Sie suchen Ihre bereits erworbenen Lerninhalte? Dann geht es hier entlang: Zum academy Campus

heise academy Logo
Classroom-Sessions

Schwachstellen in Webanwendungen und Web-APIs nutzen – fortgeschrittene Techniken

Die OWASP Top 10 bietet eine äußerst gute Orientierung über Sicherheitslücken in Webanwendungen. Unser Experte geht  in dieser Session noch darüber hinaus und zeigt fortgeschrittene Techniken, die ein besonderes Risiko darstellen, da sie nur schwer abzuwehren sind.

Mit Frank Ully
Enterprise
Professional

Schwachstellen in Webanwendungen und Web-APIs nutzen – fortgeschrittene Techniken

Enthalten im Classroom: Fortgeschrittenes Ethical Hacking – Deep Dive ins Pentesting für Admins
Zum Classroom
Überblick

  • Sie lernen, wie Sie in absichtlich verwundbaren Anwendungen Webschwachstellen finden und ausnutzen – teilautomatisiert und manuell

  • Sie kennen weitere Punkte und Varianten von Schwachstellen aus den OWASP Web und API Security Top 10

  • Sie wissen, wie Sie fortgeschrittene automatisierte Schwachstellenscans laufender Webanwendungen und Webschnittstellen mit ZAP durchführen

Inhalt

Bereits in unserem Classroom Ethical Hacking für Admins – Pentesting für eine sichere IT erklärte unser Experte, wie Angreifer durch Interception Proxys Anfragen an Webanwendungen und -schnittstellen beliebig manipulieren, etwa durch ZAP (Zed Attack Proxy). In dieser Session lernen Sie nun, wie Sie in absichtlich verwundbaren Anwendungen Webschwachstellen finden und ausnutzen – teilautomatisiert und manuell.

Dabei geht er über simple Quick-Wins hinaus. Vollautomatisierte Tests stoßen hier in ihre Grenzen, daher ist in dieser Session viel Handarbeit angesagt. Dennoch können Sie, trotz aller Einschränkungen, möglichst viel zu automatisieren. Sie lernen etwa hinter einer Anmeldemaske versteckte Anwendungskomponenten authentisiert zu scannen und möglichst alle Endpunkte einer API zu prüfen.

Abschließend stellt unser Experte weitere Punkte und Varianten von Schwachstellen aus den OWASP Web und API Security Top 10 vor.

Zielgruppe

Administratoren und IT-Sicherheitsverantwortliche, die durch fortgeschrittenes Ethical Hacking, bei dem Lücken ausgenutzt werden, die Sicherheit ihrer Umgebungen (On-Premises, Web, Public Clouds) erhöhen wollen.

Voraussetzungen

Grundsätzliches Verständnis von Ethical Hacking und IT-Security-Selbstaudits sind erforderlich – beispielsweise durch vorigen Besuch des Classrooms Ethical Hacking für Admins – Pentesting für eine sichere IT.

Wissen auf dem Level eines Junior-System- oder Netzwerk-Administrators wird vorausgesetzt. Das umfasst auch Erfahrungen auf der Linux-Kommandozeile und mit PowerShell unter Windows. Ein Verständnis des Aufbaus von Webanwendungen und Protokollen wie HTTP und HTML ist erforderlich. Erfahrungen in der Administration einer öffentlichen Cloud sind für die entsprechende Session wünschenswert.

Agenda

  • Schwachstellen in einer absichtlich verwundbaren Umgebung mit dem Interception Proxy ZAP (Zed Attack Proxy) nicht nur finden, sondern ausnutzen

  • Weitere Schwachstellen in Webanwendungen und Webschnittstellen aus den OWASP Top 10, WASP API Security Top 10 und darüber hinaus

  • SQL Injections mit SQLmap ausnutzen

  • Fortgeschrittene automatisierte Schwachstellenscans laufender Webanwendungen und Webschnittstellen mit ZAP – authentisiert und anhand von OpenAPI-Beschreibungen für REST-APIs (Dynamic Application Security Testing, DAST)

  • Absichtlich verwundbare Umgebungen sind der OWASP Juice Shop (lokal) und die PortSwigger Web Security Academy (online)

Foto von Frank Ully

Frank Ully

Principal Consultant Cybersecurity & Head of CORE | Corporate Trust Business Risk & Crisis Management GmbH

Zum Profil