PHP Security Training

Die Secure Coding Schulung für PHP-Entwickler

Was lernen Entwickler in einem Secure Coding Workshop?

Eine sinn­volle Maß­nahme zum Ab­sichern der eigenen Web­anwen­dung ist die Aus­bil­dung des Ent­wickler-Teams. Mit der Secure Coding Schu­lung wird das Bewusst­sein für mög­liche An­griffe ge­schärft, typi­sche Pro­grammier­fehler werden erkannt und es wird eine Leitlinie ge­ge­ben, um si­chere Systeme auf­zu­bauen. Dabei geht das PHP Security Trai­ning spe­ziell auf Be­sonder­heiten bei der Ent­wick­lung von si­cheren Web­anwen­dungen mit PHP ein.

Im Verlauf der Schu­lung werden zu­nächst Grund­konzepte der Web Application Security und typi­sche An­griffe auf Web­anwen­dungen be­han­delt. Hier orien­tiert sich das Seminar­programm an den OWASP Top Ten. Im An­schluss daran werden Strate­gien zur Ver­meidung von Schwach­stellen im PHP-Quell­code und zur System­härtung vorge­stellt. Ange­reichert wird die Schu­lung durch Live-Hacking Demon­stratio­nen und Frame­work-spezi­fische Praxis­beispiele (z.B. als Symfony Security Training).

Die Schulung kann aus sechs Schulungs­modulen zusammen­gesetzt werden und dauert je nach Praxis­anteil erfah­rungs­gemäß mindes­tens sechs Stun­den. Die Schulungs­module werden im Folgen­den auf dieser Seite näher be­schrie­ben. Zu Beginn der Schu­lung erhal­ten die Teil­nehmer die Präsen­tations­unter­lagen. Mit erfolg­rei­cher Teil­nahme erhält jeder Schu­lungs­teil­nehmer ein Zerti­fikat.

Risikoprävention
Anschauliche Beispiele
Live-Hacking De­mon­stra­tion
Maßgeschneidertes Seminar
PHP-Security Best-Practises
Workshop-Zertifikate

Aus welchen Modulen besteht die Secure Coding Schulung?

Sicherheitskonzepte

Es werden die Prin­zi­pien sicherer Web­ent­wick­lung vor­ge­stellt und ein all­gemei­nes Threat Modell einer Web­appli­kation be­spro­chen. Ebenso werden grund­sätz­li­che Sicher­heits­maß­nahmen und Sicher­heits­tests wie Pene­trations­tests be­spro­chen, um ein Ver­ständ­nis für die Sicht eines An­grei­fers auf eine Web­an­wen­dung zu erzeu­gen.

Angriffe auf Webanwendungen

Das Modul thematisiert Ge­fah­ren von Web­anwen­dungen. Es werden die häu­fig­sten An­griffs­for­men auf Web­an­wen­dungen, die OWASP Top Ten, be­spro­chen: Injec­tions, Fehler in Authenti­fi­zierung und Session-Mana­gement, Cross-Site-Scripting (XSS), un­sichere direk­te Objekt­referen­zen, sicher­heits­rele­vante Fehl­konfi­gura­tion, Ver­lust der Ver­traulich­keit sensib­ler Da­ten, fehler­hafte Au­tori­sierung, Cross-Site Re­quest For­gery (CSRF), Nutz­ung von Kom­po­nen­ten mit be­kann­ten Schwach­stel­len und un­ge­prüfte Um- und Weiter­lei­tung­en.

Sichere Webentwicklung

Um die vor­ge­stell­ten An­griffe ab­zu­schwäch­en oder gar ab­zu­wehren, wer­den den Teil­neh­mern durch Best-Practices Mög­lich­kei­ten der Ver­tei­di­gung auf­ge­zeigt. Hier­für wer­den The­men wie bei­spiels­wei­se Input-Vali­dierung und Output-Escaping, Da­ten­spei­cher­ung, Au­thenti­fizier­ungs­ma­nage­ment und Session­hand­ling be­sprochen. Ebenso werden Pro­grammier­para­digmen und die Pro­gram­mierung an sich dis­ku­tiert, um Fehler zu vermeiden und ro­bus­ten Code zu er­zeu­gen.

Framework-spezifische Sicher­heit

Mit dem Einsatz von PHP-Frame­works wer­den viele Dinge er­leichtert. Trotz­dem kommt es auf die kor­rekte Um­setzung an, um Sicherheits­lücken zu ver­meiden. In diesem Teil werden Frame­work-spezi­fisch Themen­felder dis­ku­tiert, um Funktio­nali­täten sicher um­zu­setzen. Bei­spiele sind Authenti­fizierung und Fire­walls, ACLs sowie Error-Logging und Exception-Handling. Dabei können wir eine breite Pa­lette an PHP-Frame­works an­bieten: Symfony (Versio­nen 1.x - 3.x), CakePHP, Zend, Drupal, Agavi, Laravel, CodeIgniter und Yii.

Live Hacking

Durch Live-Hacking kann eindrucks­voll ge­zeigt wer­den, wie An­greifer Mecha­nis­men außer Kraft set­zen und Sys­teme kom­promit­tieren. Damit kön­nen Ent­wickler ein Bewusst­sein ent­wickeln, wie Hacker bei An­grif­fen vor­ge­hen, was zu einem hö­herem Sicherheits­grad für Programm­code und Sys­teme führt.

Härtung von Websystemen

Sicherer Code ist eine Maß­nahme, um Ge­fahren vor­zu­beu­gen. Weiter­führend sollten Sys­teme je­doch auch ge­härtet und die An­griffs­fläche mini­miert wer­den. Hier­für wer­den An­sät­ze ge­ge­ben, um Sys­teme wie bei­spiels­weise Web- oder Daten­bank­server ab­zu­sichern und eine sichere Kom­muni­kation zu ge­währ­leis­ten. Dies er­folgt durch eine Be­trach­tung der vier Ebe­nen der Infor­­mations­­sicher­­heit (Schutz, Ab­schreckung, Ent­­deckung und Re­ak­tion).

Investieren Sie in die Weiterbildung Ihrer Mit­arbeiter und in die Sicher­heit Ihrer Web­anwendungen.

Stimmen zu aramido

Kundenstimme Dr. Herzig

Die Berater von aramido haben mich durch um­fassendes Fach­wissen und kon­krete Maß­nah­men­em­pfeh­lungen über­zeugt.

Dr. Herzig, Geschäftsführer SearchHaus GmbH

Aktuelle Artikel zum Thema PHP Security