Ihr Warenkorb ist leer.
Classroom-Sessions
OWASP Top 10: Sicherheitslücken in Webanwendungen und Web-APIs aufdecken
Webanwendungen und Web-APIs gehören zu den am stärksten exponierten Systemen in Unternehmen. Nutze die OWASP Top 10, um deine Systeme abzusichern.
Mit Frank Ully
Enterprise
Professional
OWASP Top 10: Sicherheitslücken in Webanwendungen und Web-APIs aufdecken
Enthalten im Classroom: Ethical Hacking für Admins – Pentesting für eine sichere IT
Überblick
Du lernst, wie du mithilfe eines Interception Proxys auch bei mit HTTPS transportverschlüsselten Anwendungen Einblicke in die Kommunikation erhältst und Anfragen manipulierst.
Du verstehst die häufigsten Schwachstellen in Webanwendungen und Web-Schnittstellen anhand der OWASP Top 10 und OWASP API Security Top 10 und weißt, wie Angreifer diese ausnutzen.
Du erfährst, wie du mit automatisierten Schwachstellenscans die Sicherheit laufender Webanwendungen überprüfst, kennst aber auch die Grenzen dieser Methode.
Inhalt
Moderne Single-Page-Webanwendungen und mobile Apps rücken auch Web-APIs in den Fokus von Angreifern. Mithilfe von Interception Proxys erhalten diese vollständigen Einblick in die Antworten von Webanwendungen und Schnittstellen. Zudem können sie Anfragen beliebig manipulieren. In dieser Session lernst du anhand von praxisnahen Beispielen, wie Angreifer vorgehen, um Schwachstellen zu erkennen, auszunutzen und welche Auswirkungen dies hat.
Dynamische Tests mit spezialisierten Werkzeugen unterstützen dich dabei, die Sicherheit deiner Webanwendungen und APIs zu überprüfen und identifizierte Schwachstellen zu beheben. Unser Experte Frank Ully geht dabei auch auf die Grenzen solch automatisierter Tests ein.
Zielgruppe
Der Classroom richtet sich an Admins und IT-Sicherheitsverantwortliche, die ihre Systeme proaktiv schützen möchten. Nach Abschluss aller Sessions bist du in der Lage, potenzielle Schwachstellen durch Penetrationstests zu identifizieren und die Sicherheit deiner IT-Systeme nachhaltig zu verbessern.
Voraussetzungen
Wissen auf dem Level eines Junior-System- oder Netzwerk-Admins wird vorausgesetzt.
Agenda
Einrichten eines Interception Proxys, auch bei mit HTTPS transportverschlüsselten Anwendungen, am Beispiel von ZAP (Zed Attack Proxy)
Schwachstellen in Webanwendungen und Web-Schnittstellen anhand der OWASP Top 10 und OWASP API Security Top 10
Automatisierte Schwachstellenscans laufender Anwendungen bei Web-Technologien (Dynamic Application Security Testing, DAST), mit generellen Werkzeugen wie ZAP und spezialisierten Tools wie dem JSON Web Token Toolkit
Die Grenzen, was du automatisiert und teilautomatisiert finden kannst
Hinweis auf statische Codeanalyse (Static Application Security Testing, SAST) mit dem Geheimtipp semgrep
Enthalten im Classroom:
Frank Ully
Principal Consultant Cybersecurity & Head of CORE | Corporate Trust Business Risk & Crisis Management GmbH
Frank Ully ist Principal Consultant Cybersecurity und Head of CORE bei Corporate Trust Business Rist & Crisis Management. Seit mehr als zehn Jahren beschäftigt er sich beruflich mit Informationssicherheit, zuletzt mit Fokus auf Entwicklungen in der offensiven IT-Security. Seine derzeitigen Schwerpunkte umfassen Active Directory, die Sicherheit öffentlicher Clouds und künstliche Intelligenz. Sein Wissen teilt Frank regelmäßig in Vorträgen, Webinaren, Schulungen und Artikeln, etwa in der Fachzeitschrift iX oder bei der heise academy. Damit hilft er Organisationen, Angreifer zu verstehen und sich effizient gegen sie zu verteidigen – auf dem neuesten Stand der Technik.