Die Konferenz für
sichere Software- und Webentwicklung
Heidelberg, Print Media Academy, 24.-27. Oktober 2017

heise devSec 2017 » Programm »

// Java Web Security Workshop (Di., 24.10.)

Der Java-Web-Security-Workshop setzt der unsicheren Entwicklung von Java-Webanwendungen ein Ende und stellt dazu typische und aktuelle Sicherheitsprobleme in Java-Webanwendungen vor.

Die als Ausgangspunkt eingesetzten OWASP Top 10 schaffen ein erstes Verständnis von möglichen Schwachstellen in individuell entwickelten Webanwendungen. Mit den OWASP Top 10 Proactive Controls wird es anschließend für jeden Java-Entwickler deutlich einfacher, sichere Webanwendungen zu entwickeln.

Die dabei im Workshop Kenntnisse zur sicheren Entwicklung lassen sich in zahlreichen Übungen und Demos gleich praktisch anwenden und das Erlernte so direkt ausprobieren.

Agenda


  • 8.30: Registrierung und Begrüßungskaffee

  • 09.30: Beginn


    • Java Security

    • Security Tools

    • OWASP Top 10 Proactive Controls


  • 11.00 - 11.15: Pause


    • OWASP Top 10 Proactive Controls


  • 12.30 - 13.30: Mittagspause


    • OWASP Top 10 Proactive Controls


  • 15.00 - 15.15: Pause


    • Security Header

    • Application Intrusion Detection


  • ca. 17.00 Uhr: Ende



Technische Anforderungen

Für die Teilnahme an den Übungen sind ein paar technische Grundvoraussetzungen notwendig:

  • Eigenes Notebook (Linux, Mac, Windows) mit lokalen Admin-(Root-)Rechten. Ohne Admin-Rechte kann es bei manchen Übungen bzw. Installation der Tools Probleme geben, ansonsten kann man aber auch mit normalen Rechten die Beispiele nachvollziehen.

  • Java 8 (JDK, 32- oder 64 Bit)

  • Maven 3.x

  • Beliebige Entwicklungsumgebung (Eclipse, IntelliJ IDEA, NetBeans) mit Git und Maven Integration (Git ist optional für den Clone des Beispielrepos erforderlich, die Demo-Anwendungen können alternativ auch aus einem zip-Archiv importiert werden)

  • Mozilla Firefox (in anderen Browsern kann es sein, dass manche der Beispielanwendungen nicht korrekt funktionieren, die Verwendung mancher Tools ist u.U. etwas komplizierter

  • Stark in den Rechten eingeschränkte Firmen-Notebooks sind nicht zu empfehlen.


Zur Vorbereitung können die folgenden Tools bereits heruntergeladen und installiert werden:

Falls Sie ein Gerät Ihrer Firma verwenden, überprüfen Sie vorher bitte, ob eines der folgenden, gelegentlich vorkommenden Probleme bei Ihnen auftreten könnte.
- Workshop-Teilnehmer hat keine Administrator-Rechte.
- Corporate Laptops mit übermäßig penibler Sicherheitssoftware
- Gesetzte Corporate-Proxies, über die man in der Firma kommunizieren muss, die aber in einer anderen Umgebung entsprechend nicht erreicht werden.

Vorkenntnisse
Kenntnisse in der Entwicklung von Java-Webanwendungen.

Lernziele
Der Workshop schafft bei den Teilnehmern zunächst ein grundlegendes Bewusstsein für das Thema sichere Softwareentwicklung mit Java. Mit den OWASP Top 10 wird dabei ein Grundverständnis für aktuelle und verbreitete Sicherheitsprobleme geschaffen und so das Verständnis für die Notwendigkeit sicherer Entwicklung geweckt. Die OWASP Top 10 Proactive Controls unterstützen gleichzeitig dabei, diese Sicherheitsprobleme gezielt zu beheben, und zeigen Java-Entwicklern, was sie bei der täglichen Entwicklungsarbeit unbedingt berücksichtigen müssen.

// Dominik Schadow Dominik Schadow

besitzt viele Jahre Erfahrung in der Java-Entwicklung und -Beratung und arbeitet als Senior Consultant beim IT-Beratungsunternehmen BridgingIT. Sein Fokus liegt auf der Architektur und Entwicklung von Java-Enterprise-Applikationen und der sicheren Softwareentwicklung mit Java. Er ist regelmäßiger Autor und als Speaker auf zahlreichen Konferenzen vertreten.