Hack eine Node.js-Web-App

In der Theorie kennen die meisten Entwicklerinnen und Entwickler die typischen Sicherheitslücken einer Web-App. Aber Theorie und Praxis sind nicht das Gleiche. Ein rein theoretisches Verständnis von potentiellen Sicherheitslücken ist oft nicht ausreichend, um diese in der Praxis zu verhindern.
Besser ist es, selbst einmal in die Rolle eines Angreifers zu schlüpfen, und durchzuspielen wie Sicherheitslücken aufgespürt und ausgenutzt werden.
Nach einer kurzen Darstellung der wichtigsten Sicherheitslücken aus den OWASP Top 10 werden das Aufspüren und Ausnutzen von Sicherheitslücken an einer Node.js-Web-App geübt. Die gefundenen Lücken werden anschließend besprochen und passende Gegenmaßnahmen aufgezeigt.

Vorkenntnisse

Die Teilnehmerinnen und Teilnehmer sollten solide Erfahrung in der Webentwicklung und gute Kenntnisse über Node.js haben. Grundwissen über JWTs sind von Vorteil aber nicht zwingend nötig.

Lernziele

Die Teilnehmerinnen und Teilnehmer sollten nach dem Workshop die häufig auftretenden Sicherheitslücken in Webanwendungen kennen. Sie sind in der Lage ausgewählte davon aktiv auszunutzen sowie sich in die Denkweise von Angreifern hineinzuversetzen. Und sie wissen, wie die behandelten Sicherheitslücken in Node.js-Web-Apps vermieden werden können.

 

Agenda

9:00 - 9:50 Begrüßung und Vorstellungsrunde
  • Kleine Regelkunde und technische Einführung - wie wird der Workshop ablaufen
  • Überblick über die geplanten Themen und Übungen
09:50 - 10:00 Pause
  • DIY: Recken, Strecken, Augen in die Ferne streifen lassen, kalte und heiße Getränke, kleine Snacks
10:00 - 10:45 Einführung
  • Websecurity und OWASP Top 10
  • Was ist Capture the Flag?
  • Wie werden die Übungen ablaufen
10:45 - 11:00 Pause
  • DIY: Recken, Strecken, Augen in die Ferne streifen lassen, kalte und heiße Getränke, kleine Snacks
11:00 - 12:00 Übung 1
  • Security Misconfiguration
  • Broken Authentication
12:00 - 12:45 Pause
  • DIY: Recken, Strecken, Augen in die Ferne streifen lassen, kalte und heiße Getränke, große Snacks
12:45 - 13:45 Übung 2
  • Broken Access Control
  • Using Components with Known Vulnerabilities
13:45 - 14:00 Pause
  • DIY: Recken, Strecken, Augen in die Ferne streifen lassen, kalte und heiße Getränke, kleine Snacks
14:00 - 15:00 Übung 3
  • Injection
  • Sensitive Data Exposure
15:00 - 15:15 Pause
  • DIY: Recken, Strecken, Augen in die Ferne streifen lassen, kalte und heiße Getränke, kleine Snacks
15:15 - 16:15 Übung 4
  • Insecure Deserialization
  • Injection
16:15 - 16:30 Abschlussrunde
  • Fragen & Antworten
  • Feedback

 

Technische Anforderungen:

Anforderungen sowie weitere Informationen der Speaker erhaltet ihr per E-Mail.

Speaker

 

Christoph Iserlohn
Christoph Iserlohn ist Senior Consultant bei INNOQ. Er hat langjährige Erfahrung mit der Entwicklung und Architektur von verteilten Systemen. Sein Hauptaugenmerk liegt dabei auf den Themen Skalierbarkeit, Verfügbarkeit und Sicherheit.

Felix Schumacher
Felix Schumacher ist ebenfalls Senior Consultant bei INNOQ. Er beschäftigt sich gerne mit IT-Sicherheit, testgetriebener Entwicklung und dem Betrieb und der Weiterentwicklung bestehender Systeme.


MaibornWolff

enterJS-Newsletter

Ihr möchtet über die enterJS
auf dem Laufenden gehalten werden?

 

Anmelden