Zum Hauptinhalt
Heise Mastering Websecurity

Die Online-Konferenz von Heise

Mastering
Websecurity

Moderne Webanwendungen sicher gestalten

21. April 2021

MEHR ERFAHREN

SECURITY-RISIKEN ERKENNEN
UND ABSICHERN

Nahezu jedes Unternehmen muss sich heutzutage mit der Entwicklung von Webanwendungen beschäftigen – und macht sich damit allzu leicht angreifbar für Angriffe von außen. Oft verkannt wird die Herausforderung, Security-Schwachstellen abzusichern und Eindringlinge dadurch präventiv abzuwehren. In dieser Online-Konferenz zeigen Ihnen erfahrene Entwickler und Security-Experten die wichtigsten Techniken, mit denen Sie Ihre Webanwendungen sicher gestalten können – und zwar auf dem neuesten Stand!

Angefangen bei einer Analyse der aktuellen OWASP Top Ten bekommen Sie praktisch anwendbares Wissen über kryptografische Verfahren und zur Grundabsicherung von Webanwendungen. Die Experten zeigen, wie agiles Threat Modeling in puncto Security helfen kann und welche Sicherheitslücken in Node.js und npm lauern. Ein Blick auf zeitgemäße Authentifizierungstechniken rundet die Konferenz ab und gibt Ihnen das notwendige Know-how an die Hand, Ihre Webanwendungen effektiv vor Angreifern zu schützen.

DAS KÖNNEN SIE LERNEN

  • Die wichtigsten Security-Maßnahmen für Webanwendungen
  • Fokus JavaScript: Sicherheitsrisiken in npm und Node.js aufdecken
  • Kontinuierliches Threat Modeling in der Praxis
  • So schützen Sie sich gegen die aktuellen OWASP-Schwachstellen
  • Kryptografie richtig verstehen und praktisch anwenden
  • So geht Authentifizierung mit OAuth und OpenID
ZUM PROGRAMM

DIE KONFERENZ

  • 09:00 Uhr bis 09:15 Uhr

    Begrüßung

    Björn Bohn, heise Knowledge

    Wir heißen Sie herzlich willkommen zu unserer Online-Konferenz und geben Ihnen einen Ausblick auf den Tag.

  • 09:15 Uhr bis 10:00 Uhr

    OWASP Top Ten – heute und morgen

    Christian Wenz, Arrabiata Solutions

    2021 wird die neueste Version der OWASP Top Ten erscheinen, das bekannteste Awareness-Dokument für Webapplikationssicherheit. Das Open Web Application Security Project priorisiert die zehn größten Risiken für Webapplikationen und stellt Handlungsanweisungen und technische Dokumentation zur Verfügung. Wir werfen einen Blick auf die aktuellste Variante der OWASP Top Ten und diskutieren nicht nur alle Punkte der Liste, sondern auch, was fehlt, was vielleicht gar nicht auf die Liste gehört und was die Zukunft bringt.

  • 10:15 Uhr bis 11:00 Uhr

    Kryptografie – von Cäsar zu elliptischen Kurven

    Golo Roden, the native web

    Kryptografie ist ein weites Feld – es geht um Verschlüsselung, Hashwerte, digitale Signaturen, Zertifikate und vieles andere mehr. Obwohl diese Themen insbesondere im Web und der Cloud zum Alltag gehören, mangelt es häufig am grundlegenden Verständnis. Dabei geht es nicht darum, AES aus mathematischer Sicht im Detail erklären zu können, sondern um eine konzeptionelle Vorstellung: Was ist denn überhaupt symmetrische, was asymmetrische Verschlüsselung? Warum funktioniert das? Wofür ist es gut? Genau um diese Fragen geht es in diesem Vortrag. Kommen Sie mit auf eine anschauliche Reise, von Cäsar bis hin zur modernen Verschlüsselung auf Basis elliptischer Kurven!

  • 11:15 Uhr bis 12:00 Uhr

    Unverzichtbare Sicherheitsmaßnahmen für Webanwendungen

    Lisa Maria Moritz & Christoph Iserlohn, INNOQ

    Im Web lauert eine Vielzahl von Sicherheitsgefahren. Deshalb sollten ein paar grundlegende Vorkehrungen getroffen werden: Angefangen bei der richtigen TLS-Konfiguration, über Schutzmaßnahmen wie dem Einrichten einer Content-Security-Policy und dem Überprüfen nachgeladener Ressourcen mittels Subresource Integrity, bis hin zur Absicherung von Cookies sowie dem Schicken oder Vermeiden bestimmter HTTP-Header. Welche grundlegenden Maßnahmen es zu beachten gilt und wie man diese umsetzt, erfahren Sie in diesem Vortrag.

  • 12:15 Uhr bis 13:00 Uhr

    Über Injection-Angriffe

    Christoph Iserlohn, INNOQ

    Injection-Angriffe können extrem gefährlich sein und belegen nicht zu unrecht den ersten Platz in der OWASP Top 10. SQL-Injections sind dabei wohl die bekanntesten. Sie kommen immer wieder vor, obwohl Gegenmaßnahmen wie Prepared-Statements kein Geheimnis sind. In diesem Vortrag schauen wir uns an, warum das (immer noch) so ist, und wie einfach sich SQL-Injections finden und ausnutzen lassen. Zudem werfen wir, anhand eines lehrreichen Beispiels aus der Praxis, einen Blick auf Command-/Code-Injections.

  • 13:00 Uhr bis 14:00 Uhr

    Mittagspause

    Nutzen Sie die Mittagspause gerne zum Austausch mit anderen Teilnehmern der Konferenz.

  • 14:00 Uhr bis 14:45 Uhr

    Agiles Threat Modeling für Webanwendungen

    Christian Schneider, Software-Architekt, Hacker, Trainer

    Agile Softwareentwicklung und kontinuierliches Threat Modeling: Geht das? Ja, und zwar ganz getreu dem DevSecOps-Sinne mittels “Threat-Model-as-Code”! Sehen Sie in dem Vortrag die Ideen hinter dem Ansatz: entwicklerfreundliches Bedrohungsmodellieren der Architektur von Webanwendungen direkt aus der IDE heraus, ganz stilecht mit einer Live-Demo mittels Open-Source-Werkzeugen. In IDEs editierbare und in Git diffbare Modelle, interaktive Modellerstellung, automatisch regel-basiert abgeleitete Risiken sowie grafische Diagramm- und Reportgenerierung inklusive Mitigationsmaßnahmen.

  • 15:00 Uhr bis 15:45 Uhr

    Stranger Danger: Your Node.js Attack Surface Just Got Bigger

    Liran Tal, Snyk

    Building Node.js applications today mean that we take a step further from writing code and using open-source dependencies to also creating a Dockerfile, deploying containers to the cloud, and orchestrating this infrastructure with Kubernetes. Welcome, you're a cloud native application developer! As developers, our responsibility broadened, and more software means more software security concerns for us to address.

    Join me for a hands-on Node.js cloud native live-hacking session, to show common threats, vulnerabilities and misconfigurations. Most importantly, we'll also show how you can protect your application with actionable remediation and best practices for each exploit we demonstrate.

  • 16:00 Uhr bis 16:45 Uhr

    Richtig sicher: OAuth und OpenID Connect in Webanwendungen

    Jörg Krause, www.IT-Visions.de

    Authentifizierung von Benutzern in modernen Webanwendungen ist nicht trivial, denn neben allgemeinen Sicherheitsanforderungen gilt es auch die DSGVO zu beachten und gleichzeitig ausreichend komfortabel zu sein. In diesem Vortrag stellt Jörg Krause die grundlegenden Protokolle OAuth und OpenID Connect und deren praktische Funktionsweise vor. Zudem zeigt er die Implementierung am Beispiel des Cloud-Dienstes "Azure B2C".

  • 17:00 Uhr

    Abschluss und Networking

    Björn Bohn, heise Knowledge

    Wir hoffen, Sie haben viel gelernt und nutzen den restlichen Abend für Austausch und Networking mit Teilnehmern und Speakern.

IHRE EXPERTEN

  • Christian Wenz

    Christian Wenz

    Co-Founder, Arrabiata Solutions

    Christian Wenz ist Berater, Trainer und Autor für Webtechnologien. Als Teilhaber der Arrabiata Solutions sorgt er für schnellere und sicherere Webanwendungen. Er ist ASP.NET MVP und ASPInsider, Hauptautor der offiziellen PHP-Zertifizierung, Kontributor mehrerer Open-Source-Projekte und spricht regelmäßig auf Entwicklerkonferenzen rund um den Globus.

  • Golo Roden

    Golo Roden

    CTO, the native web

    Golo Roden ist Gründer und CTO der the native web GmbH. Er berät Unternehmen zu Technologien und Architekturen im Web- und Cloud-Umfeld, unter anderem zu TypeScript, Node.js, React, CQRS, Event-Sourcing und Domain-Driven Design (DDD).

  • Christian Schneider

    Christian Schneider

    Software-Architekt, Hacker, Trainer

    Christian Schneider ist als freiberuflicher Whitehat-Hacker, Trainer und Security-Coach tätig. Als Softwareentwickler mit mittlerweile zwanzig Jahren Erfahrung – ein Großteil davon im Java-Umfeld – fand er 2005 seinen Themenschwerpunkt im Bereich IT-Security. Er berät DAX-Konzerne und mittelständische Unternehmen im Bereich der sicheren Softwareentwicklung durch Security Architecture Consulting und Penetrationtesting.

  • Lisa Moritz

    Lisa Maria Moritz

    Consultant, INNOQ

    Lisa Moritz ist Consultant bei INNOQ. Ihre Schwerpunkte liegen in Web-Architekturen und der Programmierung mit Java sowie JavaScript. Sie ist sowohl im Backend als auch im Frontend unterwegs. Neben der Programmierung und Konzipierung von Architekturen engagiert sie sich im Bereich Sketchnotes und macht seit Juni 2020 regelmäßig Sketchnotes für Software-Architektur im Stream. Dort steht sie auch gelegentlich als Gast oder Interviewer vor der Kamera.

  • Christoph Iserlohn

    Christoph Iserlohn

    Senior Consultant, INNOQ

    Christoph Iserlohn ist Senior Consultant bei INNOQ. Er hat langjährige Erfahrung mit der Entwicklung und Architektur verteilter Systeme. Sein Hauptaugenmerk liegt dabei auf den Themen Skalierbarkeit, Verfügbarkeit und Sicherheit.

  • Lyran Tal

    Liran Tal

    Developer Advocate, Snyk

    Liran Tal is an application security activist and long-time proponent of open-source software. He is a member of the Node.js security working group, an OWASP project lead, and author of Essential Node.js Security, and O'Reilly's Serverless Security. At Snyk, he is leading the developer advocacy team and in a mission to empower developers with better dev-first security.

  • Jörg Krause

    Jörg Krause

    Softwarearchitekt, www.IT-Visions.de

    Jörg Krause arbeitet im Expertenteam von www.IT-Visions.de als Softwarearchitekt, Berater und Softwareentwickler mit Schwerpunkt Web- und Cloud-Anwendungen. Neben der Beratung zu aktuellen Technologien vermittelt Jörg auch Wissen über Optimierung und Sicherheit in Schulungen und Workshops

TICKETS BUCHEN

  • Ein ganzer Tag Security-Know-how für Entwickler
  • Sieben Praxisvorträge renommierter Experten
  • Websecurity von den Grundlagen bis zur Praxis
  • Online-Teilnahme vom eigenen Schreibtisch aus
  • Tauschen Sie sich mit anderen Teilnehmern aus
  • Stellen Sie den Experten Fragen über den Chat
  • Unbefristeter Zugang zu allen Videos & Materialien
  • Ideal für Teams und Unternehmen

TICKET: 199 €*

Sie wollen mit Ihrem Team oder Ihrem Unternehmen an der Konferenz teilnehmen? Kontaktieren Sie Björn Bohn für ein exklusives Angebot!

JETZT BUCHEN

*Alle Preise verstehen sich inkl. gesetzl. MwSt. (kann je nach Bestimmungsland im Bestellverlauf variieren).

SPONSORING

Sie haben Interesse an einer Partnerschaft? Kontaktieren Sie uns und profitieren Sie als Sponsor von unseren maßgeschneiderten Paketen.

Gern erstellen wir Ihnen ein Angebot!

Tarik El-Badaoui // +49 [0] 511 5352-395 // teb@heise.de