Sie suchen Ihre bereits erworbenen Lerninhalte? Dann geht es hier entlang: Zum academy Campus

heise academy Logo
Classroom-Sessions

Schwachstellen in Webanwendungen und Web-APIs nutzen – fortgeschrittene Techniken

Die OWASP Top 10 bietet eine äußerst gute Orientierung über Sicherheitslücken in Webanwendungen. Unser Experte geht in dieser Session noch darüber hinaus und zeigt dir fortgeschrittene Techniken, die ein besonderes Risiko darstellen, da sie nur schwer abzuwehren sind.


Mit Frank Ully
Enterprise
Professional

Schwachstellen in Webanwendungen und Web-APIs nutzen – fortgeschrittene Techniken

Enthalten im Classroom: Fortgeschrittenes Ethical Hacking – Deep Dive ins Pentesting für Admins
Zum Classroom
Überblick

  • Du lernst, wie du in absichtlich verwundbaren Anwendungen Webschwachstellen findest und ausnutzt – teilautomatisiert und manuell

  • Du kennst weitere Punkte und Varianten von Schwachstellen aus den OWASP Web und API Security Top 10

  • Du weißt, wie du fortgeschrittene automatisierte Schwachstellenscans laufender Webanwendungen und Webschnittstellen mit ZAP durchführst

Inhalt

Bereits in unserem Classroom Ethical Hacking für Admins – Pentesting für eine sichere IT erklärte unser Experte, wie Angreifer durch Interception Proxys Anfragen an Webanwendungen und -schnittstellen beliebig manipulieren, etwa durch ZAP (Zed Attack Proxy). In dieser Session lernst du nun, wie du in absichtlich verwundbaren Anwendungen Webschwachstellen findest und ausnutzt – teilautomatisiert und manuell.

Dabei geht er über simple Quick-Wins hinaus. Vollautomatisierte Tests stoßen hier in ihre Grenzen, daher ist in dieser Session viel Handarbeit angesagt. Dennoch lernst du, trotz aller Einschränkungen, möglichst viel zu automatisieren. Du lernst etwa hinter einer Anmeldemaske versteckte Anwendungskomponenten authentisiert zu scannen und möglichst alle Endpunkte einer API zu prüfen.

Abschließend stellt unser Experte weitere Punkte und Varianten von Schwachstellen aus den OWASP Web und API Security Top 10 vor.

Zielgruppe

Administratoren und IT-Sicherheitsverantwortliche, die durch fortgeschrittenes Ethical Hacking, bei dem Lücken ausgenutzt werden, die Sicherheit ihrer Umgebungen (On-Premises, Web, Public Clouds) erhöhen wollen.

Voraussetzungen

Grundsätzliches Verständnis von Ethical Hacking und IT-Security-Selbstaudits sind erforderlich – beispielsweise durch vorigen Besuch des Classrooms Ethical Hacking für Admins – Pentesting für eine sichere IT.

Wissen auf dem Level eines Junior-System- oder Netzwerk-Administrators wird vorausgesetzt. Das umfasst auch Erfahrungen auf der Linux-Kommandozeile und mit PowerShell unter Windows. Ein Verständnis des Aufbaus von Webanwendungen und Protokollen wie HTTP und HTML ist erforderlich. Erfahrungen in der Administration einer öffentlichen Cloud sind für die entsprechende Session wünschenswert.

Agenda

  • Schwachstellen in einer absichtlich verwundbaren Umgebung mit dem Interception Proxy ZAP (Zed Attack Proxy) nicht nur finden, sondern ausnutzen

  • Weitere Schwachstellen in Webanwendungen und Webschnittstellen aus den OWASP Top 10, WASP API Security Top 10 und darüber hinaus

  • SQL Injections mit SQLmap ausnutzen

  • Fortgeschrittene automatisierte Schwachstellenscans laufender Webanwendungen und Webschnittstellen mit ZAP – authentisiert und anhand von OpenAPI-Beschreibungen für REST-APIs (Dynamic Application Security Testing, DAST)

  • Absichtlich verwundbare Umgebungen sind der OWASP Juice Shop (lokal) und die PortSwigger Web Security Academy (online)

Foto von Frank Ully

Frank Ully

Principal Consultant Cybersecurity & Head of CORE | Corporate Trust Business Risk & Crisis Management GmbH

Zum Profil