Die unabhängige Konferenz zu Software-Qualität
03. - 04. Mai 2022
03. - 04. Mai 2022
Konferenzprogramm
Die im Konferenzprogramm des GTD 2022 angegebenen Uhrzeiten entsprechen der Central European Time (CET).
Gerne können Sie die Konferenzprogramm auch mit Ihren Kolleg:innen und/oder über Social Media teilen.
Der Track+ besteht aus Präsentationen der Sponsoren und unterliegt somit nicht der Qualitätssicherung des Conference Boards.
Bitte beachten Sie, dass es für vereinzelte Workshops ggf. eine Teilnehmendenbeschränkung gibt. Weitere Infos hierzu finden Sie in den Workshop-Beschreibungen.
Konferenzprogramm 2022
Track: Workshop
- Mittwoch
04.05.
, (Mittwoch, 04.Mai 2022)
12:45 - 14:45
Mi2.3
Limitiert
Aktuelles zu Sicherheitstesten für web-basierte Anwendungen
Aktuelles zu Sicherheitstesten für web-basierte Anwendungen
Die Sicherheit von Web-Anwendungen ist ein schnell-lebiges Thema mit ständig neuen Schwachstellen. Als Tester ist es schwierig, damit in der täglichen Arbeit Schritt zu halten. Wir werden uns daher die neuen Einträge in den OWASP Top 10 der schwerwiegendensten Schwachstellen von Webanwendungen ansehen und wie man diese mit Methoden und Werkzeugen des Sicherheitstestens addressieren kann: Insecure Design, Software and Data Integrity Failures, sowie Server-Side Request Forgeries (SSRF). Konkret werden wir uns in Praxisaufgaben damit beschäftigen, wie man diese Schwachstellen mittels des Werkzeugs SonarQube finden und beheben kann.
Maximale Teilnehmerzahl: 15
Zielpublikum: Tester, Entwickler, Testmanager, Projektleiter mit Interesse an sicheren Web-Anwendungen
Voraussetzungen: Grundlegende Kenntnisse im Softwaretest
Schwierigkeitsgrad: Basic
Extended Abstract:
Jedes Jahr werden zigtausende Schwachstellen in Softwareanwendungen bekannt, mit desaströsen Auswirkungen für die Reputation der betroffenen Entwickler und die Daten ihrer Kunden, oft mit signifikanten finanziellen Schäden.
Die Sicherheit von Web-Anwendungen ist dabei ein schnell-lebiges Thema, bei dem ständig neue Schwachstellen relevant werden. Als Tester ist es schwierig, damit in der täglichen Arbeit Schritt zu halten
Wir werden uns daher die neuen Einträge in den OWASP Top 10 der schwerwiegendensten Schwachstellen von Webanwendungen ansehen und wie man diese mit Methoden und Werkzeugen des Sicherheitstestens addressieren kann: Insecure Design, Software and Data Integrity Failures, sowie Server-Side Request Forgeries (SSRF). Konkret werden wir uns in Praxisaufgaben damit beschäftigen, wie man diese Schwachstellen mittels des Werkzeugs SonarQube finden und beheben kann.
Beim Sicherheitstesten müssen wir dabei wie ein Angreifer denken können. In diesem Tutorial werden wir uns daher in das Gehirn des Angreifers schleichen und auf seine Art zu denken lernen. Dazu basiert das Tutorial auf einem praktischen Einsatz des Softwareanalysewerkzeugs SonarQube seitens der Teilnehmer. So werden wir lernen, wie wir die dort umgesetzten Sicherheitstests nutzen können und diese automatisch ausführen lassen können. Diese Tests spiegeln die Best Practices in der Entwicklung sicherer Web-Anwendungen wieder.
Das Tutorial ist entlang praktischer Übungen mittels open-source Werkzeugen für das Sicherheitstesten strukturiert, für die ein eigener Laptop mitgebracht werden sollte. Konkret sind dies u.a. die Software-QS-Plattform SonarQube, die wir für Sicherheitstests verwenden werden. Dabei werden wir aus erster Hand erfahren, wie Angreifer bei der Schwachstellensuche vorgehen, was uns dabei hilft, solche Schwachstellen zu vermeiden.
Jan Jürjens ist Director Research Projects am Fraunhofer ISST und leitet als Professor für Software Engineering das Institut für Softwaretechnik an der Universität Koblenz. Sein Arbeitsschwerpunkt ist die Entwicklung und das Testen sicherheitskritischer Software, für die er Ansätze und Werkzeuge in Kooperation mit Unternehmen entwickelt. Er ist Autor des Buches 'Secure Software Development with UML', das auch ins Chinesische übersetzt wurde.
