Lernziel

Die Teilnehmer erweitern ihr Basis-Wissen bezüglich Web Application Security. Sie erlangen das Verständnis über zusätzliche Risiken moderner Technologien, über die Bedeutung der Same Origin Policy sowie über Cross Domain-Themen. Zusätzlich werden verschiedene Autorisierungs- und Authentisierungsframeworks beleuchtet, welche beispielsweise für Single-Sign-On Lösungen verwendet werden.

Die Übungen werden online auf www.hacking-lab.com absolviert. Die Laborumgebung steht den Teilnehmern auch nach Kursende während eines Monats zur Verfügung.


Abgrenzung: Der Kurs ist auf den Web Layer fokussiert. Nessus, Nmap und Vulnerability Scanning sind nicht Bestandteile dieses Kurses. Der Kurs ist die Weiterführung des Grundlagenkurses "Web Application Security Basic".

Highlights aus dem Programm

  • XML Injection Attacks
  • Java Deserialization
  • JSON Hijacking
  • Same Origin Policy
  • Cross-Origin Resource Sharing (CORS)
  • Advanced SQL Injection
  • Web Entry Server & Web Application Firewall
  • HTML5 Attacks
  • AngularJS Security & Best Practices
  • SAML Attacks
  • JOSE (JSON Object Signing and Encryption)
  • OAuth
  • OpenID Connect

    Zielgruppe

    Security Officers, Web Entwickler, Absolventen des Seminars "Web Application Security Basic"

    Voraussetzung

    • Vertrautheit mit der Linux Kommandozeile
    • Kenntnisse des HTTP Protokolls
    • Kenntnisse der verschiedenen Komponenten einer modernen Webanwendung
    • JavaScript, GET/POST, XML, JSON sind bekannte Begriffe
    • Kenntnisse aus dem Seminar "Web Application Security Basic"

    AGENDA

    Securing Industrial IoT

    Am 29. August 2019 treffen Experten aus Forschung und Praxis in Bremen zusammen, um gemeinsam zu diskutieren, wie sich Unternehmen aus dem... Weiterlesen

    Beer-Talk #20 in Berlin: Keep Calm and Dump Your Memory

    Cyberkriminelle finden immer wieder raffinierte Methoden, um Computer oder Mobilgeräte mit Schadsoftware zu infizieren. Was Sie (warum) nicht tun... Weiterlesen

    Cyber Risks – von der abstrakten Gefahr zur täglichen Realität

    Das Europa Institut an der Universität Zürich (EIZ) ist ein führendes Kompetenzzentren für Europarecht und wichtiger Anbieter von juristischen... Weiterlesen

    KOMPLETTE agenda

    aktuelles

    Schwachstelle im "The Scheduler"-Plugin für Jira

    Thierry Viaccoz hat eine XML External Entity (XXE) Schwachstelle im "The Scheduler"-Plugin für Jira identifiziert. Weiterlesen

    Schwachstelle in der Email+ iOS-Anwendung bei MobileIron

    Sylvain Heiniger hat eine "Cleartext Storage of Sensitive Information" Schwachstelle in der MobileIron Anwendung "Email+" identifiziert. Weiterlesen

    Schwachstellen im Universal Automation Center (UAC)

    Michael Fisler und Felix Aeppli haben Schwachstellen im Universal Automation Center (UAC) identifiziert. Weiterlesen

    ArCHIV

    Compass Security Blog

    Privilege escalation in Windows Domains (2/3)

    This second article about privilege escalation in Windows domains describes how to propagate by aiming for passwords that are lying around. mehr

    Privilege escalation in Windows Domains (1/3)

    This first article of our series about privilege escalation in Windows domains demonstrates how to get a foothold by relaying credentials from users. mehr

    ZUM BLOG