Unser Schulungskonzept Webanwendungssicherheit/OWASP® Top 10
Sie sind auf der Suche nach Schulungen zu Webanwendungssicherheit. Wir bieten Ihnen ein umfassendes Schulungskonzept. Sie können aus den folgenden Schulungen/Workshops basierend auf den Inhalten der frei verfügbaren OWASP Top 10, OWASP API Security Top 10, OWASP Mobile Top 10 und Software Development Lifecycle mit OWASP SAMM frei wählen, beliebig kombinieren, oder auch nur einzelne Schulungen für sich nutzen.
Alle Informationen zum Aufbau der Schulungen und Ablauf finden Sie hier.
Module
Das Basismodul ist der Workshop Webanwendungssicherheit/über OWASP® Top 10. Das Modul ist explizit auch für technisch weniger affine Teilnehmenden geeignet. Darauf aufbauend bieten wir folgende Module:
- Webanwendungssicherheit/ orientiert an OWASP® Top 10 – Advanced
- Schnittstellensicherheit – orientiert an OWASP® API Security Top 10
- Sicherheit von Apps – orientiert an OWASP® Mobile Top 10
- Sichere Softwareentwicklung – Software Devleopment Lifecycle orientiert an OWASP® SAMM
Workshop Webanwendungssicherheit/über OWASP® Top 10 – Ein Tag für eine gemeinsame Sprache
Zielgruppe
- Entwickler/DevOps
- Product Owner/Produktmanager/Projektmanager
- Stakeholder/Fachbereich
- Administratoren
Themen
- OWASP® – Übersicht und Vorstellung ausgewählter Projekte
- Beispiele in der öffentlichen Wahrnehmung
- Die zehn häufigsten Sicherheitsrisiken bei Webanwendungen – OWASP® Top 10 (u. a. SQL-Injection, Cross-Site-Scripting, CSRF, Denial-of-Service)
- Interaktive Demonstrationen
- Passende Beispiele mit realem Bezug
- Vorstellung von Prüfwerkzeugen und Methoden bei der Prüfung in Form von Penetrationstests
- Grundsätze zu Gegenmaßnahmen
Workshop Webanwendungssicherheit/orientiert OWASP® Top 10 – Advanced
Zielgruppe
- Entwickler/DevOps
- Technisch affine Product Owner/Produktmanager/Projektmanager
- Administratoren mit technischen Kenntnissen zu Webtechnologien
Themen
Der erste Teil dient der Auffrischung bekannter Themen des Basisworkshops
- OWASP® – Übersicht und Vorstellung ausgewählter Projekte
- Beispiele in der öffentlichen Wahrnehmung
- Kurzüberblick über die zehn häufigsten Sicherheitsrisiken bei Webanwendungen – OWASP® Top 10 (u. a. SQL-Injection, XXE, Cross-Site-Scripting)
Hier beginnt der vertiefende Teil
- Vorstellung von Prüfwerkzeugen und Methoden bei der Prüfung in Form von Penetrationstests
- Hunt the Bug im OWASP® Juice Shop. Es werden durch den Referenten Challenges und ein fixer Zeitrahmen je Challenge vorgegeben. Die Challenges werden gemeinsam nachbesprochen und je Challenge möglich Gegenmaßnahmen besprochen. Idealerweise kommt es hier zur Teaminteraktion.
Workshop Schnittstellensicherheit - orientiert an OWASP API Security Top 10
Zielgruppe
- Entwickler/DevOps
- Technisch affine Product Owner/Produktmanager/Projektmanager
- Administratoren mit technischen Kenntnissen zu Webtechnologien
Themen
- OWASP® – Übersicht und Vorstellung ausgewählter Projekte
- Schwachstellenbeispiele in der öffentlichen Wahrnehmung
- Methodik der OWASP® API Security Top 10
- Grundlagen und Konzepte von Web-APIs
- Einführung in das Tool „Burp“
- Die zehn häufigsten Sicherheitsrisiken bei APIs – OWASP® API Security Top 10
- Interaktive Demonstrationen
- Passende Beispiele mit realem Bezug
Workshop Sicherheit von Apps – OWASP® Mobile Top 10
Zielgruppe
- Entwickler/DevOps
- Technisch affine Product Owner/Produktmanager/Projektmanager
- Administratoren mit technischen Kenntnissen zu mobilen Apps und Webtechnologien
Themen
- OWASP® – Übersicht und Vorstellung ausgewählter Projekte
- Beispiele in der öffentlichen Wahrnehmung
- Nur eine App?
- OWASP® Mobile Top 10 Risks mit technischen Beispielen und Gegenmaßnahmen
- Zusammenfassung Entwicklertipps
- Vorgehen bei App-Penetrationtests
Sichere Softwareentwicklung - Software Development Lifecycle orieniert an OWASP® SAMM
Zielgruppe
- Entwickler/DevOps
- Product Owner/Produktmanager/Projektmanager
- Security Manager/ISOs/CISOs
Themen
Motivation und Überblick für einen sicheren Entwicklungsprozess
- Vorstellung des Security Development Lifecycle-Konzepts
- Sichere Entwicklung nach OWASP® SAMM
- Einordnung in Software Entwicklungsmodelle
Ableitung von Sicherheitsanforderungen an ein Softwareprodukt
- Schutzziele der IT
- Bedrohungsmodellierung (STRIDE-Modell/PASTA)
- Beispiel anhand von Kunden Produkten
Beschreibung von Sicherheitsanforderungen
- Blick in Standard (z. B. Protection Profiles)
- Methodik für Custom-Requirements
- Mitigation im Rahmen einer TARA
Sicherer Entwurf eines IT-Produkts
- Vorstellung des Security-by-Design-Konzepts
- Defense-in-depth
- Bewährte Praktiken: Secure Design Pattern
Sichere Implementierung eines IT-Produkts
- Sichere Coding Richtlinien
- Statische Code Analyse
- Bewährte Praktiken
- Überprüfung der sicheren Implementierung
Verifikation & Testen eines IT-Produkts
- Testen von sicherheitsrelevanten Anforderungen
- Schwachstellentests
- Penetrationstests
- Vorstellung von Lösungen zur Verifikation & Testen
- Szenarien und Anforderungen der Teilnehmer bzgl. Test-Werkzeugen
Veröffentlichung und Reaktion auf Fehler/Schwachstellen
- Umgang mit Schwachstellen
- Sicherheitsrelevante Richtlinien
- Patch Management
Referenten
Die Workshops werden durch jeweils einen Referenten aus dem Referentenpool gehalten.
Tobias Glemser
Webanwendungssicherheit/OWASP® Top 10 Basismodul und Advanced; Schnittstellensicherheit – OWASP® API Security Top 10
Tobias Glemser, Geschäftsführer der secuvera, ist BSI-zertifizierter Penetrationstester und Technischer Leiter für Penetrationstests. Herr Glemser ist Autor mehrerer Fachartikel u.a. in den Zeitschriften c’t und iX und Referent bei Seminaren und Kongressen (z. B. OWASP AppSec Germany, DevSec, secIT, Internet Security Days, it-sa). Er hat diverse Security Advisories für selbst gefundene Schwachstellen, z. B. in Webanwendungen und IoT-Geräten veröffentlicht. Herr Glemser ist Chapterlead des German Chapters des Open Web Application Security Project (OWASP).
Ruben Konrad
Sicherheit von Apps – OWASP® Mobile Top 10/Schnittstellensicherheit – OWASP® API Security Top 10/Sichere Softwareentwicklung – Software Development Lifecycle mit OWASP® SAMM
Herr Konrad ist Penetrationstester und Mitarbeiter in der Prüfstelle bei der secuvera GmbH.
Im Bereich Penetrationstest ist Herr Konrad verantwortlich für das Thema Mobile App Security und die Konzeption der Workshops „OWASP® Mobile Top 10“ und „OWASP® API Security Top 10“. Außerdem führt er Prüfungen für Mobile Apps, Webanwendungsprüfungen und systembasierte Penetrationstests durch.
In der Prüfstelle führt Herr Konrad Beratungen und Prüfungen für Common Criteria und IEC 62443 durch. In diesem Zusammenhang beschäftigt er sich unter anderem mit der Sicherheit von industriellen Kommunikationsprotokollen.
Sebastian Fritsch
Sichere Softwareentwicklung – Software Devleopment Lifecycle mit OWASP® SAMM
Sebastian Fritsch ist der Leiter der BSI Common Criteria (CC) Prüfstelle der secuvera. Er ist seit mehr als 10 Jahren als Evaluator, Auditor und Berater im Bereich von IT und OT Produkten tägig. Neben seiner Tätigkeit bei secuvera ist er in ISO, IEC und DIN in der Standardisierung als Projekt- und Arbeitskreisleiter tätig.
Kundenfeedback zu unseren Workshops
„Ich hatte schlimmste Befürchtungen, weil ich mich mit Webentwicklung nicht auskenne, und trotzdem bin ich der Meinung, einiges gelernt zu haben.
Danke an den Referenten für die hervorragende Präsentation.“
„Lebendiger Vortrag, „mitten aus dem Leben“, nachvollziehbar“
„* sehr gute Sensibilisierung für das Thema durch verständliche Beispiele (in Code und Presse)
* Gute Hinweise, was zu tun ist im Unternehmen
* sehr gute Präsenz trotz Videokonferenz
* vielen Dank!“
„Abwechslungsreich und spannend – Vielen Dank für das sehr interessante Seminar“
„Souveräner Umgang auch mit eher störenden Chat-Einlassungen.
Gute Mischung aus Beispielen und Theorie.
Lockere Gestaltung, ohne dabei nachlässig zu wirken.“
„Interaktives Durchspielen von Beispielen; allgemein sehr anschaulich durch Beispiele; Hinweise, dass IT-Security Aufgabe der Gesamtorganisation ist“
„Der Workshopleiter wirkte sehr kompetent und gut im Thema verankert. Ist auf Publikumsbeiträge sehr gut eingegangen.
Interessante Denkanstöße und ‚Bewusstseinserweiterung’“
„lockerer Vortragsstil, Anekdoten, Tempo“
„Einfach sehr guter Workshop!“
Disclaimer
Die Schulungen werden durch secuvera angeboten. Es sind keine Schulungen der OWASP® Foundation.