info@orb-experts.com
Ein praxisnaher Kurs für Teams, die .NET und ASP.NET Anwendungen sicher entwickeln und betreiben wollen. Der Fokus liegt auf bedrohungsorientiertem Design, sicheren C# Mustern, starker Authentifizierung und Autorisierung, Datenschutz und zuverlässiger Auslieferung. Beispiele beziehen sich auf ASP.NET Core MVC, Web API, Minimal APIs und gängige Hosting Varianten.
Sie planen und implementieren Sicherheitskontrollen vom Input Handling und der Identität bis zu Transport und Speicherung. Sie nutzen ASP.NET Core Funktionen und C# Muster, um häufige Schwachstellen zu vermeiden und Audit sowie Compliance zu unterstützen. Am Ende können Sie Anwendungen prüfen, absichern und mit einer konsistenten Security Baseline ausliefern.
• Sichere C# Muster anwenden für Validierung, Encoding und Fehlermanagement
• Robuste Authentifizierung mit ASP.NET Core Identity, OAuth2 oder OIDC, Cookies und JWT umsetzen
• Daten in Transit und at Rest schützen mit TLS, Data Protection und Secret Management
• APIs und Apps härten mit Security Headers, CORS, Rate Limiting, Logging und Tests
• Routine mit C# und ASP.NET Core Grundlagen
• Möglichkeit, ein lokales ASP.NET Core Projekt auszuführen
• Git und eine moderne IDE verfügbar
*Wir wissen, dass jedes Team eigene Bedürfnisse und Spezifikationen hat. Deshalb können wir die Schulungsübersicht nach Bedarf anpassen.
Modul 1: Threat Modeling und Secure Development Lifecycle
• Typische Angriffswege für ASP.NET Apps und APIs und deren Abbildung
• Sichere Defaults Least Privilege, Fail Safe und Defense in Depth
• Supply Chain Grundlagen Packages, Signaturen und Abhängigkeitsgesundheit
• Eine schlanke Security Checkliste pro Release erstellen
Modul 2: Sichere Coding Muster in C#
• Eingabevalidierung und Kanonisierung Model Binding, Data Annotations, FluentValidation
• Output Encoding gegen XSS Razor, Tag Helper, HtmlEncoder
• Schutz vor SQL Injection EF Core Parametrisierung und sichere Raw SQL Nutzung
• Sicheres Fehlermanagement Exception Grenzen, Nutzermeldungen, Logging ohne Secrets
Modul 3: Authentifizierung und Autorisierung in ASP.NET Core
• ASP.NET Core Identity, externe Provider und Passwort Hygiene
• OAuth2 und OpenID Connect Flows, Tokens, Refresh und Lebensdauern
• Cookies und JWT absichern SameSite, Secure Flags, Audience und Issuer Prüfungen
• Claims, Rollen und Policy basierte Autorisierung mit eigenen Requirements
Modul 4: Sitzung, Zustand und API Härtung
• Anti Forgery Schutz, CORS Richtlinien und Rate Limiting Middleware
• Security Headers Middleware CSP, X Content Type Options, Referrer Policy
• Dateiupload und Serialisierung sicher Größenlimits, Inhaltsprüfung, sichere Deserialisierung
• Minimal APIs und Web API Konventionen Model Validation und Versionierung
Modul 5: Secrets und Daten at Rest schützen
• .NET Data Protection API Key Management, Rotation und Key Storage
• Secret Management User Secrets, Umgebungsvariablen und externe Stores
• Verschlüsselung at Rest mit Key Vault oder DPAPI und Hashing mit PBKDF2 oder Argon2
• Auditierbare Konfiguration je Umgebung ohne Preisgabe von PII
Modul 6: Transport und Plattform Härtung
• HTTPS, HSTS, TLS Versionen und Cipher Überlegungen
• Reverse Proxy und Hosting Kestrel, IIS, Nginx Konfigurationsaspekte
• Identitätsplattformen Azure AD oder Entra, Managed Identities und Service zu Service Auth
• Background Jobs und Worker robuste Retries und geschützte Konfiguration
Modul 7: Observability und Incident Readiness
• Strukturiertes Logging mit Redaction Serilog oder ILogger Scopes und Korrelations IDs
• Metriken, Health Checks und grundlegende Anomaliesignale für sicherheitsrelevante Events
• Zentrale Audits wer hat was wann getan bei wenig Rauschen
• Backup, Restore und Key Recovery für verschlüsselte Daten
Modul 8: Verifikation und kontinuierliche Absicherung
• Unit und Integrationstests für Sicherheitsverhalten Auth, Authorization und Filter
• Automatisierte Checks SAST, Dependency Scanning, Container Image Scanning
• Build und Deploy Gates erforderliche Header, TLS und Vulnerability Schwellen
• Playbooks für Triage und sicheren Rollback im Incident Fall
Praxisnahes Lernen mit erfahrenen Trainern an Ihrem Standort für Organisationen.
Neue Fähigkeiten erlernen, angeleitet von erfahrenen Trainern von überall.
