Seminar: Sicherheit von Web-Applikationen, Teil 1 & 2
Stand: 17.06.2011
Dieses Seminar besteht aus zwei aufeinander aufbauenden Teilen, wobei der zweite - abhängig vom Stand der eigenen Vorkenntnisse - auch einzeln besucht werden kann:
Immer mehr Hochschulen nutzen die Möglichkeiten des Internet für die Erfüllung ihrer Aufgaben - Studierende können sich heute schon im Urlaub online für Sprachkurse, Lehrveranstaltungen oder Prüfungen anmelden und ihre Prüfungsergebnisse abrufen, es gibt Online-Bewerbung, Online-Evaluation, Online-Lernplattformen und vieles mehr.
Solche Online-Anwendungen, auch als Web-Applikationen bezeichnet, haben nicht selten Schwachstellen, die Vertraulichkeit und Integrität der Daten im System gefährden und den Webserver zum Einfallstor für Angriffe gegen andere Systeme werden lassen.
Ihre Web-Applikationen sind sicher, weil Sie SSL-Verschlüsselung und Firewalls einsetzen und weil Ihr Datenbankserver gut abgeschirmt im LAN steht? Gegen Angriffsmethoden wie Directory Traversal oder SQL Injection helfen diese Maßnahmen allerdings nicht, denn die vom Angreifer manipulierten Daten werden von der Web-Applikation selbst regulär entgegengenommen und an Datenbanken oder andere Systeme weitergereicht.
Ziel des Seminars ist es, für die besondere Gefährdung von Web-Applikationen zu sensibilisieren und die Ursachen und Folgen der typischen Schwachstellen einer Web-Applikation aufzuzeigen. Auch der Umgang mit Werkzeugen für die Analyse solcher Schwachstellen wird geübt. Die Teilnehmer sollen in die Lage versetzt werden, Risiken beim Einsatz von Web-Applikationen besser einschätzen und ggf. beim Hersteller gezielt auf Änderungen dringen zu können.
Um dieses Thema auch für Mitarbeiter mit juristischem oder kaufmännischem Hintergrund zugänglich zu machen, bieten wir ein zusätzliches Seminar an, das die notwendigen technischen Grundkenntnisse vermittelt. Diejenigen, die die notwendigen Vorkenntnisse bereits besitzen, können natürlich den zweiten Teil auch ohne Teilnahme am ersten besuchen.
Beide Seminare bestehen zu großen Teilen aus praktischen Übungen am Rechner.
Sicherheit von Webapplikationen, Teil 1: Technische Grundlagen
Was steckt eigentlich hinter diesen Online-Anwendungen? Worin besteht der Unterschied zu "normalen" HTML-Seiten? Was passiert, wenn ich Daten in ein Formular eingebe und abschicke? Wie werden die Daten von meinem PC zum Webserver transportiert? Was genau ist ein Skript?
Die Antworten auf diese und andere Fragen gehören zu den technischen Grundkenntnissen, die zum Verständnis der Schwachstellen von Web-Applikationen notwendig sind. Anhand von Präsentationen und vielen praktischen Übungen am Rechner vermittelt das Seminar:
- Aufbau und Funktionsweise von Web-Applikationen
- HTML-Grundlagen
z.B. Aufbau von HTML-Seiten, Prinzipien der Syntax, Formulare - HTTP-Grundlagen
z.B. Nachrichtenaufbau, Bedeutung ausgewählter Header, Syntax von GET- und POST-Anfragen, Web-Proxies
- Aufbau und Funktionsweise von Web-Applikationen
- HTML-Grundlagen
z.B. Aufbau von HTML-Seiten, Prinzipien der Syntax, Formulare - HTTP-Grundlagen
z.B. Nachrichtenaufbau, Bedeutung ausgewählter Header, Syntax von GET- und POST-Anfragen, Web-Proxies
Zielgruppe: | Datenschutzbeauftragte, Verantwortliche und Projektleiter für Online-Anwendungen |
---|---|
Voraussetzungen: | Keine |
Sicherheit von Web-Applikationen, Teil 2: Schwachstellen
In diesem Teil des Seminars werden verschiedene Typen und Ursachen von Schwachstellen vorgestellt. Ausgewählte Angriffstechniken werden im Detail besprochen und von den Teilnehmern anhand von speziell für diesen Zweck programmierten Beispielen erprobt.
Beispiele stammen aus den Themenkomplexen:
- Information Disclosure
Wie verschafft sich ein Angreifer Informationen über Aufbau und Funktionsweise einer Applikation? - File Disclosure
Verletzung der Vertraulichkeit durch unbefugten Zugriff auf Dateien - fehlerhafte Zugriffskontrolle
Beispiele zu Authentifizierung, Authorisierung, Session Management - SQL-Injection
- Cross Site Scripting
Außerdem werden Vorgehensweisen und Werkzeuge zur Analyse von Schwachstellen vorgestellt, mit denen die Teilnehmer die Sicherheit Ihrer eigenen Web-Applikationen überprüfen können.
Zielgruppe: | Datenschutzbeauftragte, Verantwortliche und Projektleiter für Online-Anwendungen, Web-Entwickler und -Administratoren |
---|---|
Voraussetzungen: | Verständnis für Aufbau und Funktionsweise von Web-Applikationen; Grundkenntnisse in HTML und HTTP. |