Das IT Security Camp für Pentesting- und DevSecOps-interessierte Entwickler:innen, Test Engineers und DevOps Engineers
NÄCHSTE TERMINE 2022
22. – 24. AUGUST 2022
DÜSSELDORF
12. – 14. OKTOBER 2022
BERLIN
Inhalte des Camps
Teil 1
Sie lernen die Web-Security Schwachstellen anhand der Trainingsanwendung kennen. Hier werden die Ursachen der Lücken sowie deren Ausnutzungsrisiken und Formen der Absicherung betrachtet:
- Injection-Schwachstellen wie SQL-Injection, HQL-Injection, NoSQL-Injection, LDAP-Injection, Command-Injection, etc.
– inkl. Post-Exploitation bis zur Remote Code Execution (RCE) auf dem Datenbankserver - XML External Entity Attacks (XXE)
- Path-Traversals (inkl ClassPath-Traversals)
- Cross-Site Scripting (XSS): Reflected, Persistent, DOM-based sowie die diversen Kontexte
- Cross-Site Request Forgery (CSRF)
- Session Attacks wie Session Fixation, etc.
- Authentication Bypass
- Information Disclosures
- Server-Side Request Forgery (SSRF)
- Risiken und Absicherung von File-Uploads und -Downloads
- Angriffe auf WebSockets
Teil 2
Sie werden die Nutzung offensiverer Techniken erlernen, um tiefer in Systeme einzudringen (Post-Exploitation) sowie Rückkanäle sinnvoll aufzubauen:
-
- Remote- und Reverse-Shells
- Tunneln und Exfiltrieren von Daten
- Ausnutzen von Blind und Super-Blind Lücken
- In-band Signaling: Time & Denial-of-Service
- Out-of-band Signaling: Generische DNS-Payloads
- Java Deserialization Vulnerabilities & Attacks
- Eskalation zu Remote Code Executions (RCEs)
- XML Unmarshalling Angriffe
- Angriffe auf JSON Interfaces
- Angriffe auf den Einsatz kryptographischer Verfahren
Teil 3
Mit Tools widmen Sie sich weiter dem Thema Schwachstellen-Scan, um die Außensicht und Innensicht einer Anwendung teil-automatisiert untersuchen zu können. Beginnend mit der dynamischen Analyse zur Laufzeit (DAST) und darüber hinausgehend werden hierzu Methoden zur statischen Code-Analyse eingesetzt (unter Nutzung von Open-Source-Werkzeugen), um tiefere Abdeckung zu erzielen.
- Geführte Dynamische Scans (DAST) automatisieren
- Statische Analyse (SAST) automatisieren
- Scans mittels Bytecode Instrumentation (IAST-like) erweitern
Teil 4
Wie kann man die Security-Scans soweit vollautomatisch laufen lassen, dass diese in Jenkins Build-Pipelines integriert werden?
- Es werden Maßnahmen aufgezeigt, wie die teil-manuelle Analyse voll-automatisiert (z.B. im Rahmen von Buildprozessen) stattfinden kann (DevSecOps).
– Sie werden eine CI/CD-Pipeline basierend auf der Trainingsanwendung aufbauen und mehrstufig um dynamische, statische und Konfigurations-Scans erweitern, inkl. False Positive Handling und Reporting. - Über die automatisierte Auswertung der Ergebnisse können Sie Builds je nach Kritikalität der gefunden Schwachstellen instabil werden lassen oder ganz brechen lassen, um im Fall von schweren Sicherheitslücken einen automatischen Roll-out zu verhindern.
- In den angeleiteten Übungen bauen Sie eine Ende-zu-Ende-Build-Pipeline mit passenden Security-Checks gegen eine Trainingsanwendung auf. Zum Einsatz kommen ein ganzer Strauß an Open-Source-Tools. Danach beherrschen Sie das Handwerkszeug, dies in Ihren eigenen Projekten ebenfalls durchzuführen
NÄCHSTE IT-SECURITY WEITERBILDUNG 2022
Das große Trainings- und Konferenzevent für IT-Security
16. – 18. MAI 2022 MÜNCHEN
1 TAG KONFERENZ
✓ Inspirierende Sessions mit Top-Speaker:innen
✓ Hochaktuelle Themen
✓ Keynote & Night Session
✓ Get-together für Teilnehmende & Expert:innen
2 TAGE WORKSHOPS
✓ 7 Halb- und ganztägige Workshops
✓ Hoher Praxisbezug
✓ Hochkarätige Keynotes + Night Sessions
✓ Entspanntest Networking im Get-together
Ein kleiner Vorgeschmack auf das Intensivtraining
mit Christian Schneider:
Leistungen
PRÄSENZ-TERMIN
- Intensivtraining mit einem der bekanntesten deutschsprachigen IT-Security-Experten
- Begrenzung auf maximal 15 Teilnehmende
- Trainingszeiten: Tag 1: 09:30 – 17:30 Uhr, Tag 2-3: 9:00 – 17:00 Uhr
- Get-Together mit Freigetränken und Snacks für bestes Networking und Erfahrungsaustausch
- 4-stündiges Gratis-Video-Tutorial von Christian Schneider zum Thema Web App Pentesting inklusive!
- All-inclusive-Verpflegung mit Erfrischungen und Snacks in den Pausen sowie ein leckeres Mittagsbuffet
- Seminarmaterialien in elektronischer Form, Gratismagazine, kostenlose Internetzugänge u.v.m.
- Offizielles Entwickler-Akademie-Zertifikat, das Ihnen Ihre erfolgreiche Teilnahme bescheinigt und kostenloser Zugang zu entwickler.kiosk.de für ein Jahr
REMOTE-TERMIN
- Online-Intensivtraining mit einem der bekanntesten IT-Security Experten
- Trainingszeiten: Täglich 09:00 – 17:00 Uhr!
- Ortsunabhängiges Lernen mit Breakout-Räumen
- Sie bestimmen den Ort, an dem das Training stattfinden soll!
- Alle Teilnehmer:innen können vom eigenen Arbeitsplatz aus, in ihrer gewohnten Umgebung teilnehmen!
- Seminarmaterialien in elektronischer Form
- Virtuelles Get-Together für entspanntes Networking & Erfahrungsaustausch
- Offizielles Entwickler-Akademie-Zertifikat, das Ihnen Ihre erfolgreiche Teilnahme bescheinigt
- 4-stündiges Gratis-Video-Tutorial von Christian Schneider zum Thema Web App Pentesting inklusive!
Teilnehmerstimmen zu Schulungen mit Christian Schneider
STAY TUNED
Join our Newsletter
Für nur 100 € extra, erhalten Sie 1 Jahr lang einen Fullstack-Zugang zu exklusiven Online-Workshops, Tutorials und über 10.000 Artikeln auf entwickler.de. Sie sind schon Fullstack-Abonnent? Dann sichern Sie sich jetzt bis zu 25 % Rabatt auf Ihr Eventticket. Hierfür geben Sie einfach Ihre entwickler.de-ID im Checkout ein.
Erleben Sie weitere Events der Entwickler Akademie
DDD Summit
Microservices Summit
API Summit
IT Security Summit
DevOps Kubernetes Camp
DevOps Docker Camp
HTML & CSS Days
JavaScript Days
React Days
Angular Days
Software Architecture Camp
ML Summit
Delphi Code Camp
