Webanwendungssicherheit und Penetrationstests in Behörden
27. Mai 2013, Bonn
Die Notwendigkeit Server technisch vor Angriffen zu schützen ist mittlerweile in der freien Wirtschaft und der öffentlichen Verwaltung bekannt und wird von den Administratoren umgesetzt. Dem gegenüber ist die Sicherheit von Webanwendungen und damit der Schutz der dort verarbeiteten Daten in vielen Fällen unzureichend. Dies zeigen nicht zuletzt die – auch immer häufiger in der breiten Öffentlichkeit – bekannt gewordenen Datenskandale.
Fachanwendungen in der öffentlichen Verwaltung verarbeiten sehr sensitive und nicht zuletzt auch personenbezogene Daten. Auch aus Datenschutzgründen muss daher die Sicherheit der Anwendungen mehr in den Fokus der Entscheider, IT-Verantwortlichen und Entwickler rücken.
Häufig fehlt es an grundsätzlichem Verständnis der für Webanwendungen spezifischen Angriffsvektoren. Im Rahmen des Seminars können die Lücken mit den höchsten Risiken und der größten Verbreitung an praktischen Beispielen nachvollzogen werden. Aus Zeit- und Effizienzgründen werden keine Hands-On-Übungen im Workshop durchgeführt. Es werden jedoch praktische Empfehlungen gegeben, wie die Teilnehmer im Nachgang auf Basis kostenfreier Werkzeuge autark entsprechende Übungen selbst durchführen können.
IT-Sicherheitsbeauftrage, Teamleiter der Anwendungsentwicklung und Entwickler erhalten in dem Seminar einen allgemeinverständlichen und umfassenden Überblick über typische Bedrohungen und Ansätze, wie diesen konkret begegnet werden kann. Individuelle Fragestellungen werden dabei berücksichtigt.
Themenüberblick, 09:30-17:00 Uhr:
• Einführung in relevante Organisationen (OWASP, WASC) und Vorgehensweisen (Source-Code Analyse, Penetrationstests)
• Beispiele in der öffentlichen Wahrnehmung
• Die zehn häufigsten Sicherheitsrisiken bei Webanwendungen – OWASP Top 10 (u. a. SQL-Injection, Cross-Site-Scripting, CSRF, Denial-of-Service)
• Interaktive Demonstrationen zu allen Risiken
• Aufzeigen der Auswirkungen
• Passende Beispiele mit realem Bezug
• Vorstellung von Prüfwerkzeugen und Methodiken bei der Prüfung
• Kurzvorstellung des Bausteins “Webanwendungen” aus den IT-Grundschutzkatalogen
Referent:
Tobias Glemser, Geschäftsführer der Tele-Consulting security | networking | training GmbH, verfügt über langjährige Erfahrung im Bereich Sicherheitsüberprüfungen und Penetrationstests. Er ist BSI-zertifizierter Penetrationstester und Certified Ethical Hacker. Darüber hinaus ist er BSI-geprüfter Evaluator und damit berechtigt, Evaluierungen für Zertifizierungen im Rahmen der Common Criteria Compliance durchzuführen. Herr Glemser ist Autor mehrerer Fachartikel in der Zeitschrift c’t und der Fachmagazine iX, hakin9, IT-Fokus und IT-Security und ist Referent bei Seminaren und Kongressen (z. B. OWASP AppSec Germany, IT-Security, it-sa). Er hat diverse Security Advisories für selbst gefundene Schwachstellen, z. B. in Webanwendungen und VoIP-Endgeräten veröffentlicht. Herr Glemser ist Lead des German Chapters des Open Web Application Security Project (OWASP), Initiator und hauptverantwortlich für die Erstellung des OWASP Whitepapers Projektierung der Sicherheitsprüfung von Webanwendungen, Mitübersetzer der OWASP Top 10 2010, sowie Initiator der Networkingveranstaltung OWASP Stammtisch Stuttgart. Seit vielen Jahren ist Herr Glemser sowohl im Rahmen technischer Audits, als auch BSI-Grundschutzprojekten im Behördenumfeld auf Städte-, Landes- und Bundesebene tätig.
Ort:
Gustav-Stresemann-Institut
Langer Grabenweg 68, 53175 Bonn
Hinweise zur Anfahrt finden Sie unter: www.gsi-bonn.de
Gebühr:
490,- Euro zzgl. MwSt.
http://www.cyber-akademie.de/...
27. Mai 2013, Bonn
Die Notwendigkeit Server technisch vor Angriffen zu schützen ist mittlerweile in der freien Wirtschaft und der öffentlichen Verwaltung bekannt und wird von den Administratoren umgesetzt. Dem gegenüber ist die Sicherheit von Webanwendungen und damit der Schutz der dort verarbeiteten Daten in vielen Fällen unzureichend. Dies zeigen nicht zuletzt die – auch immer häufiger in der breiten Öffentlichkeit – bekannt gewordenen Datenskandale.
Fachanwendungen in der öffentlichen Verwaltung verarbeiten sehr sensitive und nicht zuletzt auch personenbezogene Daten. Auch aus Datenschutzgründen muss daher die Sicherheit der Anwendungen mehr in den Fokus der Entscheider, IT-Verantwortlichen und Entwickler rücken.
Häufig fehlt es an grundsätzlichem Verständnis der für Webanwendungen spezifischen Angriffsvektoren. Im Rahmen des Seminars können die Lücken mit den höchsten Risiken und der größten Verbreitung an praktischen Beispielen nachvollzogen werden. Aus Zeit- und Effizienzgründen werden keine Hands-On-Übungen im Workshop durchgeführt. Es werden jedoch praktische Empfehlungen gegeben, wie die Teilnehmer im Nachgang auf Basis kostenfreier Werkzeuge autark entsprechende Übungen selbst durchführen können.
IT-Sicherheitsbeauftrage, Teamleiter der Anwendungsentwicklung und Entwickler erhalten in dem Seminar einen allgemeinverständlichen und umfassenden Überblick über typische Bedrohungen und Ansätze, wie diesen konkret begegnet werden kann. Individuelle Fragestellungen werden dabei berücksichtigt.
Themenüberblick, 09:30-17:00 Uhr:
• Einführung in relevante Organisationen (OWASP, WASC) und Vorgehensweisen (Source-Code Analyse, Penetrationstests)
• Beispiele in der öffentlichen Wahrnehmung
• Die zehn häufigsten Sicherheitsrisiken bei Webanwendungen – OWASP Top 10 (u. a. SQL-Injection, Cross-Site-Scripting, CSRF, Denial-of-Service)
• Interaktive Demonstrationen zu allen Risiken
• Aufzeigen der Auswirkungen
• Passende Beispiele mit realem Bezug
• Vorstellung von Prüfwerkzeugen und Methodiken bei der Prüfung
• Kurzvorstellung des Bausteins “Webanwendungen” aus den IT-Grundschutzkatalogen
Referent:
Tobias Glemser, Geschäftsführer der Tele-Consulting security | networking | training GmbH, verfügt über langjährige Erfahrung im Bereich Sicherheitsüberprüfungen und Penetrationstests. Er ist BSI-zertifizierter Penetrationstester und Certified Ethical Hacker. Darüber hinaus ist er BSI-geprüfter Evaluator und damit berechtigt, Evaluierungen für Zertifizierungen im Rahmen der Common Criteria Compliance durchzuführen. Herr Glemser ist Autor mehrerer Fachartikel in der Zeitschrift c’t und der Fachmagazine iX, hakin9, IT-Fokus und IT-Security und ist Referent bei Seminaren und Kongressen (z. B. OWASP AppSec Germany, IT-Security, it-sa). Er hat diverse Security Advisories für selbst gefundene Schwachstellen, z. B. in Webanwendungen und VoIP-Endgeräten veröffentlicht. Herr Glemser ist Lead des German Chapters des Open Web Application Security Project (OWASP), Initiator und hauptverantwortlich für die Erstellung des OWASP Whitepapers Projektierung der Sicherheitsprüfung von Webanwendungen, Mitübersetzer der OWASP Top 10 2010, sowie Initiator der Networkingveranstaltung OWASP Stammtisch Stuttgart. Seit vielen Jahren ist Herr Glemser sowohl im Rahmen technischer Audits, als auch BSI-Grundschutzprojekten im Behördenumfeld auf Städte-, Landes- und Bundesebene tätig.
Ort:
Gustav-Stresemann-Institut
Langer Grabenweg 68, 53175 Bonn
Hinweise zur Anfahrt finden Sie unter: www.gsi-bonn.de
Gebühr:
490,- Euro zzgl. MwSt.
http://www.cyber-akademie.de/...
