Vielen Dank für die Zusendung Ihrer Anfrage! Eines unserer Teammitglieder wird Sie in Kürze kontaktieren.
Vielen Dank, dass Sie Ihre Buchung abgeschickt haben! Eines unserer Teammitglieder wird Sie in Kürze kontaktieren.
Schulungsübersicht
Grundlagen von IT-Sicherheit & Sicherer Codierung
- Verständnis des CIA-Trios: Vertraulichkeit, Integrität, Verfügbarkeit als Kernprinzipien der Sicherheit
- Häufige Sicherheitsanfälligkeiten und Angriffe übergreifender Sprachen/Plattformen (SQLi, XSS, CSRF, SSRF, usw.)
- Die Rolle eines sicheren SDLC bei der Verhinderung, Erkennung und Abschwächung von Bedrohungen auf Code-Ebene
Sicherheit von Webanwendungen im Java-Kontext
- OWASP Top Ten: Ausrichtung der Industriestandards auf häufige Java-Fehler
- Minderung von Injections: Verwendung von vorbereiteten Anweisungen, ORM-Schichten und parametrisierten Abfragen
- Authentifizierungsanfälligkeiten (fehlerhaftes Sitzungsmanagement, XSS als Vektor) und Muster zur Fehlerbehebung
- Eingabevalidierung für Robustheit gegen Verzeichnis-Traversierung und Pfadmanipulationsangriffe
Grundlagen der Java-Sicherheit & Kryptologie im Detail
- Kernkonzepte der Kryptographie: symmetrische vs. asymmetrische Verschlüsselung, Hash-Algorithmen, digitale Signaturen
- Sichere Kommunikationsprotokolle: Best Practices für die TLS/SSL-Einrichtung in Java-Anwendungen (HTTPS)
- Praktisches Labor: Konfigurieren sicherer Verbindungen zwischen Webserver und Backend-Diensten unter Verwendung von SSL/TLS
Java-Sicherheitsdienste & Unternehmenssicherheitsfunktionen
- Verwendung der integrierten Sicherheits-API zur Implementierung starker Authentifizierung (JAAS, KeyStore, CertificatePath, SecureRandom)
- Verwalten von Benutzersitzungen mit minimalem Risiko von Hijacking oder Fixierung
- Labor: Implementieren von Mustern für sicheres Sitzungsmanagement und Minderung von Risiken durch Diebstahl von Sitzungs-Cookies
Häufige Codierfehler & Sicherheitslücken in Java
- Erkennen unsicherer Codierungsmuster, die zu Klassenhierarchie-Angriffsflächen führen (CVEs im Zusammenhang mit Deserialisierung, JAR-Extraktion)
- Verhindern, dass unsichere Reflexionsnutzung zu beliebiger Codeausführung unter Privilegierungserhöhung führt
- Verstehen der Auswirkungen der Verwendung unsicherer Logging-Frameworks und Risikominderung durch sichere Handler oder Logging-Level
- Praktisches Labor: Refaktorieren unsicherer Java-Codebeispiele in sichere Muster (FindSecurityBugs-Refaktorübung)
Kryptologie in der Praxis & Moderne sichere Codierungsmuster
- Praktische Verschlüsselung: Gestaltung eines sicheren Key-Managements, Schutz sensibler Daten während der Übertragung und im Ruhezustand
- Hashing zur Integritätsprüfung: Passwortspeicherung, Dateiinhaltsvalidierung und Workflows für digitale Signaturen
- Labor: Implementieren sicheren Daten-Hashings (SHA-256) für die Passwortspeicherung und Validieren gespeicherter Hashes gegen Eingaben
Erweiterte sichere Codierung & Bedrohungsmodellierung
- Integration statischer Codeanalyse in CI/CD-Pipelines mit FindSecurityBugs in Maven/Gradle
- Frühes Identifizieren von Risiken in der Entwurfsphase durch Bedrohungsmodellierung-Workshops
- Workshop: Anwenden der Bedrohungsmodellierung auf eine Java-Beispielanwendung, Priorisieren von Risiken und Implementieren sicherer Codierungspraktiken
Capstone-Projekt & Roadmap für sichere Codierung
- Teilnehmende wählen ein reales Java-Projekt aus (Webanwendung, Microservice oder Bibliothek)
- Analyse der Codebasis auf OWASP Top Ten-Sicherheitslücken (Injection, fehlerhafte Authentifizierung, SSI, usw.)
- Refaktorieren unsicheren Codes in Best-Practice-Muster und Implementieren sicherer Dienstkonfigurationen
- Dokumentieren des Prozesses, der auftretenden Herausforderungen und der neuen Lernergebnisse mit Peer-Review und Feedback des Dozenten
Offene Q&A, Verteilung von Ressourcen & Abschlussübersicht
- Offene Diskussionsplattform zum Beantworten häufiger Fragen zur sicheren Codierung, zum Klären fortschrittlicher Konzepte und zum Teilen von Erfahrungen aus der Praxis
- Gekürzte Ressourcensammlung: OWASP Java Secure Coding Top Ten CheatSheet, FindSecurityBugs-Refaktorierungsleitfaden und empfohlene Bibliotheken für sichere Codierung
- Kursabschluss und Support nach der Schulung zur Anwendung neuer Fähigkeiten in laufenden Projekten
Voraussetzungen
- Grundlegende Computerkenntnisse im Betrieb eines modernen Laptop/Desktop-Betriebssystems und mit standardmäßigen Office-Produktivitätsanwendungen (Textverarbeitungs- und Tabellenkalkulationssoftware)
- Es sind keine Vorkenntnisse in Java-Programmierung oder Sicherheit erforderlich; grundlegendes Verständnis objektorientierter Konzepte und standardmäßiger Webentwicklungsarbeitsabläufe wird empfohlen
- Bereitschaft, sich an praktischen Übungen, Quizfragen und der Analyse realer Fallstudien zur Übung der Fähigkeiten zu beteiligen
14 Stunden
Erfahrungsberichte (3)
Dass wir eine komplexe Übersicht auch über den Kontext bekommen haben - zum Beispiel, warum wir bestimmte Annotationen benötigen und was sie bedeuten. Mir hat der praktische Teil des Trainings gefallen - das manuelle Ausführen der Befehle und die Aufrufe der REST-APIs.
Alina - ACCENTURE SERVICES S.R.L
Kurs - Quarkus for Developers
Maschinelle Übersetzung
interaktive Übungen und gemeinsames Projektarbeit
Claudiu - MSG system
Kurs - Advanced Spring Boot
Maschinelle Übersetzung
Die zusätzlichen Informationen, die geteilt wurden, machten den Kurs weniger geradlinig, aber angenehm in Groovy.
Covenant - Vodacom
Kurs - Groovy Programming
Maschinelle Übersetzung
