Sicherheitsentwicklung in .NET, C# und ASP.NET Schulung

Die Implementierung einer sicheren vernetzten Anwendung kann schwierig sein, selbst für Entwickler, die bereits verschiedene kryptographische Bausteine (wie Verschlüsselung und digitale Signaturen) verwendet haben. Um den Teilnehmern die Rolle und die Verwendung dieser kryptografischen Primitive verständlich zu machen, wird zunächst eine solide Grundlage über die wichtigsten Anforderungen an eine sichere Kommunikation - sichere Bestätigung, Integrität, Vertraulichkeit, Fernidentifizierung und Anonymität - vermittelt, wobei auch die typischen Probleme, die diese Anforderungen beeinträchtigen können, zusammen mit Lösungen aus der Praxis vorgestellt werden.

Da ein kritischer Aspekt der Netzsicherheit die Kryptographie ist, werden auch die wichtigsten kryptographischen Algorithmen der symmetrischen Kryptographie, des Hashings, der asymmetrischen Kryptographie und der Schlüsselvereinbarung behandelt. Anstatt einen detaillierten mathematischen Hintergrund zu präsentieren, werden diese Elemente aus der Perspektive eines Entwicklers erörtert, wobei typische Anwendungsfälle und praktische Überlegungen im Zusammenhang mit dem Einsatz von Kryptographie, wie z. B. Public-Key-Infrastrukturen, aufgezeigt werden. Es werden Sicherheitsprotokolle in vielen Bereichen der sicheren Kommunikation vorgestellt, wobei die am weitesten verbreiteten Protokollfamilien wie IPSEC und SSL/TLS eingehend diskutiert werden.

Typische Kryptoschwachstellen werden sowohl im Zusammenhang mit bestimmten Kryptoalgorithmen als auch mit kryptografischen Protokollen erörtert, z. B. BEAST, CRIME, TIME, BREACH, FREAK, Logjam, Padding Orakel, Lucky Thirteen, POODLE und ähnliche, sowie der RSA-Zeitangriff. In jedem Fall werden die praktischen Erwägungen und die möglichen Folgen für jedes Problem beschrieben, wiederum ohne auf die mathematischen Details einzugehen.

Da die XML-Technologie für den Datenaustausch von vernetzten Anwendungen von zentraler Bedeutung ist, werden schließlich die Sicherheitsaspekte von XML beschrieben. Dazu gehört die Verwendung von XML in Webdiensten und SOAP-Nachrichten neben Schutzmaßnahmen wie XML-Signatur und XML-Verschlüsselung - sowie Schwachstellen in diesen Schutzmaßnahmen und XML-spezifische Sicherheitsprobleme wie XML-Injektion, XML-External-Entity (XXE)-Angriffe, XML-Bomben und XPath-Injektion.

Die Teilnehmer an diesem Kurs werden

• Grundlegende Konzepte der Sicherheit, der IT-Sicherheit und der sicheren Kodierung verstehen
• die Anforderungen an eine sichere Kommunikation verstehen
• Kenntnisse über Netzwerkangriffe und Verteidigungsmaßnahmen auf verschiedenen OSI-Schichten
• ein praktisches Verständnis von Kryptographie haben
• Verständnis der wichtigsten Sicherheitsprotokolle
• einige aktuelle Angriffe auf Kryptosysteme zu verstehen
• Informationen über einige aktuelle Sicherheitslücken erhalten
• Verstehen der Sicherheitskonzepte von Webdiensten
• Quellen und weiterführende Lektüre zu sicheren Kodierungsverfahren erhalten

Zielgruppe

Entwickler, Fachleute

Dieser dreitägige Kurs behandelt die Grundlagen der Sicherung von C/C++-Code vor bösartigen Benutzern, die mögliche Schwachstellen im Code bei der Speicherverwaltung und Eingabebehandlung ausnutzen könnten. Der Kurs deckt die Prinzipien des Schreibens sicherer Code ab.

Auch erfahrene Java-Programmierer beherrschen nicht automatisch die verschiedenen Sicherheitsdienste, die Java bietet, und sind sich der unterschiedlichen Verwundbarkeiten, die für in Java geschriebene Webanwendungen relevant sind, oft nicht bewusst.

Der Kurs – neben der Einführung der Sicherheitskomponenten der Standard Java Edition – befasst sich mit Sicherheitsfragen der Java Enterprise Edition (JEE) und von Webdiensten. Der Diskussion spezifischer Dienste gehen Grundlagen der Kryptographie und sicherer Kommunikation voraus. Verschiedene Übungen behandeln deklarative und programmatische Sicherheits Techniken in JEE, während sowohl die Sicherheitsmaßnahmen auf Transportschicht als auch die End-to-End-Sicherheit von Webdiensten diskutiert werden. Die Verwendung aller Komponenten wird durch mehrere praktische Übungen vorgestellt, in denen die Teilnehmer die diskutierten APIs und Tools selbst ausprobieren können.

Der Kurs geht zudem die häufigsten und schwerwiegendsten Programmierfehler der Java-Sprache und -Plattform sowie webbezogene Verwundbarkeiten durch und erklärt diese. Neben den typischen Fehlern, die Java-Programmierer begehen, decken die vorgestellten Sicherheitslücken sowohl sprachspezifische Probleme als auch Probleme ab, die aus der Laufzeitumgebung stammen. Alle Verwundbarkeiten und die relevanten Angriffe werden durch leicht verständliche Übungen demonstriert, gefolgt von den empfohlenen Coding-Richtlinien und den möglichen Minderungstechniken.

Teilnehmer, die diesen Kurs besuchen, werden

• die grundlegenden Konzepte von Sicherheit, IT-Sicherheit und sicherem Codieren verstehen
• Webverwundbarkeiten jenseits der OWASP Top Ten lernen und wissen, wie man sie vermeidet
• Sicherheitskonzepte von Webdiensten verstehen
• lernen, verschiedene Sicherheitsfeatures der Java-Entwicklungsumgebung zu nutzen
• ein praktisches Verständnis von Kryptographie erwerben
• die Sicherheitslösungen von Java EE verstehen
• etwas über typische Codierfehler und wie man sie vermeidet, erfahren
• Informationen über einige aktuelle Verwundbarkeiten im Java-Framework erhalten
• praktische Kenntnisse im Umgang mit Sicherheitstest-Tools erwerben
• Quellen und weiterführende Literatur zu bewährten Praktiken des sicheren Codierens erhalten

Zielgruppe

Entwickler

Beschreibung

Die Java-Sprache und die Runtime-Umgebung (JRE) wurden so konzipiert, dass sie vor den problematischsten gemeinsamen Sicherheitsanfälligkeiten anderer Sprachen wie C/C+C+ geschützt sind. Dennoch sollten Softwareentwickler und Architekten nicht nur wissen, wie man die verschiedenen Sicherheitsfunktionen der Java-Umgebung nutzt (positive Sicherheit), sondern sollten sich auch der zahlreichen Angriffsflächen bewusst sein, die für die Java-Entwicklung noch relevant sind (negative Sicherheit).

Der Einführung der Sicherheitsdienste geht ein kurzer Überblick über die Grundlagen der Kryptologie voraus, der eine gemeinsame Basis für das Verständnis der Bedeutung und des Betriebs der betreffenden Komponenten bietet. Die Nutzung dieser Komponenten wird anhand mehrerer praktischer Übungen vorgestellt, bei denen die Teilnehmenden die diskutierten APIs selbst ausprobieren können.

Der Kurs geht auch die häufigsten und schwerwiegendsten Programmierfehler der Java-Sprache und -Plattform durch und erklärt diese. Er behandelt sowohl die typischen Fehler, die Java-Programmierer begehen, als auch die spezifischen Probleme der Sprache und Umgebung. Alle Sicherheitsanfälligkeiten und die zugehörigen Angriffe werden anhand leicht verständlicher Übungen demonstriert, gefolgt von den empfohlenen Coding-Richtlinien und den möglichen Abschwächungstechniken.

Teilnehmende dieses Kurses werden

• die Grundkonzepte von Sicherheit, IT-Sicherheit und sicherer Codierung verstehen
• sich mit Web-Sicherheitslücken jenseits der OWASP Top Ten befassen und wissen, wie sie vermieden werden können
• die verschiedenen Sicherheitsfunktionen der Java-Entwicklungsumgebung nutzen können
• ein praktisches Verständnis von Kryptographie erlangen
• typische Codierfehler kennenlernen und lernen, wie man sie vermeidet
• Informationen über einige aktuelle Sicherheitslücken im Java-Framework erhalten
• Quellen und weiterführende Literatur zu Praktiken der sicheren Codierung erhalten

Zielgruppe

Entwickler

Der Kurs vermittelt PHP-Entwicklern wesentliche Fähigkeiten, die sie benötigen, um ihre Anwendungen gegen aktuelle Angriffe über das Internet zu schützen. Web-Schwachstellen werden anhand von PHP-basierten Beispielen erörtert, die über die OWASP-Top Ten hinausgehen und verschiedene Injektionsangriffe, Skriptinjektionen, Angriffe auf die Sitzungsbehandlung von PHP, unsichere direkte Objektreferenzen, Probleme beim Hochladen von Dateien und viele andere behandeln. Die PHP-bezogenen Schwachstellen werden in die Standard-Schwachstellenarten fehlende oder unsachgemäße Eingabevalidierung, falsche Fehler- und Ausnahmebehandlung, unsachgemäße Verwendung von Sicherheitsmerkmalen und zeit- und zustandsbezogene Probleme eingeteilt. Für letztere werden Angriffe wie die open_basedir-Umgehung, Denial-of-Service durch Magic Float oder der Hash-Table-Kollisionsangriff diskutiert. In allen Fällen werden die Teilnehmer mit den wichtigsten Techniken und Funktionen vertraut gemacht, die zur Entschärfung der genannten Risiken eingesetzt werden können.

Ein besonderer Schwerpunkt liegt auf der Client-seitigen Sicherheit, wobei die Sicherheitsprobleme von JavaScript, Ajax und HTML5 behandelt werden. Eine Reihe von sicherheitsrelevanten Erweiterungen zu PHP werden vorgestellt, wie z.B. hash, mcrypt und OpenSSL für die Kryptographie, oder Ctype, ext/filter und HTML Purifier für die Eingabevalidierung. Die besten Härtungspraktiken werden im Zusammenhang mit der PHP-Konfiguration (Einstellung der php.ini), Apache und dem Server im Allgemeinen gegeben. Schließlich wird ein Überblick über verschiedene Sicherheitstests und -techniken gegeben, die Entwickler und Tester verwenden können, darunter Sicherheitsscanner, Penetrationstests und Exploit-Packs, Sniffer, Proxy-Server, Fuzzing-Tools und statische Quellcode-Analysatoren.

Sowohl die Einführung in die Schwachstellen als auch die Konfigurationspraktiken werden durch eine Reihe praktischer Übungen unterstützt, die die Folgen erfolgreicher Angriffe demonstrieren, die Anwendung von Abhilfetechniken zeigen und die Verwendung verschiedener Erweiterungen und Werkzeuge vorstellen.

Die Teilnehmer an diesem Kurs werden

• Grundlegende Konzepte der Sicherheit, der IT-Sicherheit und der sicheren Kodierung verstehen
• Web-Schwachstellen jenseits der OWASP Top Ten kennen und wissen, wie man sie vermeidet
• Sie lernen clientseitige Schwachstellen und sichere Programmierpraktiken kennen
• ein praktisches Verständnis von Kryptographie haben
• Lernen Sie, verschiedene Sicherheitsfunktionen von PHP zu nutzen
• Lernen Sie typische Programmierfehler kennen und wie Sie diese vermeiden können
• Über aktuelle Schwachstellen des PHP-Frameworks informiert sein
• Praktische Kenntnisse in der Verwendung von Sicherheitstools
• Quellen und weiterführende Lektüre zu sicheren Programmierpraktiken

Zielgruppe

Entwickler

Das kombinierte SDL-Kerntraining bietet einen Einblick in die sichere Softwareentwicklung, -design und -testing durch Microsoft Secure Development Lifecycle (SDL). Es gibt eine Übersicht auf Niveau 100 über die grundlegenden Bausteine des SDL, gefolgt von Design-Techniken zur Erkennung und Behebung von Schwachstellen in frühen Phasen des Entwicklungsprozesses.

Im Bereich der Entwicklung bietet das Training eine Übersicht über die typischen sicherheitsrelevanten Programmierfehler sowohl bei verwaltetem als auch bei nativem Code. Angriffsmethoden werden für die besprochenen Schwachstellen präsentiert, zusammen mit den zugehörigen Abwehrtechniken, alles erklärt durch eine Reihe von praktischen Übungen, die den Teilnehmern lebendiges Hacken ermöglichen. Eine Einführung in verschiedene Sicherheitstests wird durch die Demonstration der Effektivität verschiedener Testtools gefolgt. Die Teilnehmer können das Funktionieren dieser Tools durch eine Reihe von praktischen Übungen verstehen, indem sie die bereits besprochenen anfällig Code mit den Tools bearbeiten.

Teilnehmer dieses Kurses werden

Grundlegende Konzepte der Sicherheit, IT-Sicherheit und sicheren Codierens verstehen

Die wesentlichen Schritte des Microsoft Secure Development Lifecycle (SDL) kennenlernen

Sichere Design- und Entwicklungspraktiken erlernen

Sicherheitsimplementierungsprinzipien verstehen

Die Methodologie des Sicherheitstests verstehen

• Quellen und weitere Lektüren zu sicheren Codierungspraktiken erhalten

Zielgruppe

Entwickler, Manager

Die Schutz von Webanwendungen erfordert gut vorbereitete Sicherheitsexperten, die stets über aktuelle Angriffsmethoden und Trends informiert sind. Es gibt eine Vielzahl an Technologien und Umgebungen, die die komfortable Entwicklung von Webanwendungen ermöglichen. Man sollte nicht nur bewusst sein, welche Sicherheitsfragen für diese Plattformen relevant sind, sondern auch alle allgemeinen Schwachstellen kennen, die unabhängig von den verwendeten EntwicklungsTools gelten.

Der Kurs gibt einen Überblick über die anwendbaren Sicherheitslösungen in Webanwendungen mit besonderem Fokus auf das Verständnis der wichtigsten kryptografischen Lösungen. Die verschiedenen Schwachstellen von Webanwendungen werden sowohl auf der Server- (gemäß OWASP Top Ten) als auch auf der Client-Seite präsentiert, durch relevante Angriffe gezeigt und mit den empfohlenen Codierungs-Techniken und Milderungsmethoden zur Vermeidung dieser Probleme abgeschlossen. Das Thema sicheres Programmieren wird abgerundet durch eine Diskussion typischer sicherheitsrelevanter Programmierfehler im Bereich der Eingabevalidierung, der fehlerhaften Nutzung von Sicherheitsfunktionen und der Codequalität.

Das Testen spielt eine sehr wichtige Rolle bei der Gewährleistung von Sicherheit und Stabilität von Webanwendungen. Verschiedene Ansätze – vom hohen Level Auditing über Penetrationstests bis hin zu ethischem Hacken – können angewendet werden, um Schwachstellen unterschiedlicher Art zu finden. Wenn man jedoch über die leicht auffindbaren Schwachstellen hinausgehen möchte, sollte das Sicherheitstesten gut geplant und ordnungsgemäß durchgeführt werden. Denken Sie daran: Sicherheitstester sollten idealerweise alle Fehler finden, um ein System zu schützen, während es für Angreifer ausreicht, eine ausnutzbare Schwachstelle zu finden, um in das System einzudringen.

Praktische Übungen helfen dabei, die Schwachstellen von Webanwendungen, Programmierfehler und insbesondere die Milderungstechniken zu verstehen. Zusammen mit praktischen Versuchen verschiedener Testtools wie Sicherheitsscanner, Sniffer, Proxy-Server, Fuzzing-Tools bis hin zu statischen Quellcodeanalysatoren vermittelt dieser Kurs die essentiellen praktischen Kenntnisse, die bereits am nächsten Tag auf dem Arbeitsplatz angewendet werden können.

Teilnehmer dieses Kurses werden

• Grundlegende Konzepte von Sicherheit, IT-Sicherheit und sicherem Programmieren verstehen
• Schutzbedarf von Webanwendungen über OWASP Top Ten hinaus kennen und lernen, wie man sie vermeiden kann
• Client-Seiten Schwachstellen und sichere Codierungspraktiken kennenlernen
• Einen praktischen Überblick über Kryptografie erhalten
• Sicherheitstestsansätze und -methoden verstehen
• Praktische Kenntnisse im Umgang mit Sicherheitstesttechniken und -tools erlangen
• Auf den neuesten Stand gebracht werden, was aktuelle Schwachstellen in verschiedenen Plattformen, Frameworks und Bibliotheken angeht
• Quellen und Weiterleitungen zu sicheren Codierungspraktiken erhalten

Zielgruppe

Entwickler, Tester

In diesem instruktionsgeführten, live-Kurs in Schweiz lernen die Teilnehmer, wie man eine angemessene Sicherheitsstrategie entwickelt, um der DevOps-Sicherheits Herausforderung zu begegnen.

EC-Council Certified DevSecOps Engineer (ECDE) ist ein praktischer Kurs, der Fachleuten die Fähigkeiten vermittelt, Sicherheit über den gesamten DevOps-Lebenszyklus zu integrieren und sicherer Softwareentwicklung von Planung bis Deployment zu ermöglichen.

Dieser durch Trainer geführte Live-Kurs (online oder vor Ort) richtet sich an Fachleute der Software- und DevOps mit fortgeschrittenem Niveau, die Sicherheitspraktiken in CI/CD-Pipelines integrieren möchten, um sicher und konformen Code zu liefern.

Am Ende des Kurses können die Teilnehmer Folgendes:

• Die Prinzipien und Praktiken von DevSecOps verstehen.
• Jede Phase der CI/CD-Pipeline mit automatisierten Werkzeugen sichern.
• Sichere Codierungspraktiken und Sicherheitsprüfungen implementieren.
• Mit praktischen Laboren und Wiederholung auf die ECDE-Zertifizierung vorbereiten.

Kursformat

• Interaktive Vorlesungen und Diskussionen.
• Praxisorientierte Nutzung von DevSecOps-Werkzeugen in simulierten Pipelines.
• Führung durch Übungen, die sich auf sichere Entwicklung und Bereitstellung konzentrieren.

Kursanpassungsmöglichkeiten

• Um einen angepassten Kurs anhand der Arbeitsabläufe oder Werkzeugketten Ihres Teams zu beantragen, kontaktieren Sie uns bitte zur Absprache.

Dieser Kurs in Schweiz zielt darauf ab, folgendes zu unterstützen:

1. Hilfe für Entwickler, die Techniken des Schreibens sicherem Code zu meistern
2. Hilfe für Software-Testpersonen, um vor der Veröffentlichung in die Produktionsumgebung die Sicherheit der Anwendung zu testen
3. Hilfe für Software-Architekten, um die Risiken umliegende Anwendungen zu verstehen
4. Hilfe für Teamleiter, um die Sicherheitsbaselines für Entwickler festzulegen
5. Hilfe für Webmasters, um Server so einzurichten, dass Misskonfigurationen vermieden werden

Dieser Kurs behandelt die Konzepte und Prinzipien des sicheren Codierens mit Java unter Verwendung der OWASP-Methodologie für Tests. Das Open Web Application Security Project (OWASP) ist eine Online-Gemeinschaft, die frei verfügbare Artikel, Methodologien, Dokumentationen, Tools und Technologien im Bereich der Webanwendungssicherheit erstellt.

Dieser Kurs behandelt die Konzepte und Prinzipien sicheren Programmierens mit ASP.net im Rahmen der OWASP-Methode (Open Web Application Security Project) zur Sicherheitstests. OWASP ist eine Online-Community, die frei verfügbar sind Artikel, Methoden, Dokumentationen, Tools und Technologien im Bereich der Webanwendungssicherheit erstellt.

Dieser Kurs erforscht die Sicherheitsfunktionen des .NET Frameworks und erklärt, wie man Webanwendungen sichert.