| Kurzbeschreibung (short description): |
Die Schulung JA100 Java Security mit Fokus auf Secure Coding gibt Java-Entwicklern einen umfassenden Überblick über typische in Java-Software auftretende Schwachstellen, welche Programmierfehler ihnen zugrunde liegen und wie sie von Angreifern ausgenutzt werden.
In 2 kompakten Tagen werden die wichtigsten Schwachstellenklassen von Web-Anwendungen und Unternehmens-Software unter den folgenden Aspekten besprochen:
- Was ist das zugrundeliegende Problem?
- In welchem Kontext treten die Schwachstellen üblicherweise auf?
- Wie nutzen Angreifer sie aus und wie kann man sie dauerhaft vermeiden?
- Welche Rolle spielen hierbei beliebte Frameworks wie z.B. Spring?
Das Training JA100 Java Security bringt Java-Entwickler auf das Wissens-Niveau der Angreifer und versetzt sie in die Lage, die gängigsten Problem-Muster in Java-Software schnell zu erkennen und zu beheben. Der vermittelte Stoff wird anhand von zahlreichen Real-World-Beispielen veranschaulicht.
Erfahren Sie von einem Pentesting-Offensivexperten, wie Sie in der Softwareentwicklung weg vom Silo-Denken hin zu einem ganzheitlichen Blick auf Sicherheit kommen, und auf den Punkt: das Wissen, das für eine nachhaltige Sicherheitsqualität Ihres sensiblen Codes Voraussetzung ist.
|
|
| Zielgruppe (target group): |
Das Training JA100 Java Security ist ideal geeignet für:
- Java-Entwickler
- Full-Stack-Developer
- Java Software Engineers
- Team Lead Softwareentwicklung
- Java Backend-Developer
- Java DevOps
|
|
| Voraussetzungen (requirements): |
Die Teilnehmer müssen über Entwicklungserfahrung in Java verfügen. Grundlegende Docker-Kenntnisse wären von Vorteil.
|
|
| Ziele (objectives): |
Die Teilnehmer des Trainings JA100 Java Security lernen das sichere Entwickeln von Java-Anwendungen. Mit seinem Fokus auf Secure Coding vermittelt der Workshop ein aktuelles Lagebild über die gängigsten Schwachstellen der letzten 10 Jahre in Java-Software, bringt die Teilnehmer damit auf denselben Wissensstand wie Angreifer und generiert doppelten Value: Schutz des Kundenvertrauens in Ihre Arbeit und Schutz der Ressourcen Zeit und Geld.
|
|
| Sonstiges (miscellaneous): |
Dauer (duration): 2 Tage
Preis (price): 1290,- Euro zzgl. MwSt.
Diese Schulung kann sowohl in-house als Spezial-Training für Ihr Team, als auch als Präsenzveranstaltung durchgeführt werden.
Eine Druckansicht dieses Workshops finden Sie hier.
|
|
| Termine (dates): |
Dieser Workshop findet an folgenden Terminen statt:
|
|
|
| Inhalte (agenda): |
- Einführung
- Ist Java sicherer als andere Programmiersprachen?
- Terminologie: Rückkanal, Out-of-Band, Daten-Exfiltration, Reverse Shell
- Die Bedeutung der Java-Version
- Beispiele für typische Vektoren über HTTP
- XML External Entity Injection
- Unsicherer Dateiupload in den verschiedensten Varianten
- Expression Language und Template Injection, Struts2
- Die Bedeutung der Java Reflection API
- Gegenmaßnahmen
- Einschränkung des Rückkanals
- Funktionierendes Patch-Management
- Konsequente Eingabeprüfung
- Die Schwergewichte der Java Schwachstellen
- Unsichere Deserialisierung
- Deserialisierungs-Gadgets
- Marshalling-Formate: XML, JSON, AMF und YAML
- JNDI Injection (insbesondere log4shell)
- Die Bedeutung verwundbarer Bibliotheken
- Gegenmaßnahmen
- JEP290
- Einschränkung des Rückkanals
- Funktionierendes Patch-Management
- Weitere Themen
- Das Problem der RMI Registrys
- Ungeschützte JMX-Schnittstellen
- REST-APIs
- Spring Boot Actuator
|
|
|
