Zum Inhalt springen

Secure Coding mit Java EE

Dieser Kurs vermittelt Softwareentwicklern das Wissen, um Webanwendungen nachhaltig sicher zu entwickeln:

  • Wie Angriffe gegen Webanwendungen durchgeführt werden
  • Wie sich Fehler in der Implementierungs- und Entwurfphase vermeiden lassen
  • Wie sich Schwachstellen in Javacode identifizieren lassen
  • Sicheres Deployment - Absicherung vorhandener Anwendungen mit minimalem Aufwand
  • Anwendung Java Security APIs, Frameworks und Tools

Der Kurs setzt auf anerkannte Best Practices und langjährige Erfahrungen der SecureNet GmbH sowie des Kursleiters auf. Es kann auf spezifische Wünsche der Kursteilnehmer eingegangen werden. In zahlreichen Übungen werden die Inhalte anhand praktischer Beispiele vertieft und nachvollzogen.

Kursbeschreibung

Zielgruppe Java-Entwickler, Architekten, QA
Lernziele Als Ziel dieses Kurses sollen alle Kursteilnehmer ein grundlegendes Verständnis der Gefährdungen für Webanwendungen allgemein erlangen und in der Lage sein, sichere Webanwendungen unter Java EE zu entwerfen, implementieren und nach bekannten Schwachstellen zu untersuchen.
Methodik Vortrag und viele begleitende Übungen.
Kursinhalt

Generelle Probleme von Internet Architekturen

  • Einführung in HTTP
  • Session Managment & Cookies
  • Enkodierungen

Ausnutzung von Schwachstellen in Java Code

  • Wie werden Schwachstellen von Angreifern ausgenutzt?
  • Welche Konsequenzen ergeben sich daraus für die Entwicklung?

Entwicklung sicher Webanwendungen unter Java EE

  • Prinzipien sicherer Anwendungsentwicklung
  • Eingabe- und Ausgabevalidierung
  • Authentisierung
  • Session Management
  • Access Controls
  • Einsatz von Kryptographie
  • Fehlerbehandlung und Logging
  • Absicherung der Bussiness Logik
  • Sicherheit von WebServices

Auditierung von Javacode

  • Vorgehensweise beim manuellen Code Review
  • Automatische Source Code Analyse

Weitere Kursinhalte

  • Sicherheit in Software-Entwicklungsprozessen
  • Software Security Development Lifecycle (SDLC)
  • Architektur & Deploymentstragegien
  • Einsatz von MVC-Frameworks (z.B. Struts, Spring MVC)
Voraussetzungen
  • Allgemeine Java-Programmierkenntnisse
  • Kenntnisse zur Webentwicklung (HTML, JSP, Servlets)
  • Besuch des SIGS-DATACOM-Seminars "Best Practices für sichere Webanwendungen" hilfreich aber nicht erforderlich
Dauer 2 Tage
Hinweis Die Teilnehmer werden gebeten, für die praktischen Übungen ein Laptop zur Schulung mitzubringen. Die Laptops sollten mit administrativen Rechten ausgestattet sein und über ein Windows Betriebssystem verfügen (XP, 2000). Internetzugang oder eine Vernetzung ist nicht erforderlich. Die notwendige Software wird Ihnen zu Beginn der Schulung ausgehändigt.
Dauer

2 Tage

(Individuelle Ausgestaltung als Individualschulung auf Anfrage)

Kontakt

SecureNet GmbH
Intranet & Internet Solutions
Frankfurter Ring 193a
80807 München
Tel: 089 32133-600

Ihr Anprechpartner:
Thomas Schreiber
ts(at)securenet.de