Sie entwickeln eine Webanwendung und möchten wissen, wie Sie diese sicher gestalten können? Setzen Sie XML, Webservices oder Single Sign-On Systeme ein? Die Experten von Hackmanit zeigen Ihnen welche Gefahren diese Technologien mitbringen können und wie es möglich ist, Ihre Anwendung gegen aktuelle Hackertechniken zu schützen. 

Webservices und Single Sign-On gehören zu den wichtigsten Internettechnologien und ermöglichen die Anbindung an soziale Netzwerke sowie das Bereitstellen eigener Dienste für Drittanbieter. In den letzten Jahren wurden diese Technologien aufgrund von Implementierungsfehlern zum Ziel schwerwiegender Angriffe. Die Angriffe nutzen die Komplexität der eingesetzten XML- und Single Sign-On Standards aus und ermöglichen es, Daten aus den fremden Servern auszulesen, sich als beliebiger Nutzer zu authentisieren oder vertrauliche Daten zu entschlüsseln.

Sie nutzen OAuth oder OpenID Connect? Kontaktieren Sie uns für eine Single Sign-On Schulung speziell zu diesen Themen.

In dieser Schulung werden zunächst Webservice und Single Sign-On Technologien eingeführt und anhand von Beispielen die zahlreichen unterschiedlichen Angriffstechniken vorgestellt. Die Teilnehmer bekommen die Möglichkeit, die Angriffe in einer von uns vorbereiteten virtuellen Maschine selbst durchzuführen. Die Angriffe werden zuerst "per Hand" (z.B. mit SoapUI) durchgeführt, um ein Gefühl für die zugrundeliegenden Schwachstellen zu bekommen. Anschließend werden wir unser Penetrationstest-Tool WS-Attacker vorstellen, mit Hilfe dessen viele dieser Angriffe automatisiert abgedeckt werden können.

Schulungsinhalte:

  • XML und SOAP-basierte Webservices
  • XML Schema und WS-Policy
  • WS-Addressing und WS-Addressing Spoofing
  • XML Parsing (DOM vs SAX)
  • XML-spezifische Denial-of-Service Angriffe
  • XML Security und WS-Security
    • Unterschiede zu TLS
  • XML Signature
    • ID-basierte und XPath-basierte XML Signaturen
    • XML Signature Wrapping Angriffe
  • XML Encryption
    • Angriffe auf symmetrische Verschlüsselung
    • Angriffe auf asymmetrische Verschlüsselung
  • Testen mit WS-Attacker
  • SAML-basiertes Single-Sign On
    • Angriffe
  • REST-basierte Webservices
    • Angriffe und Best Practices

Teilnahmevoraussetzungen: Diese Schulung richtet sich an zwei Gruppen: Einerseits an Entwickler, die XML, Webservices und Single Sign-On Systeme praktisch einsetzen. Zum anderen an Penetrationstester und Sicherheitsforscher, die sich mit dem Thema XML Sicherheit vertraut machen und Webservices und Single Sign-On Systeme evaluieren möchten.

Beispiel-Folien: 15 Seiten der Schulungsunterlagen
Flyer der Schulung: Webservice und Single Sign-On Sicherheit

Ansprechpartner: Dr. Christian Mainka