WEBSECDAYS 2007
Grundlagen & Tools
Web Security – Einführungs-Workshop
XSS, CSRF, Exploit, Session Riding - im Web-Security-Umfeld wimmelt es von Akronymen und Fachbegriffen, die für die meisten Außenstehenden und selbst für viele Experten unverständliches Kauderwelsch sind. Dieser Workshop erklärt daher die Bedeutung der gängigen Begriffe und zeigt an praktischen, einfach nachvollziehbaren Beispielen die bekanntesten Probleme und Fehler im Umgang mit Nutzerdaten auf.
Security als Bestandteil des Entwicklungsmodells
Anwendungsentwicklung im Internet muss besonderen Anforderungen an die Sicherheit gerecht werden. Ähnlich wie Qualitätssicherung eine feste Rolle im Entwicklungsprozess eingenommen hat, muss auch die Sicherheit von Webapplikationen gezielt gestützt werden. Dies beinhaltet Risikoanalyse, Behandlung der typischen Probleme und eine systematische Absicherung über den gesamten Entwicklungsprozess.
Webservices effektiv absichern
Für die Absicherung von Webservices gibt es spezielle Techniken und Methoden. Generell ist bei der Absicherung von Applikationen zwischen herkömmlichen Anwendungen und Web-Diensten zu unterscheiden, da beide auf unterschiedliche Art und Weise kompromittiert sowie geschützt werden können. Die Session wird diverse Möglichkeiten aufzeigen, um mit standardisierten Techniken und Methoden eine Absicherung von Webservices zu gewährleisten.
Code-Analyse und typische sicherheitskritische Programmierfehler
Will man seinen Code auf Sicherheit überprüfen, so hat man zwei Möglichkeiten. Zum einen kann man eine externe Firma beauftragen, das zu tun und hierüber einen Bericht anzufertigen. Allerdings kann man dieses Projekt natürlich auch selbst in Angriff nehmen. Interessant ist dabei, dass es sich grundlegend um immer die gleichen Mechanismen zur Code-Analyse handelt - auch wenn sprachabhängig unterschiedliche Tools zum Einsatz kommen. Die grundlegenden Bausteine zur Code-Analyse und die Einsatzgebiete der dabei einsetzbaren Tools werden in dieser Session sprachübergreifend erläutert.
Schwachstellen-Scans im Web 2.0
Eine Möglichkeit für den Entwickler, Schwachstellen in Web-2.0-Anwendungen zu finden, sind spezielle Scanner. Aber Scanner sind kein Allheilmittel: Wo können sie helfen, und wo liegen ihre Grenzen? In dieser Session geht es um die Suche nach Schwachstellen allgemein und die Funktionsweise und Anwendung von Scannern im Besonderen.
Workshop: Live-Hacking & Penetration Testing
Ziel dieses Workshops wird es sein, den Besucher in der Lage zu versetzen, eine Webanwendung zu penetrieren und mit den richtigen Techniken umgehen zu können. Es wird im Theorieteil erklärt, wie XSS, XSRF sowie SQL Injection funktionieren, welche Angriffsvektoren es dazu gibt und wie sie ausgenutzt werden können. Im praktischen Teil werden die erlernten Techniken an Beispiel-Webseiten und -Anwendung getestet und umgesetzt.
Rechtsgrundlagen der Web Security
Die Session soll folgende Fragen behandeln: 1. Die zivilrechtliche Verantwortung des Entwicklers für Sicherheit: Behandelt werden die rechtlichen Grundlagen des Entwicklervertrages und die sich daraus ergebende Haftung des Entwicklers für die Einhaltung von Sicherheitsstandards, insbesondere die Fragen, inwieweit der Entwickler up-to-date sein muß, inwieweit er nachvertraglich für entstehende Sicherheitslücken haftet und ob er sich von der Haftung für Sicherheitslücken ganz oder teilweise freizeichnen kann. 2. Datenschutz: Behandelt werden die datenschutzrechtlichen Rahmenbedingungen der Web Security und die sich daraus ergebende Verantwortlichkeit des Entwicklers. 3. strafrechtliche Aspekte: Überblick über die Strafbarkeit von Angriffen und deren Verfolgung
Angriffs-Frameworks: Kenne Deinen Feind!
Wenn man den Feind schlagen will, muss man seine Waffen kennen. Der erste Schritt für den Websecurity-Verantwortlichen ist daher das Studium des gegnerischen Arsenals. Die Session klärt, woher Angreifer ihre Exploits bekommen, sofern sie sie nicht selbst entwickeln und stellt die Frameworks und Tools der Hacker vor.
