Profitieren Sie von unserer Erfahrung – alle Angebote auch als Online-Training verfügbar.
Vorteile im Überblick
- Praxisnahe Live-Hacking-Demonstrationen
- Flexibilität durch verschiedene Module
- Interaktive Hands-On-Übungen
- Anwendungsorientierte Best Practices
- Expertengeleitete Diskussionen
- Security Tooling
Advanced Security Training for Development Teams
Bleiben Sie Angreifern stets einen Schritt voraus!
Advanced Security Training for Developers
Um Ihr grundlegendes Security-Wissen zu vertiefen, stehen in diesem weiterführenden Security-Training verschiedene Module zur Auswahl. Erweitern Sie ihr Wissen durch praxisnahe Live-Hacking-Demonstrationen und interaktive Hands-On-Übungen.
Entdecken Sie im Modul Threat Modelling den Shift-Left-Security-Ansatz, der Sicherheit frühzeitig in den Entwicklungsprozess integriert. Wir verwenden Methoden wie STRIDE (Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service, Elevation of Privilege) zur Identifizierung von Schwachstellen. Durch praxisnahe Übungen lernen Sie, Bedrohungen zu erkennen und zu bewerten. Darüber hinaus vermitteln wir Ihnen Konzepte wie Attack Trees und Abuser Stories, um ein ganzheitliches Verständnis für Sicherheitsrisiken zu entwickeln. Am Ende dieses Trainings sind Sie in der Lage, effektive Sicherheitsmaßnahmen zu implementieren und potenzielle Bedrohungen frühzeitig zu erkennen.
Unser Web Security Modul zeichnet sich durch praxisnahe Live-Hacking-Demonstrationen, Fokussierung auf kritische Sicherheitsrisiken und interaktive Hands-On-Übungen aus. Es werden die wichtigsten Schwachstellen sowohl im Frontend als auch im Backend behandelt. Die Teilnehmenden können sicher sein, dass sie nicht nur theoretisches Wissen erwerben, sondern auch die Fähigkeiten entwickeln, um Web-Applikationen effektiv vor Cyber-Bedrohungen zu schützen.
Das Modul Application Programming Interface (API) Security zeichnet sich durch praxisnahe Anwendungen, Fokussierung auf kritische Sicherheitsrisiken, interaktive Übungen, anwendungsorientierte Best Practices und die Expertenführung aus. Dabei stehen die häufigsten Angriffsvektoren von APIs im Mittelpunkt. Die Teilnehmenden können sicher sein, dass sie nicht nur theoretisches Wissen erwerben, sondern auch die Fähigkeiten entwickeln, um APIs effektiv vor Cyber-Bedrohungen zu schützen.
Lernen Sie in unserem Modul Identity and Acess Management (IAM) die Grundlagen und Vorteile des modernen Identity Access Managements kennen. Wir stellen Ihnen die Konzepte und Typen moderner IAM-Systeme und deren gängige Anwendungsfälle vor. In praktischen Hands-On Übungen lernen Sie darüber hinaus die heute in diesem Kontext wichtigen technischen Protokolle wie OAuth 2.1 und OpenID Connect kennen. Abgerundet wird das Modul durch aktuelle Best Practices und einen Ausblick in Zukunftstechnologien in diesem Bereich.
Trainingsinhalte und Module
I. Agile Security
- Anpassung von Sicherheitsmaßnahmen an agile Entwicklungsprozesse / Integration von Sicherheit in allen Phasen des agilen Prozesses
II. Security Requirements Engineering
- Identifizierung und Definition von Sicherheitsanforderungen / Priorisierung und Integration von Sicherheitsanforderungen in den Entwicklungszyklus
III. OWASP ASVS (Application Security Verification Standard)
- Verständnis und Anwendung der OWASP ASVS-Richtlinien / Gewährleistung von Sicherheitsstandards gemäß den OWASP ASVS-Vorgaben
IV. Security in Refinement
- Berücksichtigung von Sicherheitsaspekten während der Anforderungserfassung und -verfeinerung / Identifizierung von potenziellen Sicherheitslücken in frühen Entwicklungsphasen
V. Threat Modeling & Attack Trees
- Durchführung von Threat-Modelling-Session zur Identifizierung potenzieller Bedrohungen
VI. Attack Trees & AbUser Stories
- Erstellung von Attack Trees zur Visualisierung von Angriffsszenarien und Schwachstellen
- Vorstellung von AbUser Stories zur Betrachtung von Angriffsszenarien aus der Perspektive des Angreifers
- Analyse von potenziellen Angriffen und deren Auswirkungen auf das System
I. Einführung in das Websecurity-Training
- Überblick über die Bedeutung von Websecurity und die Auswirkungen von unsicheren Webanwendungen
- Vorstellung des OWASP (Open Web Application Security Project) und der OWASP Top 10
II. OWASP Top 10: Ursachen und Risiken
- Detailierte Erklärung der OWASP Top 10 Sicherheitsrisiken
- Ursachen und potenzielle Auswirkungen jeder Sicherheitslücke
- Präsentation von Fallstudien und realen Angriffsszenarien, um die Relevanz zu verdeutlichen
III. Live-Hacking mit dem OWASP Juice Shop
- Einführung in den OWASP Juice Shop als eine unsichere Webanwendung
- Praktische Demonstration von Live-Hacking-Szenarien anhand der OWASP Top 10
- Interaktive Teilnahme der Teilnehmenden, um die Angriffe zu verstehen und zu analysieren
IV. Hands-On-Übungen
- Installation des OWASP Juice Shops für die Teilnehmenden
- Durchführung von praxisnahen Übungen, um Schwachstellen zu identifizieren
- Diskussion und Analyse der gefundenen Sicherheitslücken
V. Vermeidung von Schwachstellen: Best Practices und Tipps
- Vorstellung bewährter Methoden zur Vermeidung der OWASP Top 10 Sicherheitsrisiken
- Code-Review und sichere Entwicklungstechniken
- Einsatz von Web Application Firewalls (WAF) und anderen Sicherheitsmechanismen
VI. Frage- und Antwortsession
- Gelegenheit für die Teilnehmenden, Fragen zu stellen und ihre Erfahrungen zu teilen
- Diskussion über bewährte Sicherheitspraktiken in Webanwendungen
I. Einführung in das API-Security-Training
- Überblick über die Bedeutung von API-Security und die Auswirkungen von unsicheren APIs
- Vorstellung des OWASP (Open Web Application Security Project) und der OWASP API Top 10
II. OWASP API Top 10: Ursachen und Risiken
- Detailierte Erläuterung der OWASP API Top 10 Sicherheitsrisiken
- Ursachen und potenzielle Auswirkungen jeder Sicherheitslücke
- Präsentation von Fallstudien und realen Angriffsszenarien, um die Relevanz zu verdeutlichen
III. Live-Hacking mit der OWASP completely ridiculous API
- Einführung in die OWASP completely ridiculous API als eine unsichere Webanwendung/API
- Praktische Demonstration von Live-Hacking-Szenarien anhand der OWASP API Top 10
- Interaktive Teilnahme der Teilnehmenden, um die Angriffe zu verstehen und zu analysieren
IV. Hands-On-Übungen
- Installation der OWASP completely ridiculous API für die Teilnehmenden
- Durchführung von praxisnahen Übungen, um Schwachstellen zu identifizieren
- Nutzung von Tools wie z.B. Zed Attack Proxy (ZAP) und jwt_tool
- Diskussion und Analyse der gefundenen Sicherheitslücken
V. Vermeidung von Schwachstellen: Best Practices und Tipps
- Vorstellung bewährter Methoden zur Vermeidung der OWASP API Top 10 Sicherheitsrisiken
- Code-Review und sichere Entwicklungstechniken
- Einsatz von Autorisierungsmodellen, Rate-Limitern und anderen Sicherheitsmechanismen
VI. Frage- und Antwortsession
- Gelegenheit für die Teilnehmenden, Fragen zu stellen und ihre Erfahrungen zu teilen
- Diskussion über bewährte Sicherheitspraktiken in APIs
I. Einführung in IAM
- Grundlagen von IAM und digitaler Identitäten
- Wichtigkeit von IAM im Kontext moderner Architekturen und Compliance
- Überblick über IAM-Lösungen und Standards
II. Grundlagen von OAuth 2.1
- OAuth 2.1 Protokollfluss
- OAuth 2.1 Grant-Typen: Authorization Code (PKCE) und Client Credentials
- Refresh Tokens und Scopes
- Sicherheitsbetrachtungen und Best Practices
III. Einführung in OpenID Connect (OIDC)
- Unterschiede zwischen OAuth 2.0 und OpenID Connect
- Identitäts-Token und Userinfo-Endpunkt
- OpenID Connect Flows: Authorization Code Flow und Hybrid Flow
- Sicherheitsbetrachtungen und Best Practices
IV. Hands-On-Übungen
- Praktische Übungen zu den Grant-Typen Authorization Code und Client Credentials im OAuth 2.1 bzw. OpenID Connect Mode
- Implementierung eines OAuth/OIDC Resource Servers in Java
- Implementierung eines OAuth/OIDC Clients in Java
V. Ausblick in IAM Zukunftstechnologien
- Vorstellung dezentralisierter Identitäten und Verifiable Credentials
- Praktisches Anwendungsbeispiel: eIDAS
VI. Frage- und Antwortsession
- Gelegenheit für die Teilnehmenden, Fragen zu stellen und ihre Erfahrungen zu teilen
- Diskussion über verschiedene Szenarien und architekturen
Dauer des Trainings
Trainingsdauer: 1 Tag
6h Training: 09.00-15.00 Uhr
8h Training: 09.00-17.00 Uhr
Zielgruppe
Professional
Dieses Training wird allen empfohlen, die die Sicherheit im gesamten Software-Lebenszyklus signifikant erhöhen wollen und bereits über ein grundlegendes Verständnis der Security-Themen verfügen:
- Entwickler:innen
- Architekt:innen
- Product Owner
- Requirements Engineering
- Scrum Master
- Projektleiter:innen
Lernen Sie fortgeschrittene Konzepte von Security kennen. Schützen Sie ihre Projekte von Anfang an indem Sie fortgeschrittenes Wissen über Security anwenden.
Sollten Sie ein grundlegendes Training als Einstieg in die Security-Themen bevorzugen so empfehlen wir Ihnen unser Security Training for Development Teams für die Zielgruppe „Beginner“.
Teilnahmegebühr
Die Teilnahmegebühr für alle Module beträgt 1.790€ zzgl. MwSt. inklusive Trainingsunterlagen und Verpflegung während der Schulung. (Verpflegung gilt nur für Präsenz-Termine)
Die Buchung einzelner Module ist möglich:
- Die Teilnahmegebühr für Modul 1: Threat Modelling beträgt 490 € zzgl. MwSt. inklusive Trainingssunterlagen.
- Die Teilnahmegebühr für Modul 2: Web Security beträgt 590 € zzgl. MwSt. inklusive Trainingssunterlagen.
- Die Teilnahmegebühr für Modul 3: API Security beträgt 590 € zzgl. MwSt. inklusive Trainingssunterlagen.
- Die Teilnahmegebühr für Modul 4: Identity and Access Management (IAM) beträgt 490 € zzgl. MwSt. inklusive Trainingssunterlagen.
Zudem erstellen wir für Sie auf Anfrage gerne Teilnahmebescheinigungen.
Bei Anmeldungen 30 Tage vor Kursbeginn können wir Ihnen einen Frühbucherrabatt in Höhe von 10% gewähren. Wenn Sie mehr als einen Teilnehmenden anmelden wollen, können wir Ihnen zudem attraktive Gruppenrabatte anbieten.
Unsere Trainer:innen
Andreas Falk
Senior Managing Consultant