Schulung “Improve your practical skills: OWASP ToP 10 für Entwickler”

Die OWASP ToP 10 sind eine Liste der weltweit 10 häufigsten Schwachstellen in Webseiten/Webportalen/WebServices. Diese Liste wird von der weltweiten Pentest- und Entwicklercommunity alle paar Jahre aktualisiert – wobei sich recht klar zeigt, dass sich einige Schwachstellengruppen bzw. Angriffsarten auf Webportale gut halten. Ein Zeichen dafür, dass es noch viele Entwickler, Webseiten-Designer und Administratoren gibt, die mit dieser Art von Schwachstellen noch nicht vertraut genug sind.

Bildlizenz(en): CC-BY-SA 4.0, owasp.org, unverändert

Im Rahmen bzw. im Nachgang der von uns durchgeführten Pentest hat sich oft gezeigt, dass die Entwickler, Designer und Administratoren die identifizierten Schwachstellen recht schnell beheben konnten – so ihnen diese einmal aufgezeigt und deren Ausnutzbarkeit und Implikationen im Detail erklärt und praktisch gezeigt wurden. Der Effekt, dass eben diese Schwachstellen bei zukünftigen Entwicklungen beim gleichen Kunden oft eben nicht wieder auftraten, ist ein messbarer Erfolg dieser Schulung. Dies liegt vor allem auch daran, dass die Teilnehmer sowohl die Rolle des “Verteidigers”, also des Entwicklers/Administrators, aber auch die Rolle des “Angreifers” einnehmen, und die verschiedenen Angriffe und Verteidigungen in der Praxis testen und üben. Dazu wird für die Schulungsgruppe, die aus maximal 10 Personen bestehen sollte, ein Test-Netzwerk mit verschiedenen Web-Applikationen zur Verfügung gestellt, die die in den OWASP Top10 gelisteten Schwachstellen enthalten.

Schulungsinhalte

  • Tag 1 – Einführung & erste Schritte:
    • Begrüßung, Agenda & Skill-Level der Gruppe
    • Einführung: OWASP & die OWASP Top10 (Vortrag)
    • Pentesting: Einführung & Grundlagen für Web-Pentests (Vortrag)
    • Erste Pentest-Übungen zum Üben des Umgangs mit den benötigten Tools (Praxis)
  • Tag 2:
    • Kurzes WrapUp des Vortages
    • OWASP Top10 an praktischen Beispielen (Vortrag)
    • OWASP Top10 do-it-yourself (Praxis)
  • Tag 3:
    • Kurzes WrapUp des Vortages
    • Bei Bedarf: Vertiefungen / Klärung offener Fragen
    • red- & blue-Teaming I: Aufteilung der Gruppe – red greift an, blue verteidigt
    • red- & blue-Teaming II: Rollentausch – blue greift an, red verteidigt
    • WrapUp & Klärung der noch offenen Fragen

Rahmendaten

  • Die Schulung ist für drei Tage mit je ca. 8 Stunden ausgelegt
  • Maximale Teilnehmerzahl: 10 Personen
  • Technologien: Die Beispiele und praktischen Übungen sind auf Java, PHP und JavaScript ausgelegt – sollten Sie eine andere Technologie oder ein dediziertes Framework nutzen, sprechen sie uns gerne an
  • Vorwissen: Ausgelegt auf (Webseiten-/Backend-)-Entwickler, Administratoren, Webdesigner – ein Vorwissen im Bereich Pentesting ist nicht erforderlich
  • Die Schulung erfolgt bei Ihnen im Hause. Von Ihnen als Auftraggeber ist daher folgendes zu stellen:
    • Raum mit Tischen, Bestuhlung und Stromversorgung für mind. 11 Personen
    • Ein Beamer & Projektionsfläche
    • Leibliches Wohl der Teilnehmer
  • Von uns wird gestellt bzw. mitgebracht und komplett separat von Ihrer IT aufgebaut:
    • Geschlossenes Test-Netzwerk (WLAN) mit verschiedenen Test-Systemen für die praktischen Übungen
    • Je Teilnehmer ein Schulungs-Laptop, auf dem alle für die Schulung benötigten Tools installiert und konfiguriert sind
  • Alle Teilnehmer erhalten natürlich die kompletten Kursunterlagen als Referenz-/Nachschlagewerk ausgehändigt

Interesse? Nehmen Sie gerne Kontakt mit uns auf, um eine auf Ihre Bedürfnisse zugeschnittene Schulung zu erhalten!

Diese Seite verwendet Cookies, um die Nutzerfreundlichkeit zu verbessern. Mit der weiteren Verwendung stimmen Sie dem zu. Unsere Datenschutzerklärung