Hacker-Angriffe verstehen - ein Workshop für Ethical Hacker

Andreas Sperber

Wednesday 24 October 2018 from 09:30 to 17:30

Workshop in German at SymfonyLive Berlin 2018
Short URL: https://joind.in/talk/0fbaf (QR-Code (opens in new window))

Avg. Rating

Als EntwicklerIn muss man ständig für sichere Webentwicklung sorgen und Dinge wie CSRF-Tokens, Firewalling und Upload-Validierung umsetzen. Halbwegs ist einem klar, wieso alles erforderlich ist. Aber wie kann man eigentlich prüfen, ob das alles funktioniert? Und welche Angriffe gibt es noch auf Webanwendungen. Würde die eigene Anwendung diesen standhalten?

In diesem Workshop lernen wir deshalb Angriffe von Hackern auf Webanwendungen kennen und probieren sie direkt aus. Zunächst wird eine kurze Einführung in mögliche Tools gegeben Anwendungen zu untersuchen und es werden diverse Angriffstechniken vorgestellt. Anschließend können sich alle selbst im Hacken versuchen. Der Workshop findet als Capture the Flag (CTF)-Game im Jeopardy-Modus statt. Alle Teilnehmer sollen lernen, wie sie als Ethical Hacker seine eigene Anwendung prüfen können.

Comments

Comments are closed.

Julian Schneider at 10:54 on 26 Oct 2018

Super interessanter Workshop, vielen Dank Andreas

Alexander Keil at 13:12 on 31 Oct 2018

Ich möchte mich gerne etwas ausführlicher dazu äußern. Das Workshop hat mich persönlich eher frustriert zurück gelassen. Nach einer guten Einführung haben wir dann versucht, dieses CTF-Game durchzuspielen. Ich als totaler Hacker-Neuling hatte mit diesem Game große Schwierigkeiten. Zwar konnte ich zusammen mit meiner Partnerin (auch totaler Neuling auf dem Gebiet) ein paar einfache Aufgaben lösen, aber die meisten Sicherheitslücken, deren Ursache, Ausnutzung und Behebung blieben für mich unerforscht. Genau das habe ich mir von dem Workshop aber versprochen.
Meiner Ansicht nach wäre es besser gewesen, wenn wir zusammen das CTF-Game durchgegangen wären und nicht in kleinen Teams. So könnte jeder einen Beitrag dazu leisten und es wäre sicher gestellt gewesen, dass alle Teilnehmer alle relevanten Inhalte gesehen haben.
Zwar hat Andreas auf Hilferufe reagiert, aber ich konnte ihn ja nicht die ganze Zeit an mich binden. Deshalb war das für mich ein verlorener Tag (und verlorenes Budget). Genau das selbe kann ich mir auch allein geben, dazu muss ich nicht zu einem bezahlten Workshop anreisen. Wenn ich nun die Themen nacharbeiten wollte, müsste ich mir den Cheatsheet zum Juicy-Shop raussuchen und das durchgehen. Wozu dann der Workshop?