DevSecOps:
Automatisierte Sicherheitstests für die Webentwicklung
-
Datum Termin 2024 folgt
-
Uhrzeit 09:00 - 17:00 Uhr
-
Preis 1.650,00 € *
-
Frühbucher 1.485,00 € *
-
max. 20 Teilnehmer
-
online
Sie lernen in einer Übungsumgebung in der Cloud, wie Sie (automatisierte) Sicherheitsprüfungen auf Anwendungsebene in den DevSecOps-Prozess integrieren. Vorgestellt werden Werkzeuge, die zur Überprüfung von Anwendungen und Systemen dienen können und Sie erfahren, wie sich diese in bestehende Jenkins-Pipelines integrieren lassen.
Zunächst machen Sie sich in dieser Schulung mit den Grundlagen der Sicherheit moderner Webanwendungen vertraut. Auf Basis vieler Beispiele lernen Sie anschließend in mehreren theoretischen und praktischen Teilen die einzelnen Themen theoretisch, aber auch praktisch kennen. Die Vertiefung und konkrete Anwendung der Tools und Vorgehensweisen erfolgt in einer Demo-und-Übungsumgebung in der Public Cloud.
Zielgruppe
Interessenten aus den Bereichen Systemadministration/DevOps, Softwareentwicklung sowie IT-Sicherheit
Voraussetzungen
Zur Workshop-Durchführung wird Zoom verwendet mittels eines DSGVO-konformen On-Premise-Connectors. Wir bitten Sie, ein Mikrofon oder Headset sowie einen aktuellen Browser zu nutzen.
Unterlagen
- Sie erhalten die Schulungsunterlagen während der Schulung in Präsentationsform in deutscher Sprache als PDF-Dokument. (Es gibt keine ausgedruckten Schulungsunterlagen)
- Die während des Workshops gezeigten Scriptlets und Commandline-Parameter können Sie über das GIT-Repository von bi-sec herunterladen und verwenden
Inhalte (für mehr Details auf die einzelnen Punkte klicken)
-
Einführung in gängige Standards zur Web-Sicherheit, z. B.
- OWASP Top 10, OWASP ASVS und SANS CWE Top 25
- Vor- und Nachteile der individuellen Standards für Compliance- und Security-Checks
-
Einführung in Kali-Linux und gängige Prüfwerkzeuge für (Web-) Anwendungen
- Abgrenzung der Möglichkeiten und Grenzen von automatisierten „Scannern“, manuellen Pentests und Quellcode-Prüfungen
- Einführung in die Sicht eines Hackers auf Webanwendungen und Pentest-Proxies
- Vorstellung und Anwendung von Werkzeugen und Prüfverfahren im Bereich SAST und DAST
-
Kennenlernen und verstehen typischer Angriffsvektoren von Webanwendungen:
- SQL-Injections, Command-Injections und co.
- Authentifizierung und Autorisierung
- Cross-Site-Scripting
- HTML5: Tags und Browserspeicher
- JavaScript / client-seitige Eingabevalidierung
- WebSockets
- Cross-Origin-Resource-Sharing
- Verbindungssicherheit / TLS
Header
-
Schwachstellen auf System- und Dienstebene erkennen und beheben
- Nutzung automatisierter Werkzeuge
- Härtung und Absicherung von Diensten wie Tomcat auf Linux
-
Einführung DevSecOps mit Beispielen aus der Praxis
- Was gehört zur CI-/CD-Pipeline mit Fokus auf Sec
- Wie machen es andere Firmen?
-
Security im agilen Entwicklungsumfeld
- Sicherheit der Entwicklungslandschaft
- Sicherheit der entwickelten Anwendung
- Sicherheit von Dritt-Bibliotheken und co.
- Absicherung der Konfiguration der Anwendungssysteme
-
Vorstellung möglicher Sec-Anteile in der CI-/CD-Pipeline
- Sec-Tools für eine CI-/CD-Pipeline
- Diskussion bisher verwendeter Tools in der aktuellen Pipeline des Kunden
- Integration von automatisierten Security-Tools in Jenkins („as Code” vs. „Plugin)
- Umgang mit False-Positives bei automatisierten Sicherheitsüberprüfungen
- Grenzen von automatisierten Sicherheitsüberprüfungen und Tools
Demos und Übungen
-
Im Rahmen unserer Übungen und Demos behandeln wir in diesem Workshop folgende Themen:
- Spidern und automatisierte Schwachstellenscans auf Anwendungsebene
- Passive Suche nach Schwachstellen in Webanwendungen
- Erkennen und automatisiert prüfen von typischen Webschwachstellen:
- SQL-Injection
- Local file inclusion
- OS-Command-Injection
- Cross-Site-Scripting
- Cross-Site-Request-Forgery
- HTML5- und WebSocket
- Tool-basierte Basisabsicherung von Tomcat aus Linux
- Umgang mit API-Keys und GIT-Repositories
- Einbau von Security-Tools in die Jenkins Pipeline
- Exemplarische Auswertung der Tool-Ausgaben
- Umgang mit False-Positives in der Build-Pipeline
- Einrichtung von Quality Gates in Jenkins
- Automatisierte Schwachstellenprüfung mit OWASP ZAP per API
- Compliance-Checks für Server und Dienste mit dem CIS-CAT-Benchmark
In unserer Demo- und Übungsumgebungen verwenden wir u.a. Java und PHP. Die Bearbeitung der Tool-Ausgaben richtet sich oft nach den Tools selbst, findet typischerweise aber in Python statt. Neben selbst entwickelten Labs sind beispielsweise noch der OWASP Juice Shop und die DVWA in die Lab-Umgebung eingebunden.
Werkzeuge und Tools
-
In den Übungen und Demos kommen unter anderem folgende Werkzeuge und Tools zum Einsatz. Den Großteil davon werden Sie im Workshop auch selbst anwenden:
- OWASP ZAP
- Burp Suite
- sqlmap
- nikto
- SSLScan
- nmap
- hydra
- tesseract
- OWASP ZAP (Automatisierung per API)
- OpenVAS (& Nessus)
- OWASP Dependency Checker
- CodePulse
- SonarCube
- RIPS
- DeepDive
Trainer
Christian Biehler
ist ein erfahrener und qualifizierter Experte für IT-Sicherheit, der seine Fähigkeiten und sein Wissen stetig weiterentwickelt und gerne in Trainings und Schulungen weitergibt.
Nach seinem erfolgreich abgeschlossenen Studium als Master of Science in IT- Sicherheit sammelte er mittlerweile seit über 10 Jahren Erfahrung als Hacker, Penetrationstester, Berater und Trainer. Christian Biehler hat für unterschiedliche Unternehmen in verschiedenen Branchen gearbeitet und somit eine vielfältige praktische Kompetenz aus mehr als 300 Projekten in den Bereichen Web-, Mobile-, OS- & Service-Pentesting auf Windows und Linux-Umgebungen. Seit einigen Jahren bildet die Microsoft-Welt rund um die lokalen Windows-Welten mit Clients, Servern und Active Directory sowie die Microsoft-Cloud mit Entra ID, Azure und M365 einen großen Schwerpunkt seiner Arbeit.
Er ist seit 2019 der Geschäftsführer der bi-sec GmbH, einem Unternehmen, das sich auf Beratung, Penetrationstests und Schulungen im Bereich der IT- und Informationssicherheit Sicherheit spezialisiert hat.
Christian Biehler ist ein Experte, der die Branche aus verschiedenen Perspektiven kennt und ständig neue Herausforderungen sucht und diese meistert.
Leistungen Ihres Workshoptickets
- Workshopunterlagen
- Teilnahmebescheinigung
Durchführung
Ist die Durchführung der Veranstaltung aufgrund höherer Gewalt, wegen Verhinderung eines Referenten, wegen Störungen am Veranstaltungsort oder aufgrund zu geringer Teilnehmerzahl (weniger als 50%) nicht möglich, werden die Teilnehmer spätestens 7 Tage vorher durch das heise Events-Team informiert.
Jetzt Tickets buchen
10% Frühbucherrabatt bis 4 Wochen vor Veranstaltungsbeginn
Bitte nutzen Sie für den Ticketkauf eine E-Mail-Adresse, auf die Sie freien Zugriff haben.
* Preise beinhalten 19% Mehrwertsteuer.
Haben Sie Fragen zur Organisation oder der Veranstaltung? Gern beantworte ich Ihre Fragen per E-Mail.
Anna Ludwig
Projektmanagerin Workshops