1. Skytale
  2. Kurse
  3. SKYTALE WEB SECURITY EXPERT

SKYTALE WEB SECURITY EXPERT

Know your enemies.

Kursübersicht WEB SECURITY EXPERT

Online-Kurs SKYTALE Web Security Expert

In der Online-Schulung "Web Security Expert" lernen Sie, wie Hacker vorgehen, welche Angriffe sie gegen Webapplikationen und Server durchführen, und wie Sie sich mit einfachen Mechanismen wirkungsvoll gegen diese Angriffe schützen können.

Alle Schulungen bei SKYTALE enthalten viele praktische Übungen am eigenen System bzw. einer virtuellen Maschine mit verwundbarer Webapplikation, um das Gelernte möglichst schnell ausprobieren und verstehen zu können.

Kursstart
1. Januar 2018 (Achtung: Begrenzte Teilnehmerzahl)
Kursdauer
5 Kursmodule, die Sie im eigenen Tempo absolvieren können.

Der übliche Kursablauf sieht 5 Monate vor, da jeweils zum Monatsersten ein neues Kursmodul freigeschaltet wird. Sie können jedoch auch davon abweichen und den Start einzelner Kursmodule vorziehen. Ebenso sind kostenfreie Pausen oder Verlängerungen jederzeit möglich.
Der Online-Kurs erfordert keine Präsenzphasen.
Zertifizierung
SKYTALE WEB SECURITY EXPERT (Details siehe unsere Seite zur Zertifizierung)
Auf Wunsch stellen wir Ihnen das Zertifikat auch als international verwendbares SKYTALE-Certificate in englischer Sprache aus.
Förderung
Der Kurs "Web Security Expert" ist von der Staatlichen Zentralstelle für Fernunterricht (ZFU) zugelassen und AZAV-zertifiziert (Akkreditierungs- und Zulassungsverordnung Arbeitsförderung). Damit ist dieser Kurs auch als Weiterbildungsmaßnahme für Arbeitssuchende voll förderfähig (Maßnahmennummer 383/20/17).
Informieren Sie sich auf unserer Übersicht der Förderungen über staatliche und eigene Fördermöglichkeiten.
Kursgebühr
2.100 EUR (420 EUR pro Kursmodul), der Kurs ist MwSt. befreit
In dieser Schulung erfahren Sie,
  • Wie Sie aus der Perspektive der "Bösen" Schwachstellen analysieren, deren Umfang und Schadensausmaß bewerten und wie Sie die Schwachstellen effektiv beheben können.
  • Was sich hinter den OWASP Top Ten Vulnerabilities verbirgt.
  • Wie Sie ganz allgemein Hacking vorbeugen und Ihre Firmenpräsenz, Website oder Online-Shop absichern.
  • Welche Schwachstellen in Session- und Authentisierungsmechanismen bestehen können und wie sich Hacker dadurch Zugang zu einer Applikation erschleichen können.
  • Wie Sie vorhandene Sicherheitsmechanismen in den eingesetzten Servern oder Frameworks effektiv nutzen.
  • Wie Hacker durch eine Firewall hindurch über eine fehlerhafte Webapplikation Ihre komplette Datenbank im internen Netz auslesen und wie man sich davor schützen kann.
  • Wie durch simple Fehler ein ganzes Berechtigungskonzept aus den Angeln gehoben wird.
  • Wie Sie typische Konfigurationsfehler von Web- und Applikationsservern oder Frameworks vermeiden.
  • Wie Sie Applikationen sicher entwickeln (Secure Coding Principles / Sichere Programmierung) und Ihren Source Code effektiv auf Fehler prüfen können.

Details finden Sie unter dem Tab "Inhalte".

 

ANMELDENINFO PDF
SKYTALE | ONLINE AKADEMIE Dozent Dipl. Inf. Max Ziegler

Dozent für WEB SECURITY

Dipl. Inf. Max Ziegler

Max Ziegler, Jahrgang 1979, hat Diplom-Informatik mit Schwerpunkt Kryptographie und Sicherheit von Netzwerken an der Universität Paderborn und am RMIT Melbourne studiert.

Als Berater bei der cirosec GmbH hat er große Unternehmen im europäischen Raum im Bereich IT- und Informations-Sicherheit unterstützt. Neben Sicherheitsüberprüfungen, Pen-Tests und Audits von Web-Applikationen, Datenbanken, Netzwerken, Betriebssystemen, Applikationsservern u.v.m. hat er Konzepte und Risikoanalysen komplexer Umgebungen durchgeführt.

Von 2010 bis 2015 war er beim Automobilzulieferer HELLA KGaA tätig und als Head of Information Security für die IT- und Informationssicherheit im Konzern verantwortlich.

Neben Trainings zur Sicherheit von Web-Applikationen, Betriebssystemen und Netzwerken hat Max Ziegler die Themen IT-Sicherheit und Netzwerke als Dozent an der Hochschule Heilbronn, der dualen Hochschule BW/Mosbach sowie der Hochschule Hamm-Lippstadt unterrichtet.

Seit Juni 2015 entwickelt und leitet Max Ziegler die SKYTALE Online Akademie für IT-Sicherheit bei der Audiocation GmbH.

Inhalte WEB SECURITY EXPERT

Online-Kurs SKYTALE Web Security Expert

Im Kurs werden aus der Perspektive eines Hackers typische Schwachstellen im Web-Umfeld (SQL-Injection, Cross Site Scripting, Command Injection, File Inclusion, Schwachstellen in der Server-Konfiguration, ...) mit vielen praktischen Übungen vorgestellt.

Wie bei einem Puzzle sammelt man im Kurs Punkte für die Lösung einzelner Übungsaufgaben. Am Ende müssen mehrere Lösungen miteinander kombiniert werden, um ans Ziel zu gelangen - ähnlich wie bei einem echten Security Audit bzw.wie bei typischen Angriffen auf Web-Applikationen.

Konkret enthält der Kurs die folgenden Themen:

1. Einleitung und Grundlagen Web-Applikationen

  • Einleitung und Grundlagen
  • Aufbau von Webapplikationen
  • Grundprinzipien und Grundwerte der IT- und Informations-Sicherheit
  • Aufbau und Nutzung von HTTP (Hypertext Transfer Protocol)
  • Grundlagen SQL (Structured Query Language)
  • Passwörter und Ihre Bedeutung
  • Informationsgewinnung über Webseiten und Server-Strukturen aus öffentlich zugänglichen Quellen
  • Überprüfung und Reduzierung der Angriffsfläche, Härten von Web-Servern

2. Informationsgewinnung und Konfigurationsschwachstellen im Webserver

  • Erkennen der Server-Infrastruktur, vorhandene Load Balancer usw. über das Internet
  • Suche nach bekannten Schwachstellen in der Server-Software
  • Auffinden versteckter Dateien und Verzeichnisse sowie gebräuchlicher Admin-Tools
  • Konfigurationsschwachstellen im Webserver, unnötig große Angriffsfläche
  • Überprüfung der Website auf gültige oder veraltete Verschlüsselungsmechanismen
  • Man-In-The-Middle Angriffe und Einführung in HSTS
  • Auffinden von Schwachstellen und Fehlern in der Webserver-Konfiguration über Suchmaschinen ("Google Hacking")
  • Manipulation des HTTP Traffics über lokale Proxy Server

3. Schwachstellen in Webapplikationen - Einführung und SQL-Injection

  • Architekturen / Grundkonzepte der Kommunikation zwischen Webapplikation und Datenbank
  • SQL-Injection Angriffe: Erkennen von Schwachstellen, Aufbau eigener Angriffs-Pattern zur Prüfung
  • Auslesen von Daten
  • Blind SQL Injection und Time based Blind SQL Injection
  • Error Based SQL Injection / Double Query SQL Injection
  • Fingerprinting des Datenbank-Servers
  • Firewall Evasion
  • Ausführen von Befehlen auf der Datenbank über die Web-Applikation
  • Speicherung von Passwörtern, Salting und Grundlagen von Hash-Funktionen
  • Nutzung von Rainbow Tables
  • Automatisierte Angriffe auf Datenbanken

4. Weitere Injection-Angriffe, Session Handling und weitere Schwachstellen

  • Auffinden und Ausnutzen von File Inclusion Schwachstellen
  • Remote File Inclusion und Umgehung klassischer Gegenmaßnahmen
  • Ausführen von Betriebssystem-Befehlen über die Web-Applikation mittels Command Injection
  • Grundlagen Session IDs und Cookies
  • Session Fixation Angriffe
  • Fehler im Berechtigungskonzept
  • Falscher Einsatz von Kryptographie
  • (Application Layer) Denial Of Service Angriffe
  • Sicherheit von Web Services

5. Angriffe auf den Client und automatisierte Web-Scanner

  • Cross Site Scripting (XSS) Angriffe sowie die Varianten "Reflected Cross Site Scripting", "Persistentes Cross Scripting" und "DOM basiertes / lokales Cross Site Scripting"
  • Gegenmaßnahmen im Browser
  • XSS Filter
  • Same Origin Policy / Cross Origin Resource Sharing (CORS)
  • Content Security Policy (CSP) mit Hashes, Zufallszahlen usw.
  • Auffinden und Ausnutzen von Cross Site Request Forgery (CSRF) Schwachstellen
  • Bedienung sowie Vor- und Nachteile automatisierter Web-Applikations-Scanner: Dynamische Überprüfung, statische Analyse von Quellcode

 

ANMELDENINFO PDF

Zielgruppe WEB SECURITY EXPERT

Online-Kurs SKYTALE Web Security Expert

Diese Online-Schulung erläutert Grundlagen häufiger Schwachstellen in Web-Applikationen und zugehörigen Server-Systemen. Darüber hinaus werden Methoden erläutert, wie Schwachstellen effizient gefunden und bewertet werden können.

Der Lehrgang wendet sich damit schwerpunktmäßig an Entwickler von Web-Applikationen und Administratoren von Web-Servern oder spezialisierten Sicherheitsmodulen wie Web Application Firewalls.

Auch für IT Verantwortliche, IT-Sicherheitsbeauftragte oder Systemadministratoren mit dem nötigen spezifischen Fachwissen bietet der Kurs technisch detaillierte Ansätze, um die eigene Infrastruktur und ihre Software wirkungsvoll gegen Angriffe von Hackern zu schützen.
Darüber hinaus können Sicherheitsberater diesen Lehrgang zur Fortbildung bzw. Vertiefung der Kenntnisse im Teilbereich „Sicherheit und Auditierung von Webapplikationen“ nutzen.


Notwendige Qualifikationen:

  • Grundlegendes Verständnis von Programmierung, Webapplikationen, SQL-Abfragen und zugehörigen Infrastrukturen. Wir erläutern aber im Kurs auch die wesentlichen Grundlagen und unterstützen, falls Sie Verständnisfragen haben sollten.
  • Kenntnisse grundlegender Linux-Befehle sind hilfreich. Auch hier helfen wir, wenn es irgendwo haken sollte.
  • Gute Deutschkenntnisse, gute Englischkenntnisse

Technische Voraussetzungen:

  • PC (Windows oder Linux) oder Mac OS mit Internetzugang (mindestens 2 Mbit)
  • Software „VMWare Player“ oder alternativ „Oracle Virtualbox“ für die praktischen Übungen (kostenlose Version erhältlich)
  • Die reinen Lerninhalte (ohne die praktischen Übungen) können auch auf einem Smartphone / Tablet PC gelesen werden.

 

ANMELDENINFO PDF
Online-Kurs SKYTALE Web Security Expert
Fragen? Beratung gewünscht?