Kursüberblick
Web-Hacking - Praktischer Workshop in einer Laborumgebung
Zielgruppe
Systemverwalter und Entwickler von Webanwendungen, Penetrationstester
Voraussetzungen
Gute Netzwerk- und Betriebssystemkenntnisse, speziell von Linux sind vorteilhaft. Grundlegende Kenntnis der Arbeits- und Funktionsweise, sowie der Administration von Webservern.
Kursziele
Aufgrund der grossen Bedeutung von Webanwendungen soll der Teilnehmer einen umfassenden Überblick über die typischen Schwächen von Webanwendungen erhalten.
Dabei lernt der Teilnehmer weit verbreitete Vorgehensweisen der Angreifer kennen und ist damit auch in der Lage, eigene Web-basierende Applikationen abzusichern.
Neben kostenlosen Werkzeugen zur Durchführung von Penetrationstests von Webanwendungen lernt der Teilnehmer auch kommerzielle Tools kennen und anwenden.
Kursinhalt
Anhand von verwundbaren Webapplikationen werden typische Schwachstellen vorgestellt und systematisiert. Werkzeuge zum Ausnutzen dieser Schwächen werden vorgestellt und auch in einer Laborumgebung praktisch eingesetzt. Dies versetzt den Teilnehmer in die Lage, Schwächen bei eigenen Webanwendungen aufzudecken und auch zu beseitigen.
Einführung
- Verschlüsselung und Zertifikate
- Webserver und Module
- Ausgangssituation
- Entwicklungsgeschichte
Typische Schwachstellen
- Web-Sicherheit bis dato
- OWASP Top Ten
Vorgehen der Angreifer
- Footprinting
- Discovery und Scanning
- Tools
- Web-Spidering
Exploitation
- Umgehen clientseitiger Kontrollen
- Angriffe auf die Authentisierung
- Angriffe auf das Session Management
- Angriffe auf Zugriffkontrollen
Escalation und Pillage
Werkzeuge
- Vulnerability Scanner
- Web Vulnerability Scanner
- Proxies
- Exploitation Frameworks
Praxis
- Einsatz verschiedener Werkzeuge
- Durchführung von XSS, CSRF, Injections, ...
Verteidigungsmöglichkeiten
- Einsatz von Reverse Proxies
- Einsatz von Web Application Firewalls
- Einsatz von Intrusion Detection und Prevention
- Vermeiden von Programmierfehlern
- Automatisierte Analyse des Quelltextes