PHP Security Training

Die Secure-Coding-Schulung fĂŒr PHP-Entwickler

Was lernen Entwickler in einem Secure Coding Workshop?

Eine sinnvolle Maßnahme zum Absichern der eigenen Webanwendung ist die Ausbildung des Entwickler-Teams. Mit der Secure Coding Schulung wird das Bewusstsein fĂŒr mögliche Angriffe geschĂ€rft, typische Programmierfehler werden erkannt und es wird eine Leitlinie gegeben, um sichere Systeme aufzubauen. Dabei geht das PHP Security Training speziell auf Besonderheiten bei der Entwicklung von sicheren Webanwendungen mit PHP ein.

Im Verlauf der Schulung werden zunÀchst Grundkonzepte der Web Application Security und typische Angriffe auf Webanwendungen behandelt. Hier orientiert sich das Seminarprogramm an den OWASP Top Ten. Im Anschluss daran werden Strategien zur Vermeidung von Schwachstellen im PHP-Quellcode und zur SystemhÀrtung vorgestellt. Angereichert wird die Schulung durch Live-Hacking Demonstrationen und Framework-spezifische Praxisbeispiele (z.B. als Symfony Security Training).

Die Schulung kann aus sechs Schulungsmodulen zusammengesetzt werden und dauert je nach Praxisanteil erfahrungsgemĂ€ĂŸ mindestens sechs Stunden. Die Schulungsmodule werden im Folgenden auf dieser Seite nĂ€her beschrieben. Zu Beginn der Schulung erhalten die Teilnehmer die PrĂ€sentationsunterlagen. Mit erfolgreicher Teilnahme erhĂ€lt jeder Schulungsteilnehmer ein Zertifikat.

  • RisikoprĂ€vention
  • Anschauliche Beispiele
  • Live-Hacking Demonstration
  • Maßgeschneidertes Seminar
  • PHP-Security Best-Practises
  • Workshop-Zertifikate

Aus welchen Modulen besteht die Secure Coding Schulung?

Sicherheitskonzepte

Es werden die Prinzipien sicherer Webentwicklung vorgestellt und ein allgemeines Threat Modell einer Webapplikation besprochen. Ebenso werden grundsĂ€tzliche Sicherheitsmaßnahmen und Sicherheitstests wie Penetrationstests besprochen, um ein VerstĂ€ndnis fĂŒr die Sicht eines Angreifers auf eine Webanwendung zu erzeugen.

Angriffe auf Webanwendungen

Das Modul thematisiert Gefahren von Webanwendungen. Es werden die hĂ€ufigsten Angriffsformen auf Webanwendungen, die OWASP Top Ten, besprochen: Injections, Fehler in Authentifizierung und Session-Management, Cross-Site-Scripting (XSS), unsichere direkte Objektreferenzen, sicherheitsrelevante Fehlkonfiguration, Verlust der Vertraulichkeit sensibler Daten, fehlerhafte Autorisierung, Cross-Site Request Forgery (CSRF), Nutzung von Komponenten mit bekannten Schwachstellen und ungeprĂŒfte Um- und Weiterleitungen.

Sichere Webentwicklung

Um die vorgestellten Angriffe abzuschwĂ€chen oder gar abzuwehren, werden den Teilnehmern durch Best-Practices Möglichkeiten der Verteidigung aufgezeigt. HierfĂŒr werden Themen wie beispielsweise Input-Validierung und Output-Escaping, Datenspeicherung, Authentifizierungsmanagement und Sessionhandling besprochen. Ebenso werden Programmierparadigmen und die Programmierung an sich diskutiert, um Fehler zu vermeiden und robusten Code zu erzeugen.

Framework-spezifische Sicherheit

Mit dem Einsatz von PHP-Frameworks werden viele Dinge erleichtert. Trotzdem kommt es auf die korrekte Umsetzung an, um SicherheitslĂŒcken zu vermeiden. In diesem Teil werden Framework-spezifisch Themenfelder diskutiert, um FunktionalitĂ€ten sicher umzusetzen. Beispiele sind Authentifizierung und Firewalls, ACLs sowie Error-Logging und Exception-Handling. Dabei können wir eine breite Palette an PHP-Frameworks anbieten: Symfony (Versionen 1.x - 3.x), CakePHP, Zend, Drupal, Agavi, Laravel, CodeIgniter und Yii.

Live Hacking

Durch Live-Hacking kann eindrucksvoll gezeigt werden, wie Angreifer Mechanismen außer Kraft setzen und Systeme kompromittieren. Damit können Entwickler ein Bewusstsein entwickeln, wie Hacker bei Angriffen vorgehen, was zu einem höherem Sicherheitsgrad fĂŒr Programmcode und Systeme fĂŒhrt.

HĂ€rtung von Websystemen

Sicherer Code ist eine Maßnahme, um Gefahren vorzubeugen. WeiterfĂŒhrend sollten Systeme jedoch auch gehĂ€rtet und die AngriffsflĂ€che minimiert werden. HierfĂŒr werden AnsĂ€tze gegeben, um Systeme wie beispielsweise Web- oder Datenbankserver abzusichern und eine sichere Kommunikation zu gewĂ€hrleisten. Dies erfolgt durch eine Betrachtung der vier Ebenen der Informationssicherheit (Schutz, Abschreckung, Entdeckung und Reaktion).

Investieren Sie in die Weiterbildung Ihrer Mitarbeiter und in die Sicherheit Ihrer Webanwendungen.

Stimmen zu aramido

Die Berater von aramido haben mich durch umfassendes Fachwissen und konkrete Maßnahmenempfehlungen ĂŒberzeugt.

— Dr. Herzig, GeschĂ€ftsfĂŒhrer SearchHaus GmbH