Download als PDFSchulung:
REST und API Sicherheit

Kurs-IDDauerPreisNächste TermineVeranstal­tungsortDFG
WAPISEC2 Tage1.460 EUR05.03. - 06.03.2018
21.06. - 22.06.2018
29.11. - 30.11.2018
Bonn
Mannheim
Bonn

Preise pro Person zzgl. MwSt., Inhouse Seminare auf Anfrage.

Seminarbeschreibung

REST APIs basieren auf Web-Technologien, unterscheiden sich aber von Web Anwendungen und weisen andere Bedrohungspotentiale sowie Risiken auf. Die Besonderheiten bei der Absicherung von APIs bilden den Schwerpunkt dieser Schulung. Die Grundlagen werden im Kurs mit anschaulichen Beispielen, Übungen und Demonstrationen behandelt.

Kurs-Inhalt

Angriffsvektoren bei REST APIs

  • Die OWASP Top 10 Risken
  • SQL-, XML- und Skript-Injection Angriffe
  • CSRF, DoS und Man in the Middle Attacken

Grundlagen der Sicherheit und Kryptographie

  • Verfügbarkeit, Vertraulichkeit, Integrität
  • Authentifizierung, Authorisierung und Nichtabstreitbarkeit
  • Grundbegriffe: Identität, Token, Hashalgorithmus, ...
  • Digitaler Fingerabdruck, Hashfunktion & Digest
  • Sicherheit von Hash Algorithmen
  • Symmetrische Verschlüsselung mit dem AES Algorithmus
  • Asymmetrische Verschlüsselung

Kryptographie mit öffentlichen Schlüsseln

  • X.509 Zertifikate und digitale Signaturen
  • Das Root-Zertifikat
  • Signieren von URLs und Anfragen

SSL

  • Verschlüsselung und Authentifizierung
  • Basic Authentication mit SSL
  • Server- u. Client Zertifikate
  • Welche TLS Versionen sind sicher?

API Gateways

  • API Gateway als Firewall
  • Granularität der Zugriffsrechte

SSO für APIs

  • OAuth, JWT oder SAML?
  • Integration mit LDAP
  • Weiterreichen der Identität des Aufrufers an Downstream Services

API Schlüssel

  • Vorteile von API Keys gegenüber Passwörtern
  • Ausgabe von API Schlüsseln über Portale
  • Sichern eines "Public APIs" mit Keys

OAuth

  • Ablauf einer OAuth2 Autorisierung
  • Implementierungen: Spring Security OAuth
  • OAuth2 im Social Web und im Unternehmen

OpenID Connect

  • Ablauf einer Authentifizierung
  • ID Tokens
  • Produkte

JSON Web Token und Web Encryption

  • Single Sign On SSO mit JWT
  • Aufbau eines JWT Token
  • Signieren von JWT Tokens

Eingabe-Validierung

  • Wie man SQL-, XML- und Code-Injection verhindern kann
  • Check von Query- und Path-Parametern
  • White- und Blacklists
  • HTML Sanitizer, Input Sanitization, Escaping

API Gateways

  • Funktionsweise eines Reverse Proxy
  • Rate Limiting und Quotas
  • Cross-Origin Resource Sharing CORS erleichtern

Zielgruppe

Entwickler, Sicherheitsbeauftragte und Projektmanager

Voraussetzung für Seminar-Teilnahme

IT Grundlagen

Seminar-Dauer

2 Tage, 1. Tag 10:00 bis 17:00 Uhr, Folgetag(e) 9:00 bis 16:30 Uhr

Teilnehmerzahl

min. 1, max. 8 Personen

Vorteile einer Seminar-Teilnahme

  • Erlernen Sie die theoretischen Grundlagen zur Absicherung Ihrer Schnittstellen
  • Verschaffen Sie sich einen Überblick über mögliche Angriffsszenarien und lernen Sie geeignete Gegenmaßnahmen kennen
  • Unsere Kurs-Unterlagen sind immer auf dem aktuellsten Stand

Termine für Seminar: REST und API Sicherheit

Seminar-TerminDauerDFGOrtPreisSeminar-Anmeldung
05.03. - 06.03.20182Bonn1.460 EUROnlineFax
21.06. - 22.06.20182Mannheim1.460 EUROnlineFax
29.11. - 30.11.20182Bonn1.460 EUROnlineFax

Preis pro Person zzgl. MwSt. inkl. Unterlagen, Zertifikat, Tagesverpflegung, Getränke, Obst und Snacks.

Inhouse-Kurse

Alle unsere Seminare können wir Ihnen auch für eine Durchführung in Ihrem Hause anbieten. Hierbei können die Inhalte aller unserer Seminare beliebig für Ihr individuelles Training zu einem Wunschseminar zusammengestellt werden.

Rabatte, Durchführungsgarantie und AGBs

Wir beraten Sie gern
Infomail
Anja Fassott
+49 621 71839-12
Offene Termine
05.03. - 06.03.Anmelden
21.06. - 22.06.Anmelden
29.11. - 30.11.Anmelden
   
Fax-Formular:Anmelden

✱  Durch­führungs­garantie

Inhouse Kurse
Alle Seminare sind auch Inhouse möglich.
Einzelschulung
Sie wollen die volle Aufmerksamkeit?!
In unseren Einzelschulungen haben Sie den Trainer ganz für sich alleine.
Zum Geschaeftsbreich Competence Center
Schulung
Möchten Sie mehr über Microservices für Architekten oder Microservices mit Java erfahren?

Service

Competence Center

Schulung