AppSec Training for Developers icon

AppSec Training for Developers

Dieser 2-tägige Kurs wurde aufgrund der zunehmenden Notwendigkeit für Entwickler, auf eine sichere Weise zu programmieren, entwickelt.

Kontakt

In diesem 2-tägigen praktischen Kurs für Fortgeschrittene erhalten die Teilnehmer ein Verständnis für die Sicherheitsschwachstellen von Anwendungen, einschließlich der branchenüblichen OWASP-Top-10-Liste, und lernen Strategien zur Abwehr dieser Schwachstellen.
Der Kurs ist jetzt als Live-Online-Schulung verfügbar und kann für Sie individuell oder für Ihr Unternehmen durchgeführt werden. Kontaktieren Sie uns unten mit Ihren Anforderungen.

Die Teilnehmer werden nach dem Kurs in der Lage sein:

  • Die OWASP Top-10 mithilfe von praktischen Demonstrationen und tiefen Einblicken zu verstehen,
  • Finanzielle Auswirkungen verschiedener Schwachstellen zu verstehen,
  • Ein System mit einem Continuous Security Monitoring aufzubauen,
  • Sicherheitsschwachstellen viel früher im SDLC-Prozess zu beheben und zu identifizieren, um so Zeit, Aufwand und Kosten zu sparen.

Die Kursteilnehmer erhalten:

  • Neben den verschiedenen Werkzeugen und Inhalten rund um den Kurs erhalten die Teilnehmer auch einen 7-tägigen Laborzugang, in dem sie alle während des Kurses gezeigten Übungen/Demos üben können.

Für Security- und IT-Entscheidungsträger

Welche Auswirkungen hat die Schulung Ihres Teams durch Claranet Cyber Security wirklich?

Machen Sie Ihr Unternehmen zu einem weniger attraktiven Ziel für Angreifer, indem Sie ein Team aufbauen, das in der Lage ist, Code zu schreiben, der gegen komplexe, moderne Angriffe resistent ist, ohne dass dabei Unternehmensfunktionen und Entwicklungsgeschwindigkeit verloren gehen. Die Teilnehmer werden nach dem Kurs in der Lage sein:

  • Sicheren Anwendungscode zu schreiben, der gegen eine Vielzahl von webbasierten Angriffen der OWASP Top 10 resistent ist,
  • Zu verstehen, wie Angreifer Schwachstellen im Code erkennen und welche Auswirkungen dies hat, damit sie sicherere Arbeitsweisen anwenden können,
  • Sicherheitsschwachstellen in einem früheren Stadium des Entwicklungszyklus zu identifizieren und zu entschärfen,
  • Geschäftliche Auswirkungen der Anwendungssicherheit zu verstehen und diese den wichtigsten Stakeholdern zu vermitteln,
  • Mehr Verantwortung im Team zu übernehmen,
  • Ein Fürsprecher für die Sicherheit im gesamten Unternehmen zu werden.
  • Übersicht
  • Details
  • Voraussetzungen & Teilnehmerprofil
  • Download Broschüre

Pen-Tests (Sicherheitstests) als Aktivität neigen dazu, Sicherheitsschwachstellen am Ende des SDLC zu erfassen, und dann ist es oft zu spät, um grundlegende Änderungen an der Art und Weise, wie der Code geschrieben wird, zu beeinflussen.

Dieser Kurs wurde von Entwicklern geschrieben, die selbst Pen-Tester sind und Entwicklern dabei helfen können, sicher zu programmieren, da es von entscheidender Bedeutung ist, Sicherheit als Qualitätskomponente in den Entwicklungszyklus aufzunehmen.

Während dieses Kurses werden Entwickler in der Lage sein, mit Sicherheitsexperten auf einer Wellenlänge zu sein, ihre Sprache zu verstehen, zu lernen, wie man die während des Kurses erlernten Schwachstellen behebt oder entschärft, und sich mit einigen realen Sicherheitsverletzungen vertraut zu machen, z. B. mit der "Equifax"-Verletzung im September 2017. Es werden verschiedene Bug Bounty-Fallstudien von beliebten Websites wie Facebook, Google, Shopify, Paypal, Twitter usw. besprochen, um die finanziellen Auswirkungen von Sicherheitslücken in Anwendungen wie SSRF, XXE, SQL Injection, Authentifizierungsprobleme usw. zu erklären.

Die in diesem Kurs besprochenen Techniken konzentrieren sich hauptsächlich auf .NET-, Java- und NodeJS-Technologien, da diese in verschiedenen Unternehmen bei der Entwicklung von Webanwendungen weit verbreitet sind. Der Ansatz ist jedoch generisch gehalten, so dass Entwickler anderer Sprachen das erlernte Wissen leicht erfassen und in ihrer eigenen Umgebung umsetzen können.

Die Teilnehmer müssen an einem CTF teilnehmen, bei dem sie Schwachstellen in Code-Schnipseln aus realen Anwendungen identifizieren müssen.

Der Kurs ist sehr praxisorientiert und richtet sich an Webentwickler, Pen-Tester und alle anderen, die sicheren Code schreiben oder den Code auf Sicherheitslücken überprüfen wollen. Der Kurs deckt eine Vielzahl von bewährten Sicherheitspraktiken und tiefgreifenden Verteidigungsansätzen ab, die Entwickler bei der Entwicklung von Anwendungen beachten sollten. Der Kurs behandelt auch einige schnelle Techniken, die Entwickler verwenden können, um verschiedene Sicherheitsprobleme während des Code-Review-Prozesses zu identifizieren.

Die Teilnehmer können auf unser Online-Labor zugreifen, das mit zahlreichen Sicherheitslücken gespickt ist. Die Teilnehmer erhalten Demonstrationen und praktische Übungen zu den Schwachstellen, um die Probleme besser zu verstehen und zu erfassen, gefolgt von verschiedenen Techniken und Empfehlungen, wie sie behoben werden können. Der Kurs deckt nicht nur Industriestandards wie die OWASP Top 10 und die SANS Top 25 Sicherheitsprobleme ab, sondern auch verschiedene reale Probleme wie Geschäftslogik und Autorisierungsschwächen.

Module 1 - Application Security Basics
Module 2 - Understanding the HTTP Protocol
Module 3 - Security Misconfigurations
Module 4 - Insufficient Logging and Monitoring
Module 5 - Authentication Flaws
Module 6 - Authorization Bypass Techniques
Module 7 - Cross Site Scripting (XSS)
Module 8 - Cross-Site Request Forgery Scripting (CSRF)

Module 9 - Server Side Request Forgery(SSRF)
Module 10 - SQL Injection
Module 11 - XML External Entity (XXE) Attacks
Module 12 - Insecure File Uploads
Module 13 - Deserialization Vulnerabilities
Module 14 - Client-Side Security Concerns
Module 15 - Source Code Review
Module 16 - DevSecOps

Wer sollte teilnehmen

Dieser Kurs ist ideal für Software-/Web-Entwickler, PL/SQL-Entwickler, Penetrationstester, Sicherheits-Auditoren, Administratoren, DBAs und Sicherheits-Manager. Vorherige Erfahrung mit Pen-Tests ist nicht zwingend erforderlich, jedoch sind einige Kenntnisse über Cloud-Dienste und eine Vertrautheit mit gängigen Befehlszeilenbefehlen von Vorteil.

Teilnahmevoraussetzungen

Die einzige Voraussetzung für diesen Kurs ist, dass Sie Ihren eigenen Laptop mit der neuesten Version von Java (JDK) installiert haben. Die Teilnehmer erhalten Zugang zu unserem Online-Labor, das auf dem neuesten .NET ASPX-Framework aufgebaut ist, sowie zu allen Tools und Materialien, die während des Kurses benötigt werden.

Download

Download Broschüre