Das Intensivtraining für IT-Security
mit Christian Schneider

17. – 19. Februar 2020 | München

1. – 3. April 2020 | München

2. – 4. Juni 2020 | Düsseldorf

Jetzt anmelden

Das Intensivtraining für IT-Security
mit Christian Schneider

17. – 19. Februar 2020 | München

1. – 3. April 2020 | München

2. – 4. Juni 2020 | Düsseldorf

Jetzt anmelden

Jetzt Ticket sichern! In wenigen Tagen beginnt das IT Security Camp:

Vielen Dank an alle Teilnehmer! Das nächste IT Security Camp findet vom 17. – 19. Februar 2020 in München statt. Bleiben Sie mit unserem Newsletter auf dem Laufenden!

**Das IT Security Camp für Pentesting- und DevSecOps-interessierte Entwickler*innen, Test Engineers und DevOps Engineers**

Das IT Security Camp mit Christian Schneider, einem der bekanntesten deutschsprachigen IT-Security Experten, findet 2020 mehrmals statt. Im 3-tägigen Intensivseminar werden nach dem Basiswerkzeug tiefere offensive Fähigkeiten (inkl. Post-Exploitation) geübt sowie defensive Techniken zur Automation von Security-Checks in CI/CD Pipelines erlernt. Wenn Sie das Camp buchen, können Sie ein Gratis-Tutorial von Christian Schneider zusätzlich erhalten.

NÄCHSTE TERMINE

17. -19. FEBRUAR 2020 | MÜNCHEN

Hier anmelden

1. – 3. APRIL 2020 | MÜNCHEN

Hier anmelden

2. – 4. JUNI 2020 | DÜSSELDORF

Hier anmelden

Ziele des IT Security Camps

Inhalte des Camps

Teil 1

Sie lernen die Web-Security Schwachstellen anhand der Trainingsanwendung kennen. Hier werden die Ursachen der Lücken betrachtet, sowie deren Ausnutzungsrisiken und Formen der Absicherung:

Injection-Schwachstellen wie SQL-Injection, HQL-Injection, NoSQL-Injection, LDAP-Injection, Command-Injection, etc.
– inkl. Post-Exploitation bis zur Remote Code Execution (RCE) auf dem Datenbankserver
XML External Entity Attacks (XXE)
Path-Traversals (inkl ClassPath-Traversals)
Cross-Site Scripting (XSS): Reflected, Persistent, DOM-based sowie die diversen Kontexte
Cross-Site Request Forgery (CSRF)
Session Attacks wie Session Fixation, etc.
Authentication Bypass
Information Disclosures
Server-Side Request Forgery (SSRF)
Risiken und Absicherung von File-Uploads und -Downloads
Angriffe auf WebSockets

Teil 2

Sie werden die Nutzung offensiverer Techniken erlernen, um tiefer in Systeme einzudringen (Post-Exploitation) sowie Rückkanäle sinnvoll aufzubauen:

Remote- und Reverse-Shells
Tunneln und Exfiltrieren von Daten
Ausnutzen von Blind und Super-Blind Lücken
In-band Signaling: Time & Denial-of-Service
Out-of-band Signaling: Generische DNS-Payloads
Java Deserialization Vulnerabilities & Attacks
Eskalation zu Remote Code Executions (RCEs)
XML Unmarshalling Angriffe
Angriffe auf JSON Interfaces
Angriffe auf den Einsatz kryptographischer Verfahren

Teil 3

Mit Tools widmen Sie sich weiter dem Thema Schwachstellen-Scan, um die Außensicht und Innensicht einer Anwendung teil-automatisiert untersuchen zu können: Beginnend mit der dynamischen Analyse zur Laufzeit (DAST) und darüber hinausgehend werden hierzu Methoden zur statischen Code-Analyse eingesetzt (unter Nutzung von OpenSource-Werkzeugen), um tiefere Abdeckung zu erzielen.

Geführte Dynamische Scans (DAST) automatisieren
Statische Analyse (SAST) automatisieren
Scans mittels Bytecode Instrumentation (IAST-like) erweitern

Teil 4

Wie kann man die Security-Scans soweit vollautomatisch laufen lassen, dass diese in Jenkins Build-Pipelines integriert werden?

Es werden Maßnahmen aufgezeigt, wie die teil-manuelle Analyse voll-automatisiert (z.B. im Rahmen von Buildprozessen) stattfinden kann (DevSecOps).
– Sie werden eine CI/CD-Pipeline basierend auf der Trainingsanwendung aufgebauen und mehrstufig um dynamische, statische und Konfigurations-Scans erweitern, inkl. False Positive Handling und Reporting.
Über die automatisierte Auswertung der Ergebnisse können Sie Builds je nach Kritikalität der gefunden Schwachstellen instabil werden lassen oder ganz brechen lassen, um im Fall von schweren Sicherheitslücken einen automatischen Roll-out zu verhindern.
In den angeleiteten Übungen bauen Sie eine Ende-zu-Ende-Build-Pipeline mit passenden Security-Checks gegen eine Trainingsanwendung auf. Zum Einsatz kommen ein ganzer Strauß an Open-Source-Werkzeugen. Danach beherrschen Sie das Handwerkszeug, dies in Ihren eigenen Projekten ebenfalls durchzuführen

Ein kleiner Vorgeschmack auf das Intensivtraining
mit Christian Schneider:

An wen richtet sich das Camp?

Zielgruppe für das Security Camp sind Pentesting- und DevSecOps-interessierte Entwickler, Test Engineers und DevOps Engineers.

Technische Voraussetzungen

Bitte bringen Sie einen Laptop mit mindestens 8 GB mit.

Leistungen

Intensivtraining mit einem der bekanntesten deutschsprachigen IT-Security-Experten
Begrenzung auf maximal 15 Teilnehmer
Trainingszeiten: Tag 1: 09:30 – 17.30 Uhr, Tag 2-3: 9.00 – 17.00 Uhr
Am ersten und zweiten Abend laden wir Sie zu einem Get-Together mit Freigetränken und Snacks ein. Hier haben Sie Gelegenheit für entspanntes Networking und Erfahrungsaustausch mit dem Trainer und anderen Teilnehmern.

4-stündiges Gratis-Video-Tutorial von Christian Schneider zum Thema Web App Pentesting inklusive!
All-inclusive-Verpflegung mit Erfrischungen und Snacks in den Pausen sowie ein leckeres Mittagsbuffet.
Sie erhalten die Seminarmaterialien in elektronischer Form.
Entwickler-Akademie-Zertifikat, das Ihnen Ihre erfolgreiche Teilnahme bescheinigt.
Sie erhalten darüber hinaus Gratismagazine, kostenlose Internetzugänge u.v.m.