DevSecOps: Automatisierte Sicherheitstests für die Webentwicklung

Zunächst machen Sie sich in dieser Schulung mit den Grundlagen der Sicherheit moderner Webanwendungen vertraut. Auf Basis vieler Beispiele lernen Sie anschließend in mehreren theoretischen und praktischen Teilen die einzelnen Themen theoretisch, aber auch praktisch kennen. Die Vertiefung und konkrete Anwendung der Tools und Vorgehensweisen erfolgt in einer Demo-und-Übungsumgebung in der Public Cloud.

Inhalte

• 1. Einführung in gängige Standards zur Web-Sicherheit, z. B.

  • OWASP Top 10, OWASP ASVS und SANS CWE Top 25

  • Vor- und Nachteile der individuellen Standards für Compliance- und Security-Checks 

• 2. Einführung in Kali-Linux und gängige Prüfwerkzeuge für (Web-) Anwendungen

  • Abgrenzung der Möglichkeiten und Grenzen von automatisierten „Scannern“, manuellen Pentests und Quellcode-Prüfungen

  • Einführung in die Sicht eines Hackers auf Webanwendungen und Pentest-Proxies

  • Vorstellung und Anwendung von Werkzeugen und Prüfverfahren im Bereich SAST und DAST 

• 3. Kennenlernen und verstehen typischer Angriffsvektoren von Webanwendungen:

  • SQL-Injections, Command-Injections und co.

  • Authentifizierung und Autorisierung

  • Cross-Site-Scripting

  • HTML5: Tags und Browserspeicher

  • JavaScript / client-seitige Eingabevalidierung

  • WebSockets

  • Cross-Origin-Resource-Sharing

  • Verbindungssicherheit / TLS
    Header

• 4. Schwachstellen auf System- und Dienstebene erkennen und beheben

  • Nutzung automatisierter Werkzeuge

  • Härtung und Absicherung von Diensten wie Tomcat auf Linux 

• 5. Einführung DevSecOps mit Beispielen aus der Praxis

  • Was gehört zur CI-/CD-Pipeline mit Fokus auf Sec

  • Wie machen es andere Firmen? 

• 6. Security im agilen Entwicklungsumfeld

  • Sicherheit der Entwicklungslandschaft

  • Sicherheit der entwickelten Anwendung

  • Sicherheit von Dritt-Bibliotheken und co. 

  • Absicherung der Konfiguration der Anwendungssysteme 

• 7. Vorstellung möglicher Sec-Anteile in der CI-/CD-Pipeline

  • Sec-Tools für eine CI-/CD-Pipeline

  • Diskussion bisher verwendeter Tools in der aktuellen Pipeline des Kunden

  • Integration von automatisierten Security-Tools in Jenkins („as Code” vs. „Plugin)

  • Umgang mit False-Positives bei automatisierten Sicherheitsüberprüfungen

  • Grenzen von automatisierten Sicherheitsüberprüfungen und Tools

Demos und Übungen

• 1. Im Rahmen unserer Übungen und Demos behandeln wir in diesem Workshop folgende Themen:

  • Spidern und automatisierte Schwachstellenscans auf Anwendungsebene

  • Passive Suche nach Schwachstellen in Webanwendungen

  • Erkennen und automatisiert prüfen von typischen Webschwachstellen:

    • SQL-Injection

    • Local file inclusion

    • OS-Command-Injection

    • Cross-Site-Scripting

    • Cross-Site-Request-Forgery

    • HTML5- und WebSocket

  • Tool-basierte Basisabsicherung von Tomcat aus Linux

  • Umgang mit API-Keys und GIT-Repositories

  • Einbau von Security-Tools in die Jenkins Pipeline

  • Exemplarische Auswertung der Tool-Ausgaben

  • Umgang mit False-Positives in der Build-Pipeline

  • Einrichtung von Quality Gates in Jenkins

  • Automatisierte Schwachstellenprüfung mit OWASP ZAP per API

  • Compliance-Checks für Server und Dienste mit dem CIS-CAT-Benchmark

In unserer Demo- und Übungsumgebungen verwenden wir u.a. Java und PHP. Die Bearbeitung der Tool-Ausgaben richtet sich oft nach den Tools selbst, findet typischerweise aber in Python statt. Neben selbst entwickelten Labs sind beispielsweise noch der OWASP Juice Shop und die DVWA in die Lab-Umgebung eingebunden.

Werkzeuge und Tools

• 1. In den Übungen und Demos kommen unter anderem folgende Werkzeuge und Tools zum Einsatz. Den Großteil davon werden Sie im Workshop auch selbst anwenden:

  • OWASP ZAP

  • Burp Suite

  • sqlmap

  • nikto

  • SSLScan

  • nmap

  • hydra

  • tesseract

  • OWASP ZAP (Automatisierung per API)

  • OpenVAS (& Nessus)

  • OWASP Dependency Checker

  • CodePulse

  • SonarCube

  • RIPS

  • DeepDive

Zielgruppe

Interessenten aus den Bereichen Systemadministration/DevOps, Softwareentwicklung sowie IT-Sicherheit

Voraussetzungen

Zur Workshop-Durchführung wird Zoom verwendet mittels eines DSGVO-konformen On-Premise-Connectors. Wir bitten Sie, ein Mikrofon oder Headset sowie einen aktuellen Browser zu nutzen.

Leistungen Ihres Workshoptickets 

• Workshopunterlagen

  • Sie erhalten die Schulungsunterlagen während der Schulung in Präsentationsform in deutscher Sprache als PDF-Dokument. (Es gibt keine ausgedruckten Schulungsunterlagen)

  • Die während des Workshops gezeigten Scriptlets und Commandline-Parameter können Sie über das GIT-Repository von bi-sec herunterladen und verwenden

• Teilnahmebescheinigung

Durchführung

Ist die Durchführung der Veranstaltung aufgrund höherer Gewalt, wegen Verhinderung eines Referenten, wegen Störungen am Veranstaltungsort oder aufgrund zu geringer Teilnehmerzahl nicht möglich, werden die Teilnehmenden frühestmöglich informiert.

Die Teilnehmerzahl ist auf max. 20 Personen begrenzt.