IT Security Camp Remote

Das Intensivtraining für IT-Security mit Christian Schneider im exklusiven Online-Format!

Sie können nicht zu uns kommen? Kein Problem: Das Angebot der Entwickler Akademie können Sie auch digital voll ausschöpfen. Alle bewährten Vorteile bleiben Ihnen erhalten!

Das IT Security Camp für Pentesting- und DevSecOps-interessierte Entwickler*innen, Test Engineers und DevOps Engineers

Das IT Security Camp mit Christian Schneider, einem der bekanntesten deutschsprachigen IT-Security Experten, findet 2020 mehrmals statt. Im 3-tägigen Intensivseminar werden nach dem Basiswerkzeug tiefere offensive Fähigkeiten (inkl. Post-Exploitation) geübt sowie defensive Techniken zur Automation von Security-Checks in CI/CD Pipelines erlernt. Wenn Sie das Camp buchen, können Sie ein Gratis-Tutorial von Christian Schneider zusätzlich erhalten.

IHRE VORTEILE IM ÜBERBLICK

  • Sie bestimmen den Ort, an dem das Training stattfinden soll – egal ob Arbeitsplatz oder im Home-Office in gewohnter Umgebung!
  • Sie erhalten die Seminarmaterialien in elektronischer Form
  • Virtuelles Get-together für entspanntes Networking & Erfahrungsaustausch
  • Sie erhalten ein offizielles Entwickler-Akademie-Zertifikat, das Ihre Teilnahme bescheinigt
  • Darüber hinaus gibt es ein 4-stündiges Gratis-Video-Tutorial von Christian Schneider inklusive

RESSOURCEN SCHONEN

Live, bequem & günstiger

  • Zeit: keine An- oder Abreise
  • mehr Zeit: für andere Arbeit und private Angelegenheiten
  • Aufwand: effektives, mobiles Arbeiten
  • Geld: keine Reise- oder Hotelkosten
  • Mehr Geld: 15% Ersparnis im Vergleich zum Präsenztermin!

Ziele

  • Angriffsdurchführung auf Webanwendungen und Backends, um die Sicherheit Ihrer Projekte nachhaltig zu erhöhen bzw. zu testen
  • Pentesting-Wissen & Sicherheitslücken genauer einschätzen
  • Erweiterung von Build-Pipelines um Security-Checks im DevSecOps-Sinne

TEIL 1

Sie lernen die Web-Security Schwachstellen anhand der Trainingsanwendung kennen. Hier werden die Ursachen der Lücken betrachtet, sowie deren Ausnutzungsrisiken und Formen der Absicherung:

  • Injection-Schwachstellen wie SQL-Injection, HQL-Injection, NoSQL-Injection, LDAP-Injection, Command-Injection, etc. – inkl. Post-Exploitation bis zur Remote Code Execution (RCE) auf dem Datenbankserver
  • XML External Entity Attacks (XXE)
  • Path-Traversals (inkl ClassPath-Traversals)
  • Cross-Site Scripting (XSS): Reflected, Persistent, DOM-based sowie die diversen Kontexte
  • Cross-Site Request Forgery (CSRF)
  • Session Attacks wie Session Fixation, etc.
  • Authentication Bypass
  • Information Disclosures
  • Server-Side Request Forgery (SSRF)
  • Risiken und Absicherung von File-Uploads und -Downloads
  • Angriffe auf WebSockets

TEIL 2

Sie werden die Nutzung offensiverer Techniken erlernen, um tiefer in Systeme einzudringen (Post-Exploitation) sowie Rückkanäle sinnvoll aufzubauen:

  • Remote- und Reverse-Shells
  • Tunneln und Exfiltrieren von Daten
  • Ausnutzen von Blind und Super-Blind Lücken
  • In-band Signaling: Time & Denial-of-Service
  • Out-of-band Signaling: Generische DNS-Payloads
  • Java Deserialization Vulnerabilities & Attacks
  • Eskalation zu Remote Code Executions (RCEs)
  • XML Unmarshalling Angriffe
  • Angriffe auf JSON Interfaces
  • Angriffe auf den Einsatz kryptographischer Verfahren

TEIL 3

Mit Tools widmen Sie sich weiter dem Thema Schwachstellen-Scan, um die Außensicht und Innensicht einer Anwendung teil-automatisiert untersuchen zu können: Beginnend mit der dynamischen Analyse zur Laufzeit (DAST) und darüber hinausgehend werden hierzu Methoden zur statischen Code-Analyse eingesetzt (unter Nutzung von OpenSource-Werkzeugen), um tiefere Abdeckung zu erzielen.

  • Geführte Dynamische Scans (DAST) automatisieren
  • Statische Analyse (SAST) automatisieren
  • Scans mittels Bytecode Instrumentation (IAST-like) erweitern

TEIL 4

Wie kann man die Security-Scans soweit vollautomatisch laufen lassen, dass diese in Jenkins Build-Pipelines integriert werden?

  • Es werden Maßnahmen aufgezeigt, wie die teil-manuelle Analyse voll-automatisiert (z.B. im Rahmen von Buildprozessen) stattfinden kann (DevSecOps).
    – Sie werden eine CI/CD-Pipeline basierend auf der Trainingsanwendung aufgebauen und mehrstufig um dynamische, statische und Konfigurations-Scans erweitern, inkl. False Positive Handling und Reporting.
  • Über die automatisierte Auswertung der Ergebnisse können Sie Builds je nach Kritikalität der gefunden Schwachstellen instabil werden lassen oder ganz brechen lassen, um im Fall von schweren Sicherheitslücken einen automatischen Roll-out zu verhindern.
  • In den angeleiteten Übungen bauen Sie eine Ende-zu-Ende-Build-Pipeline mit passenden Security-Checks gegen eine Trainingsanwendung auf. Zum Einsatz kommen ein ganzer Strauß an Open-Source-Werkzeugen. Danach beherrschen Sie das Handwerkszeug, dies in Ihren eigenen Projekten ebenfalls durchzuführen.

An wen richtet sich das IT Security Camp?

Zielgruppe für das Security Camp sind Pentesting- und DevSecOps-interessierte Entwickler, Test Engineers und DevOps Engineers.

Technische Voraussetzungen:

  • Headset sowie eingeschaltete Webcam in guter Qualität
  • Leistungsfähiges Internet mit einem aktuellen Browser
  • Teilnahme am Technik-Check
  • Wir empfehlen, dass Sie die Rechte haben, Software auf Ihrem Computer zu installieren (bessere Ansicht)

Alle genauen Informationen finden sie hier.

Extra Angebot: Bei jedem Ticket ist ein 4-stündiges Gratis-Video-Tutorial von Christian Schneider inklusive!

Speaker (Auszug)

Tickets

 

 

  • Teilnahme am IT Security Camp
    1699 € zzgl. MwSt.
  • Teilnahme am IT Security Camp / inkl. Kollegenrabatt (ab 3 Kollegen)
    1614 € zzgl. MwSt.

Standardpreise

$ 0 / month

  • Teilnahme am IT Security Camp
    1785 € zzgl. MwSt.
  • Teilnahme am IT Security Camp / inkl. Kollegenrabatt (ab 3 Kollegen)
    1700 € zzgl. MwSt.