Web security workshop
9 October 2007 (10-18)
Locatie: Business Faculty Brussel (Neder-over-Heembeek)
Gepresenteerd in het Nederlands door
Prijs: 480 EUR (excl. 21% BTW)
This event is history, please check out the List of Upcoming Seminars, or send us an email
Check out our related in-house workshops:
- Google BigQuery in Practice (INHOUSE WORKSHOP - On Request)
Leerdoelen
Waarom deze workshop ?
Iedereen die betrokken is bij de ontwikkeling van webapplicaties weet dat security belangrijk is - alleen blijft dat besef soms vrij abstract. Security is niet afhankelijk van HTTPS of de gebruikte technologie, maar moeten worden geprogrammeerd. Deze workshop laat u hands-on ervaren hoe hackers te werk gaan en wat de meest voorkomende fouten zijn in webapplicaties - en de meest gebruikte technieken om die op te sporen.
Belangrijk: deelnemers nemen een laptop mee. Ter plaatse worden een aantal applicaties op de laptop geplaatst, die geen configuratieverandering inhouden - de applicaties leven in een aantal bestanden in één map, die op het eind van de sessie desgewenst gewoon weer gewist kan worden.
Voor wie is deze workshop bestemd ?
- IT managers
- developers
- architecten
- netwerk managers, ....
... iedereen die zich een beeld wil vormen van web applicatie security en hoe
aanvallen op uw applicatie te voorkomen.
Volledig Programma
De dag begint om 10u. Wij verwelkomen de deelnemers met koffie, thee en koeken vanaf 9u30 en eindigen rond 18u.
In dit onderdeel bespreken we welke kwetsbaarheden bestaan op web applicaties.
Een paar voorbeelden zijn:
- cross-site-scripting
- SQL Injection
- Cookie Poisoning
- Forceful browsing,...
We bekijken in detail via echte voorbeelden hoe deze aanvallen worden gebruikt om bijvoorbeeld toegang te krijgen tot een web applicatie zonder een geldige gebruikersnaam en wachtwoord of hoe we iemand anders zijn gevoelige informatie kunnen verkrijgen
De nieuwste web applicaties met Web 2.0 technologie hebben ook hun specifieke
kwetsbaarheden.
We gaan dieper in op technologieën zoals:
- AJAX
- JSON,
- XML
en de bijhorende kwetsbaarheden zoals
- Abusing the SAX Parser
- Cross-site-request-forgery
- Flash Injection, ...
Er zijn verschillende web testing tools beschikbaar zoals WebScarab, Burp
Suite, Wikto en Crowbar.
We bekijken de sterktes en zwaktes van deze tools en hoe ze elkaar aanvullen.
Elke deelnemer krijgt een versie van de tools zodat die kan worden geïnstalleerd
op de eigen PC (laptop). Van elke tool wordt een demo gegeven over hoe die moet
worden gebruikt zodat de deelnemers zonder problemen de tools kunnen gebruiken
om de hands-on oefeningen op te lossen.
WebGoat is een project van het Open Web Application Security Project (OWASP).
WebGoat is een web applicatie met verschillende kwetsbaarheden zoals we eerder
hebben gezien. Elke les is een praktische opdracht waarbij de deelnemer de kwetsbaarheid
moet misbruiken om de les tot een goed einde te brengen. Hiervoor worden de
nodige tips aangebracht. Een les is bijvoorbeeld de opdracht om een TV aan te
kopen aan €1 ipv €1000.
De deelnemers installeren WebGoat op hun PC en gebruiken de tools om de lessen in WebGoat op te lossen. Elke deelnemer krijgt de nodige tijd om individueel de oefeningen op te lossen.
Sprekers
Ir. Erwin Geirnaert is partner en mede-oprichter van ZION SECURITY. Hij is een gecertifieerd (CISSP en CISA) en gerenommeerd security expert met een brede strategische en technische ervaring in (web) application security, security testing, code reviews, reverse engineering, identity & access management, mobile security, single sign-on en secure e-business architectures.
Erwin Geirnaert is van opleiding Burgerlijk Ingenieur Computerwetenschappen (Gent), hij startte zijn carrière bij The Reference waar hij verantwoordelijk was voor consultancy, pre-sales support, functionele analyses, WebSphere en security. Vervolgens vervoegde hij het security bedrijf Ascure en specialiseerde zich in (web) application security. Hij gaf training aan developers en security engineers, voerde verschillende succesvolle penetration tests en audits uit voor financiële instellingen en implementeerde een incident response proces voor een groot Europees energiebedrijf. Nadien werd hij geselecteerd door Electrabel om het security team van Electrabel Europe te versterken. Hij assisteerde de security manager om security projecten te realiseren als technisch expert en project manager. Hij was ook verantwoordelijk voor detectie en opvolging van security incidenten.
Gebeten door het Vlaamse ondernemersvirus richtte hij in 2005 het bedrijf Zion Security op met als specialisatie application security. Zion Security voert security testen, code en architecture reviews uit voor grote organisaties. Bijkomend biedt Zion Security een totaaloplossing aan op maat van KMOs om hun applicaties beter te beveiligen.
Erwin is één van de weinige experts in België over (web) application security. Hij is lid van het Open Web Application Security Project (OWASP), ISACA Belux, Software Testing Instituut en het Javapolis Steering Committee. Hij is een veel gevraagd spreker in binnen- en buitenland over application security en security testing. Hij sprak onder andere op Eurostar (de Europese conferentie voor software testers), WhiteHats UK (round-table van security experts in Londen), Javapolis (de Europese Java conferentie), OWASP Conference (de Europese conferentie voor web application security), Technologisch Instituut/KVIV, ICT2Day, KMO-IT, SOA Conference & IT Works en geeft diverse trainingen aan bedrijven over security testing, secure development en application security.
Volgende bedrijven hebben al samengewerkt met Erwin Geirnaert: Microsoft, SAP, Cisco, ING Global, KBC, Mercator Bank & Verzekeringen, Vasco Data Security, Kinepolis, Tessenderlo Chemie, Dexia, AXA, Vlaamse Gemeenschap, Ministerie van Financiën, Dolmen, CSI4SAP, 4 All Networks, Mediargus, Cultuurnet, Merck Eurolab, Telenet, Electrabel, Solvay, Koninklijke Federatie van Notarissen, De Post, Vondelmolen, Excelligent, LoQutus, Mitsubishi Caterpillar, TomTom, Cofinimmo, CSC,...
Questions about this ? Interested but you can't attend ? Send us an email !