Web-Security 101 für Entwickler

Entwickler sollen am besten nicht nur fehlerfreie, sondern auch sichere Software schreiben - nur wie? Gemäß dem Motto, dass man Probleme nur dann vermeiden kann, wenn man sich ihrer bewusst ist und ihre Ursache kennt, werden die häufigsten Security-Probleme bei der Entwicklung von Webanwendungen sowie Möglichkeiten zur Vermeidung vorgestellt:

* Was ist eine SQL Injection?
* Was ist Cross-Site Scripting?
* Probleme Login- und Session-Management
* Was ist Cross-Site Request Forgery?

Vortrag, Demos und Übungen werden sich abwechseln. Auch werden wir in die Perspektive des Angreifers wechseln und versuchen, die vorgestellten Probleme in einer anfälligen Demo-Anwendung selbst zu finden.

Vorkenntnisse

Grundlagen des Web bzw. der Webprogrammierung. Bezüglich Security sind keinerlei Vorkenntnisse erforderlich, es geht hier explizit um Grundlagen.

Lernziele

* Erkennen der genannten Probleme und Wissen über deren Konsequenzen.
* Vermeidung der Probleme durch richtige Wahl von Bibliotheken (bzw. deren Konfiguration) oder geeignete Maßnahmen im eigenen Code.

 

Agenda

ab 9:00 Uhr Registrierung und Begrüßungskaffee

10:00 Uhr Beginn

12:00 - 13:00 Uhr Mittagspause

14:30 - 14:45 Uhr Kaffeepause

16:15 - 16:30 Uhr Kaffeepause

ca. 18.00 Uhr Ende

 

Technische Anforderungen:

Für die Übungen wird ein eigener Laptop benötigt. Die Teilnehmenden müssen über ausreichend Rechte verfügen, um eine neue WLAN-Verbindung einrichten zu können. Innerhalb dieses WLANs wird sich lokal ein Rechner befinden, auf dem Demo- und Übungsanwendungen laufen. Diesen müssen Teilnehmende mit ihrem Laptop erreichen können. Es darf also kein "Zwangs-VPN" oder "Zwangs-Proxy" geben.

Teilnehmende sollen außerdem vorab eine aktuelle Version des Firefox-Browsers (reguläre Installation oder Firefox Portable) sowie den OWASP ZAP  installieren.

Speaker

 

Dr. Stefan Schlott
Dr. Stefan Schlott ist Advisory Consultant bei der Firma BeOne Stuttgart GmbH und betreut dort die Schwerpunkte Java-Entwicklung, Security sowie das breite Feld der verschiedenen Webtechnologien und -architekturen. In seiner Freizeit ist er als Dozent an der Dualen Hochschule Baden-Württemberg aktiv. Er begeistert sich für funktionale Programmierung und moderne Sprachen wie Scala und Rust.

Gold-Sponsoren

adesso
Deloitte.
e.solutions

Silber-Sponsoren

codecentric
ISO-Gruppe
INNOQ
Nürnberger Versicherung

Herbstcampus-Newsletter

Sie möchten über den Herbstcampus
auf dem Laufenden gehalten werden?

 

Anmelden