Web Hacking

Einführung

• Grundlagen der IT-Sicherheit
• Gründe für unsichere Software
• Sicherheitsziele
• Sicherheitsobjekte
• Angreifer identifizieren
• Angriffsschritte

Cyber Kill Chain

• Betrachtung der 7 Phasen
• Identifikation der Angriffsziele
• Phasen eines Angriffs

Anwendungsprotokolle

• Protokolle im Web
• Spezifikationen
• Schwächen

Kryptologie

• Vorstellung der kryptographischen Varianten
• Steganografie
• Verstehen von Algorithmen und deren Arbeitsweisen
• Kryptographie vs. Kryptoanalyse
• Kerckhoffs’sche Prinzip
• Verschlüsselungsarten
• HTTPS und seine Schwächen
• Angriffe auf die Kryptographie

Authentifizierung

• Einführung
• Umgang und Sicherheitskonzepte mit und für Passwörter
• Sitzungsverwaltung
• REST und JSON Web Token (JWT)

Angriffstechniken

• Angriffe auf Cookies und Sessions
• Clickjacking
• Cross-Site-Request-Forgery (XSRF)
• Brute-Force
• HTTP Parameter Pollution
• Cross-Site-Scripting
• Injections

Schutzmaßnahmen

• Einführung
• Zero Trust Principle
• Least Machine Principle
• Least Privilege Principle
• Trust Boundary
• Threat Modeling
• Phasen der Cyber Kill Chain
• Kryptologie
• Angriffstechniken
• Informationsvalidierung
• Hardening
• Failing Securely
• Secure Logging

Autorisierung

• Horizontal vs. Vertikal
• Privilege Escalation
• Unauthorized Object Access
• Least Privilege Principle
• Direct vs. Indirect Reference
• Race Conditions
• Session Poisoning
• Mitigation

Sichere Softwarentwicklung

• Einführung
• Definition der Anforderungen
• Sichere Architektur
• Abhängigkeiten prüfen
• Secure Coding
• Security Code Review
• Sicherheitsstandards und Überprüfung mit ASVS
• Sicherheitstests und Testarten

Informieren

• Nützliche Quellen
• Nutzen und Verwendung der Quellen