search
German Testing Day | 07. + 08. Mai 2024
Die unabhängige Konferenz zu Software-Qualität
menu

Konferenzprogramm

Die im Konferenzprogramm des GTD 2024 angegebenen Uhrzeiten entsprechen der Central European Time (CET).

Ihr benötigt mehr Übersicht vor Ort?
» Zur Programmübersicht als PDF (Mittwoch)
» Zum Raum- und Expoplan

Konferenzprogramm 2024

Statisches und dynamisches Sicherheitstesten: Aktuelle Schwachstellen und wie man sie findet

Software-Sicherheit ist ein schnelllebiges Thema mit ständig neuen Schwachstellen. Als TesterIn ist es schwierig, damit Schritt zu halten. Wir werden uns daher die aktuell schwerwiegendsten Schwachstellen (OWASP Top 10 Security Vulnerabilities) ansehen und wie man diese mit Methoden und Werkzeugen des statischen und dynamischen Sicherheitstestens addressieren kann. Konkret werden wir uns in praktischen Übungen damit beschäftigen, wie man diese Schwachstellen durch statische Analyse mittels SonarQube und durch Penetrationstests mittels verschiedener Werkzeuge in Kali Linux finden und beheben kann.

Zielpublikum: Tester:innen, Entwickler:innen, Testmanager
Voraussetzungen: Grundlegende Testkenntnisse. Für die praktischen Übungen wäre ein Laptop hilfreich.
Schwierigkeitsgrad: Basic

Benötigt wird ein Laptop.
Maximale Anzahl von Teilnehmern: 16
Wenn Sie an diesem Workshop teilnehmen möchten, bitten wir Sie, beim Kauf Ihres Tickets die Kursauswahl zu vermerken. Bitte erscheinen Sie 10 Minuten vor Beginn des Workshops im Vortragsraum.

Extended Abstract:
Das Tutorial, das einen großen Schwerpunkt auf Interaktion und praktische Übungen auf Basis eines Miro-Boards legt, ist wie folgt strukturiert:

  • Einführung und Motivation in Softwaresicherheit
  • Einführung und Überblick zu den 10 aktuell gefährlichsten Softwareschwachstellen (OWASP Top 10)
  • Eine davon in technischen Einzelheiten: Cross-Site Scripting (XSS)
  • Praktischer Demo und Übungen zur Ausnutzung dieser Schwachstelle am Beispiel der absichtlich unsicheren Web-Anwendung Google Gruyere (https://google-gruyere.appspot.com)
  • Statische Sicherheitsanalyse mit SonarQube; Beispiel-Anwendungen in der SonarCloud (https://sonarcloud.io/explore/projects)
  • Dynamische Sicherheitsanalyse und Penetrationstest mit Kali Linux: Praktische Übungen in einer Cloud-basiert bereitgestellten Kali Linux VM, z.B. die Werkzeuge nmap, skipfish, Zed Application Proxy (ZAP) und metasploit.

Das Tutorial besteht zu ca. 50 % aus praktischen Aktivitäten, die in Kleingruppen unter Anleitung des Dozenten durchgeführt werden..

Track: Interactive
16:00 - 18:05
Vortrag: Di3.1
Themen: Testverfahren
Workshops
Use Cases

Vortrag Teilen