PHP Security Training

Die Secure-Coding-Schulung für PHP-Entwickler

Was lernen Entwickler in einem Secure Coding Workshop?

Eine sinnvolle Maßnahme zum Absichern der eigenen Webanwendung ist die Ausbildung des Entwickler-Teams. Mit der Secure Coding Schulung wird das Bewusstsein für mögliche Angriffe geschärft, typische Programmierfehler werden erkannt und es wird eine Leitlinie gegeben, um sichere Systeme aufzubauen. Dabei geht das PHP Security Training speziell auf Besonderheiten bei der Entwicklung von sicheren Webanwendungen mit PHP ein.

Im Verlauf der Schulung werden zunächst Grundkonzepte der Web Application Security und typische Angriffe auf Webanwendungen behandelt. Hier orientiert sich das Seminarprogramm an den OWASP Top Ten. Im Anschluss daran werden Strategien zur Vermeidung von Schwachstellen im PHP-Quellcode und zur Systemhärtung vorgestellt. Angereichert wird die Schulung durch Live-Hacking Demonstrationen und Framework-spezifische Praxisbeispiele (z.B. als Symfony Security Training).

Die Schulung kann aus sechs Schulungsmodulen zusammengesetzt werden und dauert je nach Praxisanteil erfahrungsgemäß mindestens sechs Stunden. Die Schulungsmodule werden im Folgenden auf dieser Seite näher beschrieben. Zu Beginn der Schulung erhalten die Teilnehmer die Präsentationsunterlagen. Mit erfolgreicher Teilnahme erhält jeder Schulungsteilnehmer ein Zertifikat.

  • Risikoprävention
  • Anschauliche Beispiele
  • Live-Hacking Demonstration
  • Maßgeschneidertes Seminar
  • PHP-Security Best-Practises
  • Workshop-Zertifikate

Aus welchen Modulen besteht die Secure Coding Schulung?

Sicherheitskonzepte

Es werden die Prinzipien sicherer Webentwicklung vorgestellt und ein allgemeines Threat Modell einer Webapplikation besprochen. Ebenso werden grundsätzliche Sicherheitsmaßnahmen und Sicherheitstests wie Penetrationstests besprochen, um ein Verständnis für die Sicht eines Angreifers auf eine Webanwendung zu erzeugen.

Angriffe auf Webanwendungen

Das Modul thematisiert Gefahren von Webanwendungen. Es werden die häufigsten Angriffsformen auf Webanwendungen, die OWASP Top Ten, besprochen: Injections, Fehler in Authentifizierung und Session-Management, Cross-Site-Scripting (XSS), unsichere direkte Objektreferenzen, sicherheitsrelevante Fehlkonfiguration, Verlust der Vertraulichkeit sensibler Daten, fehlerhafte Autorisierung, Cross-Site Request Forgery (CSRF), Nutzung von Komponenten mit bekannten Schwachstellen und ungeprüfte Um- und Weiterleitungen.

Sichere Webentwicklung

Um die vorgestellten Angriffe abzuschwächen oder gar abzuwehren, werden den Teilnehmern durch Best-Practices Möglichkeiten der Verteidigung aufgezeigt. Hierfür werden Themen wie beispielsweise Input-Validierung und Output-Escaping, Datenspeicherung, Authentifizierungsmanagement und Sessionhandling besprochen. Ebenso werden Programmierparadigmen und die Programmierung an sich diskutiert, um Fehler zu vermeiden und robusten Code zu erzeugen.

Framework-spezifische Sicherheit

Mit dem Einsatz von PHP-Frameworks werden viele Dinge erleichtert. Trotzdem kommt es auf die korrekte Umsetzung an, um Sicherheitslücken zu vermeiden. In diesem Teil werden Framework-spezifisch Themenfelder diskutiert, um Funktionalitäten sicher umzusetzen. Beispiele sind Authentifizierung und Firewalls, ACLs sowie Error-Logging und Exception-Handling. Dabei können wir eine breite Palette an PHP-Frameworks anbieten: Symfony (Versionen 1.x - 3.x), CakePHP, Zend, Drupal, Agavi, Laravel, CodeIgniter und Yii.

Live Hacking

Durch Live-Hacking kann eindrucksvoll gezeigt werden, wie Angreifer Mechanismen außer Kraft setzen und Systeme kompromittieren. Damit können Entwickler ein Bewusstsein entwickeln, wie Hacker bei Angriffen vorgehen, was zu einem höherem Sicherheitsgrad für Programmcode und Systeme führt.

Härtung von Websystemen

Sicherer Code ist eine Maßnahme, um Gefahren vorzubeugen. Weiterführend sollten Systeme jedoch auch gehärtet und die Angriffsfläche minimiert werden. Hierfür werden Ansätze gegeben, um Systeme wie beispielsweise Web- oder Datenbankserver abzusichern und eine sichere Kommunikation zu gewährleisten. Dies erfolgt durch eine Betrachtung der vier Ebenen der Informationssicherheit (Schutz, Abschreckung, Entdeckung und Reaktion).

Investieren Sie in die Weiterbildung Ihrer Mitarbeiter und in die Sicherheit Ihrer Webanwendungen.

Stimmen zu aramido

Die Berater von aramido haben mich durch umfassendes Fachwissen und konkrete Maßnahmenempfehlungen überzeugt.

— Dr. Herzig, Geschäftsführer SearchHaus GmbH