Web Hacking

Das Wissen um Angriffstechniken auf Server und Software, die über das Internet zugänglich sind, ist die Grundvoraussetzung für eine erfolgreiche Verteidigung gegen Hacker. Das Seminar Web Hacking soll allen, auch ohne technischen Hintergrund, eine möglichst einfache und umfassende Einführung in das Thema Hacking und IT-Sicherheit bieten. Anhand von praktischen Beispielen, Abbildungen, Erfahrungsberichten und Übungen werden das notwendige Know-how aufgebaut und hilfreiche Werkzeuge vorgestellt, um die Vorgehensweisen von Hackern zu verstehen, die einzelnen erforderlichen Schichten kennenzulernen und diese unter Berücksichtigung der Angriffsphasen effizient zu sichern und erste Sicherheitskonzepte direkt umsetzen zu können. Das Seminar deckt alle wesentlichen Komponenten ab, die bei der Entwicklung und dem Betrieb von Anwendungen und Servern, die über das Internet erreichbar sind, eine Rolle spielen (Netzwerk-, System-/Server- und Anwendungssicherheit).

Das Web Hacking Seminar geht dabei auf alle wesentlichen Komponenten ein, die im Zusammenspiel mit Webanwendungen verbunden sind (Netzwerk-, System-/Server- und Anwendungssicherheit).

Einführung Web Hacking

• Grundlagen der IT-Sicherheit

• Gründe für unsichere Software

• Sicherheitsziele

• Sicherheitsobjekte

• Angreifer identifizieren

• Angriffsschritte

Cyber Kill Chain

• Betrachtung der 7 Phasen

• Identifikation der Angriffsziele

• Phasen eines Angriffs

Anwendungsprotokolle

• Protokolle im Web

• Spezifikationen

• Schwächen

Kryptologie

• Vorstellung der kryptographischen Varianten

• Steganografie

• Verstehen von Algorithmen und deren Arbeitsweisen

• Kryptographie vs. Kryptoanalyse

• Kerckhoffs’sche Prinzip

• Verschlüsselungsarten

• HTTPS und seine Schwächen

• Angriffe auf die Kryptographie

Authentifizierung

• Einführung

• Umgang und Sicherheitskonzepte mit und für Passwörter

• Sitzungsverwaltung

• REST und JSON Web Token (JWT)

Angriffstechniken

• Angriffe auf Cookies und Sessions

• Clickjacking

• Cross-Site-Request-Forgery (XSRF)

• Brute-Force

• HTTP Parameter Pollution

• Cross-Site-Scripting

• Injections

Schutzmaßnahmen

• Einführung

• Zero Trust Principle

• Least Machine Principle

• Least Privilege Principle

• Trust Boundary

• Threat Modeling

• Phasen der Cyber Kill Chain

• Kryptologie

• Angriffstechniken

• Informationsvalidierung

• Hardening

• Failing Securely

• Secure Logging

Autorisierung

• Horizontal vs. Vertikal

• Privilege Escalation

• Unauthorized Object Access

• Least Privilege Principle

• Direct vs. Indirect Reference

• Race Conditions

• Session Poisoning

• Mitigation

Sichere Softwarentwicklung

• Einführung

• Definition der Anforderungen

• Sichere Architektur

• Abhängigkeiten prüfen

• Secure Coding

• Security Code Review

• Sicherheitsstandards und Überprüfung mit ASVS

• Sicherheitstests und Testarten

Informieren

• Nützliche Quellen

• Nutzen und Verwendung der Quellen

Unsere Web Hacking Schulung richtet sich an Webentwickler, Webprogrammierer, Webadministratoren, Webverantwortliche, IT-Sicherheitsbeauftragte, Entscheidungsträger.

Kenntnisse in den Bereichen Webtechniken, Webentwicklung, Netzwerktechniken und Datenbanken sind von Vorteil, aber keine Voraussetzung.

Web Hacking bezieht sich auf das Ausnutzen von Sicherheitslücken in Webanwendungen und Webservern, um unbefugten Zugriff auf diese Systeme zu erlangen, Daten zu stehlen, Manipulationen vorzunehmen oder andere schädliche Aktionen auszuführen. Es ist ein Teilbereich des Cyber-Hacking, der sich speziell auf webbasierte Systeme konzentriert. Zusammenfassend lässt sich sagen, dass Web Hacking eine ernstzunehmende Bedrohung für Unternehmen und Einzelpersonen darstellt. Durch die Implementierung geeigneter Sicherheitsmaßnahmen können die Risiken jedoch erheblich reduziert werden.