzelnen Themen jeweils zuerst vorgestellt und anschließend durch die Teilnehmenden praktisch vertieft. Die Vertiefung und praktische Anwendung erfolgt dabei anhand der bi-sec-Demo-und-Übungs-Umgebung in der Cloud (AWS, Azure). Die Teilnehmer lernen, welche Werkzeuge für die Überprüfung von Anwendungen und Systemen verwendet werden können, wie sich diese in die bestehende Jenkins-Pipeline integrieren lassen und wie die Ergebnisse zu interpretieren sind.

Voraussetzungen:

Als Teilnehmende(r) benötigen Sie einen eigenen Linux-Laptop mit Internetzugang, vorzugsweise mit dem für Penetrationstests gedachte Distribution Kali Linux.
Alternativ können Sie auf Ihrem Laptop einen SSH-Client mit X-Forwarding nutzen. Dieser greift dann auf eine von bi-sec in der Cloud bereitgestellte KALI-Instanz zu.

Unterlagen:

Jede teilnehmende Person erhält die Schulungsunterlagen während der Schulung in Präsentationsform in deutscher Sprache als PDF-Dokument. (Es gibt keine ausgedruckten Schulungsunterlagen)
Die während des Workshops gezeigten Scriptlets und Commandline-Parameter können Sie über das GIT-Repository von bi-sec herunterladen und verwenden

Zielgruppe

Interessenten aus den Bereichen Systemadministration/DevOps, Softwareentwicklung sowie IT-Sicherheit

Inhalte (für mehr Details auf die einzelnen Punkte klicken)

Einführung in gängige Standards zur Web-Sicherheit, z. B.
- OWASP Top 10, OWASP ASVS und SANS CWE Top 25
- Vor- und Nachteile der individuellen Standards für Compliance- und Security-Checks
Einführung in Kali-Linux und gängige Prüfwerkzeuge für (Web-) Anwendungen
- Abgrenzung der Möglichkeiten und Grenzen von automatisierten „Scannern“, manuellen Pentests und Quellcode-Prüfungen
- Einführung in die Sicht eines Hackers auf Webanwendungen und Pentest-Proxies
- Vorstellung und Anwendung von Werkzeugen und Prüfverfahren im Bereich SAST und DAST
Kennenlernen und verstehen typischer Angriffsvektoren von Webanwendungen:
- SQL-Injections, Command-Injections und co.
- Authentifizierung und Autorisierung
- Cross-Site-Scripting
- HTML5: Tags und Browserspeicher
- JavaScript / client-seitige Eingabevalidierung
- WebSockets
- Cross-Origin-Resource-Sharing
- Verbindungssicherheit / TLS
- Header
Schwachstellen auf System- und Dienstebene erkennen und beheben
- Nutzung automatisierter Werkzeuge
- Härtung und Absicherung von Diensten wie Tomcat auf Linux
Einführung DevSecOps mit Beispielen aus der Praxis
- Was gehört zur CI-/CD-Pipeline mit Fokus auf Sec
- Wie machen es andere Firmen?
Security im agilen Entwicklungsumfeld
- Sicherheit der Entwicklungslandschaft
- Sicherheit der entwickelten Anwendung
- Sicherheit von Dritt-Bibliotheken und co.
- Absicherung der Konfiguration der Anwendungssysteme
Vorstellung möglicher Sec-Anteile in der CI-/CD-Pipeline
- Sec-Tools für eine CI-/CD-Pipeline
- Diskussion bisher verwendeter Tools in der aktuellen Pipeline des Kunden
- Integration von automatisierten Security-Tools in Jenkins („as Code” vs. „Plugin)
- Umgang mit False-Positives bei automatisierten Sicherheitsüberprüfungen
- Grenzen von automatisierten Sicherheitsüberprüfungen und Tools

Demos und Übungen (für mehr Details auf die einzelnen Punkte klicken)

Im Rahmen unserer Übungen und Demos behandeln wir in diesem Workshop folgende Themen:
- Spidern und automatisierte Schwachstellenscans auf Anwendungsebene
- Passive Suche nach Schwachstellen in Webanwendungen
- Erkennen und automatisiert prüfen von typischen Webschwachstellen:
  - SQL-Injection
  - Local file inclusion
  - OS-Command-Injection
  - Cross-Site-Scripting
  - Cross-Site-Request-Forgery
  - HTML5- und WebSocket
- Tool-basierte Basisabsicherung von Tomcat aus Linux
- Umgang mit API-Keys und GIT-Repositories
- Einbau von Security-Tools in die Jenkins Pipeline
- Exemplarische Auswertung der Tool-Ausgaben
- Umgang mit False-Positives in der Build-Pipeline
- Einrichtung von Quality Gates in Jenkins
- Automatisierte Schwachstellenprüfung mit OWASP ZAP per API
- Compliance-Checks für Server und Dienste mit dem CIS-CAT-Benchmark
In unserer Demo- und Übungsumgebungen verwenden wir u.a. Java und PHP. Die Bearbeitung der Tool-Ausgaben richtet sich oft nach den Tools selbst, findet typischerweise aber in Python statt. Neben selbst entwickelten Labs sind beispielsweise noch der OWASP Juice Shop und die DVWA in die Lab-Umgebung eingebunden.

Werkzeuge und Tools (für mehr Details auf die einzelnen Punkte klicken)

In den Übungen und Demos kommen unter anderem folgende Werkzeuge und Tools zum Einsatz. Den Großteil davon werden Sie im Workshop auch selbst anwenden:
- OWASP ZAP
- Burp Suite
- sqlmap
- nikto
- SSLScan
- nmap
- hydra
- tesseract
- OWASP ZAP (Automatisierung per API)
- OpenVAS (& Nessus)
- OWASP Dependency Checker
- CodePulse
- SonarCube
- RIPS
- DeepDive

Leistungen Ihres Workshoptickets

Hierbei lernen die Teilnehmer typische Problemstellungen, Tools und Vorgehensweisen kennen. In unserer Demo- und Schulungsumgebung haben die Teilnehmer die Möglichkeit, sich beispielsweise folgenden Themen zu nähern:

Christian Biehler

Nach jahrelanger Tätigkeit als Berater in technischen und organisatorischen Bereichen der IT- und Informationssicherheit gründete Christian Biehler 2019 gemeinsam mit Verena Männel die bi-sec GmbH. Auch als Geschäftsführender Gesellschafter ist er im Herzen ein Techniker geblieben und liebt es, mit einem Einzeiler in der Konsole einen Blick auf den Ist-Zustand von Systemen und Diensten zu werfen und den Umsetzungsstand von Sicherheitsrichtlinien und Vorgaben zu verifizieren.

Die Themen IT- und Informationssicherheit bilden auch mit bi-sec den Mittelpunkt seiner beruflichen Tätigkeiten. Technischen Schwerpunkte liegen dabei neben der Sicherheit von Client-Server-Architekturen und Anwendungen insbesondere im Windows-Umfeld sowie in hybriden Umgebungen.

Durchführung

Ist die Durchführung der Veranstaltung aufgrund höherer Gewalt, wegen Verhinderung eines Referenten, wegen Störungen am Veranstaltungsort oder aufgrund zu geringer Teilnehmerzahl (weniger als 50%) nicht möglich, werden die Teilnehmer spätestens 7 Tage vorher durch das heise Events-Team informiert.

Termine & Preise

Preise

Frühbucherpreis: 1.499,00 € *

Standardpreis: 1.648,00 €

Alle Preise inkl. MwSt

Online - Workshop, Workshop-Dauer: jeweils 09:00 Uhr - 17:00 Uhr

Nehmen Sie jetzt unkompliziert an unserem Online-Workshop teil.Selbstverständlich sind die Inhalte online die gleichen wie in dem Präsenz-Workshop. Sie können Fragen stellen und sich mit dem Referenten und den anderenTeilnehmern austauschen. Die begrenzte Teilnehmerzahl garantiert ein effektives und abwechslungsreiches Lernerlebnis – sicher und bequem inIhrem Arbeitsumfeld.

Tickets kaufen: 31.08. - 01.09.

* 10% Frühbucherrabatt bis 4 Wochen vor Veranstaltungsbeginn

Kontakt

Haben Sie Fragen zu der Organisation oder der Veranstaltung? Gern beantworte ich Ihre Fragen per E-Mail!

Jennifer Rypalla // jery@heise.de