Das hands-on IT Security Camp
für Pentesting- und DevSecOps

Erfahren Sie alles über aktuelle
IT Security Schwachstellen und Lösungen

Das hands-on IT Security Camp für Pentesting- und DevSecOps

Erfahren Sie alles über aktuelle IT Security Schwachstellen und Lösungen

Das IT Security Camp mit Christian Schneider, einem der bekanntesten deutschsprachigen IT Security Experten, findet mehrmals im Jahr statt. Im 3-tägigen Intensivseminar üben Sie nach dem Basiswerkzeug tiefere offensive Fähigkeiten (inkl. Post-Exploitation) und erlernen defensive Techniken zur Automation von Security-Checks in CI/CD Pipelines. Sie erfahren alles rund um das hochaktuelle Thema: DevSecOps, führen Cloud-Security-Checks durch und befassen sich mit den Container-Platform-Reviews.

Themenüberblick

Themenüberblick

Angriffsdurchführung auf Webanwendungen und Backends, um die Sicherheit Ihrer Projekte nachhaltig zu erhöhen bzw. zu testen. Pentesting-Wissen & Sicherheitslücken genauer einschätzen Erweiterung von Build-Pipelines um Security-Checks im DevSecOps-Sinne

DAS ERWARTET SIE:

Alle Trainings-Inhalte auf einem Blick

TEIL 1: Security Schwachstellen

Sie lernen die Web-Security Schwachstellen anhand der Trainingsanwendung kennen. Hier werden die Ursachen der Lücken sowie deren Ausnutzungsrisiken und Formen der Absicherung betrachtet:

  • Injection-Schwachstellen wie SQL-Injection, HQL-Injection, NoSQL-Injection, etc.
    – inkl. Post-Exploitation bis zur Remote Code Execution (RCE) auf dem Datenbankserver
  • XML External Entity Attacks (XXE)
  • Path-Traversals (inkl ClassPath-Traversals)
  • Cross-Site Scripting (XSS) und Cross-Site Request Forgery (CSRF)
  • Session Attacks wie Session Fixation, etc.
  • Authentication Bypass und Information Disclosures
  • Server-Side Request Forgery (SSRF) und Angriffe auf WebSockets

 

TEIL 2: offensive Techniken

 

Sie befassen sich mit der Nutzung offensiver Techniken, um tiefer in Systeme einzudringen und Rückkanäle sinnvoll aufzubauen:

  • Remote- und Reverse-Shells
  • Tunneln und Exfiltrieren von Daten
  • Ausnutzen von Blind und Super-Blind Lücken
  • In-band Signaling: Time & Denial-of-Service
  • Out-of-band Signaling: Generische DNS-Payloads
  • Java Deserialization Vulnerabilities & Attacks
  • Eskalation zu Remote Code Executions (RCEs)
  • Angriffe XML Unmarshalling und auf JSON Interfaces 

TEIL 3: Scans

Mit Tools widmen Sie sich weiter dem Thema Schwachstellen-Scan, um die Außensicht und Innensicht einer Anwendung teil-automatisiert untersuchen zu können.

Beginnend mit der dynamischen Analyse zur Laufzeit (DAST) und darüber hinausgehend, setzen Sie Methoden zur statischen Code-Analyse unter Nutzung von Open-Source-Werkzeugen ein, um tiefere Abdeckung zu erzielen.

  • Geführte Dynamische Scans (DAST) Statische Analyse (SAST) automatisieren
  • Scans mittels Bytecode Instrumentation (IAST-like) erweitern

 

TEIL 4: Pipelines

 

Wie kann man die Security-Scans soweit vollautomatisch laufen lassen, dass diese in Jenkins Build-Pipelines integriert werden?

  • Maßnahmen, um teil-manuelle Analysen voll-automatisiert laufen zu lassen (DevSecOps).
  • Aufbau einer CI/CD-Pipeline und Erweiterung um dynamische, statische und Konfigurations-Scans
  • Bau einer Ende-zu-Ende-Build-Pipeline mit passenden Security-Checks mit Einsatz unterschiedlicher Open-Source-Tools

Über den Trainer

„Ich habe viel gelernt und werde versuchen ein paar Dinge im Unternehmen anzugehen.“

Christian Schneider ist seit mehr als 20 Jahren als freiberuflicher Whitehat Hacker und Trainer mit dem Themenschwerpunkt IT Security unterwegs. Er berät DAX-Konzerne und mittelständische Unternehmen im Bereich der sicheren Softwareentwicklung durch Security Architecture Consulting und Penetrationtesting.

Ein kleiner Vorgeschmack auf das Training:

Das sagen unsere Teilnehmer:innen zum Trainer

Tickets für 2024 jetzt online buchen

✔️ Intensivtraining mit einem der bekanntesten deutschsprachigen IT Security-Experten
✔️ Seminarmaterialien in elektronischer Form und Gratismagazine
✔️ All-inclusive-Verpflegung mit Erfrischungen und Snacks vor Ort
✔️ Offizielles Entwickler-Akademie-Zertifikat für Ihre erfolgreiche Teilnahme
✔️ 8 h Power Workshop pro Tag für maximal 15 Teilnehmer:innen vor Ort

15. – 17. April 2024
Berlin & online

Jetzt anmelden

3. – 5. Juni 2024
Düsseldorf & online

Jetzt anmelden

16. – 18. September 2024
Berlin & Online

Jetzt anmelden

IT Security Schulungen individuell & praxisnah

Mit Individuellen Inhouse-Schulung können sich Ihre Mitarbeiter:innen unternehmensnah weiterbilden, maßgeschneidert an betriebliche Bedürfnisse und interne Rahmenbedingungen. Steigern Sie Ihre IT Security-Standards und zeigen noch mehr Kompetenz gegenüber potentiellen und Bestandskunden!

  • Maßgeschneidertes Training für Ihr Unternehmen

  • Angepasst auf Ihre Herausforderungen

Unverbindlich kontaktieren

Erleben Sie weitere Events der entwickler.de Akademie

Präsentiert von

Medienpartner

X
Keine Infos mehr verpassen!
Präsentiert von
Medienpartner