JETZT anmelden und vom Frühbucher- und Teamrabatt profitieren!

Psst! Hier ist es auch sicher: IT Security Summit 2022 – Know-how zu API-, Full Stack, Kubernetes-Security u.v.m.!

Das Intensivtraining für IT-Security
mit Christian Schneider

26. – 28. Juni 2023 | München & online

28. – 30. August 2023 | Berlin & online

Jetzt anmelden

Das Intensivtraining für IT-Security
mit Christian Schneider

26. – 28. Juni 2023 | München & online

28. – 30. August 2023 | Berlin & online

Jetzt anmelden

Jetzt Ticket sichern! In wenigen Tagen beginnt das IT Security Camp:

Vielen Dank an alle Teilnehmer! Das nächste IT Security Camp findet vom 17. – 19. Februar 2020 in München statt. Bleiben Sie mit unserem Newsletter auf dem Laufenden!

Das IT Security Camp für Pentesting- und DevSecOps-interessierte Entwickler:innen, Test Engineers und DevOps Engineers

Das IT Security Camp mit Christian Schneider, einem der bekanntesten deutschsprachigen IT-Security Experten, findet 2023 mehrmals statt. Im 3-tägigen Intensivseminar üben Sie nach dem Basiswerkzeug tiefere offensive Fähigkeiten (inkl. Post-Exploitation) und erlernen defensive Techniken zur Automation von Security-Checks in CI/CD Pipelines. Sie erfahren alles rund um das hochaktuelle Thema: DevSecOps, führen Cloud-Security-Checks durch und befassen sich mit den Container-Platform-Reviews.

NÄCHSTE TERMINE

26. – 28. JUNI 2023
MUENCHEN & ONLINE

Hier anmelden

28. – 30. AUGUST 2023
BERLIN & ONLINE

Hier anmelden

Themenüberblick

Ausführliche Trainingsinhalte

Teil 1

Sie lernen die Web-Security Schwachstellen anhand der Trainingsanwendung kennen. Hier werden die Ursachen der Lücken sowie deren Ausnutzungsrisiken und Formen der Absicherung betrachtet:

Injection-Schwachstellen wie SQL-Injection, HQL-Injection, NoSQL-Injection, LDAP-Injection, Command-Injection, etc.
– inkl. Post-Exploitation bis zur Remote Code Execution (RCE) auf dem Datenbankserver
XML External Entity Attacks (XXE)
Path-Traversals (inkl ClassPath-Traversals)
Cross-Site Scripting (XSS): Reflected, Persistent, DOM-based sowie die diversen Kontexte
Cross-Site Request Forgery (CSRF)
Session Attacks wie Session Fixation, etc.
Authentication Bypass
Information Disclosures
Server-Side Request Forgery (SSRF)
Risiken und Absicherung von File-Uploads und -Downloads
Angriffe auf WebSockets

Teil 2

Sie werden die Nutzung offensiverer Techniken erlernen, um tiefer in Systeme einzudringen (Post-Exploitation) sowie Rückkanäle sinnvoll aufzubauen:

- Remote- und Reverse-Shells

Tunneln und Exfiltrieren von Daten
Ausnutzen von Blind und Super-Blind Lücken
In-band Signaling: Time & Denial-of-Service
Out-of-band Signaling: Generische DNS-Payloads
Java Deserialization Vulnerabilities & Attacks
Eskalation zu Remote Code Executions (RCEs)
XML Unmarshalling Angriffe
Angriffe auf JSON Interfaces
Angriffe auf den Einsatz kryptographischer Verfahren

Teil 3

Mit Tools widmen Sie sich weiter dem Thema Schwachstellen-Scan, um die Außensicht und Innensicht einer Anwendung teil-automatisiert untersuchen zu können. Beginnend mit der dynamischen Analyse zur Laufzeit (DAST) und darüber hinausgehend werden hierzu Methoden zur statischen Code-Analyse eingesetzt (unter Nutzung von Open-Source-Werkzeugen), um tiefere Abdeckung zu erzielen.

Geführte Dynamische Scans (DAST) automatisieren
Statische Analyse (SAST) automatisieren
Scans mittels Bytecode Instrumentation (IAST-like) erweitern

Teil 4

Wie kann man die Security-Scans soweit vollautomatisch laufen lassen, dass diese in Jenkins Build-Pipelines integriert werden?

Es werden Maßnahmen aufgezeigt, wie die teil-manuelle Analyse voll-automatisiert (z.B. im Rahmen von Buildprozessen) stattfinden kann (DevSecOps).
– Sie werden eine CI/CD-Pipeline basierend auf der Trainingsanwendung aufbauen und mehrstufig um dynamische, statische und Konfigurations-Scans erweitern, inkl. False Positive Handling und Reporting.
Über die automatisierte Auswertung der Ergebnisse können Sie Builds je nach Kritikalität der gefunden Schwachstellen instabil werden lassen oder ganz brechen lassen, um im Fall von schweren Sicherheitslücken einen automatischen Roll-out zu verhindern.
In den angeleiteten Übungen bauen Sie eine Ende-zu-Ende-Build-Pipeline mit passenden Security-Checks gegen eine Trainingsanwendung auf. Zum Einsatz kommen ein ganzer Strauß an Open-Source-Tools. Danach beherrschen Sie das Handwerkszeug, dies in Ihren eigenen Projekten ebenfalls durchzuführen

NÄCHSTE IT-SECURITY WEITERBILDUNG 2022

Das große Trainings- und Konferenzevent für IT-Security

16. – 18. MAI 2022 MÜNCHEN

Zur Website

1 TAG KONFERENZ

✓ Inspirierende Sessions mit Top-Speaker:innen
✓ Hochaktuelle Themen
✓ Keynote & Night Session
✓ Get-together für Teilnehmende & Expert:innen

2 TAGE WORKSHOPS

✓ 7 Halb- und ganztägige Workshops
✓ Hoher Praxisbezug
✓ Hochkarätige Keynotes + Night Sessions
✓ Entspanntest Networking im Get-together

→ Tickets buchen!

→ Im Programm stöbern!

Ein kleiner Vorgeschmack auf das Training:

Die Zielgruppe sind Sie:

Pentesting- und DevSecOps-interessierte Entwickler:innen
Test Engineers und DevOps Engineers

Technische Voraussetzungen

Laptop mit mindestens 8 GB
online:
- Headset und eingeschaltete Webcam in guter Qualität
- Leistungsfähiges Internet mit aktuellem Browser
- Zoom

Leistungen

PRÄSENZ-TERMIN

Intensivtraining mit einem der bekanntesten deutschsprachigen IT-Security-Experten
Begrenzung auf maximal 15 Teilnehmende
Trainingszeiten: Tag 1: 09:30 – 17:30 Uhr, Tag 2-3: 9:00 – 17:00 Uhr
Get-Together mit Freigetränken und Snacks für bestes Networking und Erfahrungsaustausch
All-inclusive-Verpflegung mit Erfrischungen und Snacks in den Pausen sowie ein leckeres Mittagsbuffet
Seminarmaterialien in elektronischer Form, Gratismagazine u.v.m.
Offizielles Entwickler-Akademie-Zertifikat, das Ihnen Ihre erfolgreiche Teilnahme bescheinigt

ONLINE-TERMIN

Online-Intensivtraining mit einem der bekanntesten IT-Security Experten
Trainingszeiten: Täglich 09:00 – 17:00 Uhr
Ortsunabhängiges Lernen mit Breakout-Räumen
Alle Teilnehmer:innen können vom eigenen Arbeitsplatz aus, in ihrer gewohnten Umgebung teilnehmen
Seminarmaterialien in elektronischer Form
Offizielles Entwickler-Akademie-Zertifikat, das Ihnen Ihre erfolgreiche Teilnahme bescheinigt

Teilnehmerstimmen zu Schulungen mit Christian Schneider

Mehr IT-Security – Mehr Know-how

Auf dem IT Security Summit können Sie weitere bekannte IT-Security-Profis live erleben!
Das große Trainingsevent findet vom 22. bis 24. Mai 2023 in Berlin statt und liefert geballtes Know-how zu aktuellen Trends und moderne Security-Standards rund um DevSecOps, Infrastruktur und Kubernetes sowie Web- und API-Security.
Hier erfahren Sie mehr!

Mehr von Christian Schneider, mehr IT-Security & mehr Know-how!

Auf dem nächsten IT Security Summit können Sie Christian Schneider als Program Chair und weitere bekannte IT-Security-Profis wieder live erleben! Das große Trainings- und Konferenzevent findet vom 16. bis 18. Mai 2022 in München statt und liefert geballtes Know-how rund um hochaktuelle Themen wie: API-, Full Stack, Cloud-Security, mTLS, Authentifizierung und Autorisierung im Service Mesh, Endpoint-Sicherheit u.v.m.! Unser Buchungstipp: Sichern Sie sich Ihre Tickets bis zum 14. April und sparen bis zu 200 € pro Teilnahme. Hier erfahren Sie mehr!

Verpasse keine News & Updates – Folge dem IT Security Camp auf Twitter!

STAY TUNED
Join our Newsletter

Präsentiert von

Veranstalter

Medienpartner

Für nur 100 € extra, erhalten Sie 1 Jahr lang einen Fullstack-Zugang zu exklusiven Online-Workshops, Tutorials und über 10.000 Artikeln auf entwickler.de. Sie sind schon Fullstack-Abonnent? Dann sichern Sie sich jetzt bis zu 25 % Rabatt auf Ihr Eventticket. Hierfür geben Sie einfach Ihre entwickler.de-ID im Checkout ein.