Kontakt
Kompetentes und unabhängiges Wissen für IT-Profis.
Konferenzen, Workshops und Webinare.
DevSecOps:
Automatisierte Sicherheitstests für die Webentwicklung
-
Datum 13. - 14.06.2023 14. - 15.11.2023
-
Uhrzeit 09:00 - 17:00 Uhr
-
Preis 1.650,00 € *
-
Frühbucher 1.485,00 € *
-
max. 20 Teilnehmer
-
online
Die Teilnehmenden des Workshops lernen die Integration von (automatisierten) Sicherheitsprüfungen auf Anwendungsebene in den DevSecOps-Prozess kennen.
Zunächst machen Sie sich in dieser Schulung mit den Grundlagen der Sicherheit moderner Webanwendungen vertraut. Auf Basis vieler Beispiele lernen Sie anschließend in mehreren theoretischen und praktischen Teilen die einzelnen Themen theoretisch, aber auch praktisch kennen. Die Vertiefung und konkrete Anwendung der Tools und Vorgehensweisen erfolgt in einer Demo-und-Übungsumgebung in der Public Cloud.
Zielgruppe
Interessenten aus den Bereichen Systemadministration/DevOps, Softwareentwicklung sowie IT-Sicherheit
Voraussetzungen
Zur Workshop-Durchführung wird Zoom verwendet mittels eines DSGVO-konformen On-Premise-Connectors. Wir bitten Sie, ein Mikrofon oder Headset sowie einen aktuellen Browser zu nutzen.
Unterlagen
- Sie erhalten die Schulungsunterlagen während der Schulung in Präsentationsform in deutscher Sprache als PDF-Dokument. (Es gibt keine ausgedruckten Schulungsunterlagen)
- Die während des Workshops gezeigten Scriptlets und Commandline-Parameter können Sie über das GIT-Repository von bi-sec herunterladen und verwenden
Inhalte (für mehr Details auf die einzelnen Punkte klicken)
-
Einführung in gängige Standards zur Web-Sicherheit, z. B.
- OWASP Top 10, OWASP ASVS und SANS CWE Top 25
- Vor- und Nachteile der individuellen Standards für Compliance- und Security-Checks
-
Einführung in Kali-Linux und gängige Prüfwerkzeuge für (Web-) Anwendungen
- Abgrenzung der Möglichkeiten und Grenzen von automatisierten „Scannern“, manuellen Pentests und Quellcode-Prüfungen
- Einführung in die Sicht eines Hackers auf Webanwendungen und Pentest-Proxies
- Vorstellung und Anwendung von Werkzeugen und Prüfverfahren im Bereich SAST und DAST
-
Kennenlernen und verstehen typischer Angriffsvektoren von Webanwendungen:
- SQL-Injections, Command-Injections und co.
- Authentifizierung und Autorisierung
- Cross-Site-Scripting
- HTML5: Tags und Browserspeicher
- JavaScript / client-seitige Eingabevalidierung
- WebSockets
- Cross-Origin-Resource-Sharing
- Verbindungssicherheit / TLS
Header
-
Schwachstellen auf System- und Dienstebene erkennen und beheben
- Nutzung automatisierter Werkzeuge
- Härtung und Absicherung von Diensten wie Tomcat auf Linux
-
Einführung DevSecOps mit Beispielen aus der Praxis
- Was gehört zur CI-/CD-Pipeline mit Fokus auf Sec
- Wie machen es andere Firmen?
-
Security im agilen Entwicklungsumfeld
- Sicherheit der Entwicklungslandschaft
- Sicherheit der entwickelten Anwendung
- Sicherheit von Dritt-Bibliotheken und co.
- Absicherung der Konfiguration der Anwendungssysteme
-
Vorstellung möglicher Sec-Anteile in der CI-/CD-Pipeline
- Sec-Tools für eine CI-/CD-Pipeline
- Diskussion bisher verwendeter Tools in der aktuellen Pipeline des Kunden
- Integration von automatisierten Security-Tools in Jenkins („as Code” vs. „Plugin)
- Umgang mit False-Positives bei automatisierten Sicherheitsüberprüfungen
- Grenzen von automatisierten Sicherheitsüberprüfungen und Tools
Demos und Übungen
-
Im Rahmen unserer Übungen und Demos behandeln wir in diesem Workshop folgende Themen:
- Spidern und automatisierte Schwachstellenscans auf Anwendungsebene
- Passive Suche nach Schwachstellen in Webanwendungen
- Erkennen und automatisiert prüfen von typischen Webschwachstellen:
- SQL-Injection
- Local file inclusion
- OS-Command-Injection
- Cross-Site-Scripting
- Cross-Site-Request-Forgery
- HTML5- und WebSocket
- Tool-basierte Basisabsicherung von Tomcat aus Linux
- Umgang mit API-Keys und GIT-Repositories
- Einbau von Security-Tools in die Jenkins Pipeline
- Exemplarische Auswertung der Tool-Ausgaben
- Umgang mit False-Positives in der Build-Pipeline
- Einrichtung von Quality Gates in Jenkins
- Automatisierte Schwachstellenprüfung mit OWASP ZAP per API
- Compliance-Checks für Server und Dienste mit dem CIS-CAT-Benchmark
In unserer Demo- und Übungsumgebungen verwenden wir u.a. Java und PHP. Die Bearbeitung der Tool-Ausgaben richtet sich oft nach den Tools selbst, findet typischerweise aber in Python statt. Neben selbst entwickelten Labs sind beispielsweise noch der OWASP Juice Shop und die DVWA in die Lab-Umgebung eingebunden.
Werkzeuge und Tools
-
In den Übungen und Demos kommen unter anderem folgende Werkzeuge und Tools zum Einsatz. Den Großteil davon werden Sie im Workshop auch selbst anwenden:
- OWASP ZAP
- Burp Suite
- sqlmap
- nikto
- SSLScan
- nmap
- hydra
- tesseract
- OWASP ZAP (Automatisierung per API)
- OpenVAS (& Nessus)
- OWASP Dependency Checker
- CodePulse
- SonarCube
- RIPS
- DeepDive
Trainer
Christian Biehler
Nach jahrelanger Tätigkeit als Berater in technischen und organisatorischen Bereichen der IT- und Informations-sicherheit gründete Christian Biehler 2019 gemeinsam mit Verena Männel die bi-sec GmbH. Auch als Geschäftsführender Gesellschafter ist er im Herzen ein Techniker geblieben und liebt es, mit einem Einzeiler in der Konsole einen Blick auf den Ist-Zustand von Systemen und Diensten zu werfen und den Umsetzungsstand von Sicherheitsrichtlinien und Vorgaben zu verifizieren. Die Themen IT- und Informationssicherheit bilden auch mit bi-sec den Mittelpunkt seiner beruflichen Tätigkeiten. Technischen Schwerpunkte liegen dabei neben der Sicherheit von Client-Server-Architekturen und Anwendungen insbesondere im Windows-Umfeld sowie in hybriden Umgebungen.
Leistungen Ihres Workshoptickets
- Workshopunterlagen
- Teilnahmebescheinigung
Durchführung
Ist die Durchführung der Veranstaltung aufgrund höherer Gewalt, wegen Verhinderung eines Referenten, wegen Störungen am Veranstaltungsort oder aufgrund zu geringer Teilnehmerzahl (weniger als 50%) nicht möglich, werden die Teilnehmer spätestens 7 Tage vorher durch das heise Events-Team informiert.
Jetzt Tickets buchen
10% Frühbucherrabatt bis 4 Wochen vor Veranstaltungsbeginn
Bitte nutzen Sie für den Ticketkauf eine E-Mail-Adresse, auf die Sie freien Zugriff haben.
* Preise beinhalten 19% Mehrwertsteuer.
Haben Sie Fragen zur Organisation oder der Veranstaltung? Gern beantworte ich Ihre Fragen per E-Mail.
Anna Ludwig
Projektmanagerin Workshops