info@orb-experts.com
Ein praxisnaher Kurs für erfahrene Entwicklerinnen und Entwickler zur Vermeidung der wichtigsten Webrisiken. Teilnehmende verknüpfen die OWASP Top 10 mit täglichen Design und Coding Entscheidungen und lernen schnelle Wege zum Erkennen und Beheben.
Sie ordnen die OWASP Top 10 Ihrem Stack zu, erkennen riskante Muster in Code und Konfiguration und setzen wirksame Gegenmaßnahmen um, die auch bei Refactorings bestehen. Nach diesem Training können Sie sicher:
• Die Top 10 Risiken technisch präzise erklären
• Sichere Defaults für Authentifizierung, Datenverarbeitung und Abhängigkeiten wählen
• Tests und Checks schreiben, die typische Fehler früh finden
• Behebung nach Ausnutzbarkeit und Auswirkungen priorisieren
• Fundierte Kenntnisse in mindestens einem Web Stack
• Arbeitswissen zu HTTP, APIs und Datenbanken
• Zugriff auf nicht sensibles Beispielcode Material ist hilfreich
*Wir wissen, dass jedes Team eigene Bedürfnisse und Spezifikationen hat. Deshalb können wir die Schulungsübersicht nach Bedarf anpassen.
Modul 1: Bedrohungsbild und Secure Design zuerst
• Risikoorientierter Blick auf die OWASP Top 10 und Angriffsketten
• Vertrauensgrenzen, Eingaben und Datenflüsse als Designanker
• Sichere Defaults für Konfiguration, Header und Fehlerbehandlung
Modul 2: Zugriffssteuerung und Authentifizierungsfallen
• Muster für Broken Access Control und einfaches Allow List Denken
• Sitzungs und Token Handling sowie Schutz von Cookies und Storage
• Multi Tenant Hinweise und objektbezogene Prüfungen erzwingen
Modul 3: Datenschutz und Injection Abwehr
• Kryptografiefehler in der Praxis Secrets, Schlüssel und TLS
• Injection Familien und sichere Muster für Queries und Kommandos
• Ausgabeencoding und Kontextbewusstsein in Templates und APIs
Modul 4: Unsicheres Design und API Grundlagen
• Vom Feature zum Misuse Case und Abuseresilienz
• Ratenbegrenzung, Quoten und Ressourcenlimits
• API spezifische Risiken Versionierung, Mass Assignment und Batching
Modul 5: Fehlkonfiguration und Preisgabe von Schwachstellen
• Fragile Defaults, zu ausführliche Fehler und fehlende Header
• Cloud und Container Stolpersteine Images, Secrets und Metadaten
• Sensible Daten in Logs und Backups vermeiden
Modul 6: SSRF, Deserialisierung und Abhängigkeitsrisiken
• Server Side Request Forgery Muster und Kontrolle des Netz Egress
• Unsichere Deserialisierung und sichere Serializer und Formate
• Supply Chain Risiken Dependency Hygiene und Update Strategie
Modul 7: Integrität, Monitoring und CI oder CD Leitplanken
• Integritätsfehler Paket Signaturen, Checksums und Pinning
• Logging, das Erkennung und Untersuchung unterstützt
• Build und Deploy Checks Secrets Scans und parametrisierte Konfiguration
Modul 8: Verifikation und Behebungsworkflow
• Leichte Teststrategie Unit, Integration und Security Checks
• Triage nach Ausnutzbarkeit und Schadenspotenzial
• Remediation Playbook Zuständigkeiten, Zeitpläne und Backporting von Fixes
Praxisnahes Lernen mit erfahrenen Trainern an Ihrem Standort für Organisationen.
Neue Fähigkeiten erlernen, angeleitet von erfahrenen Trainern von überall.
