Sicherheit für REST APIs

Die Sicherheit von REST APIs ist ein kritischer Aspekt in der Entwicklung moderner Webanwendungen. REST APIs sind oft das primäre Mittel für den Datenaustausch zwischen Servern und Clients, wodurch sie zu einem attraktiven Ziel für Cyberangriffe werden. Ein besonderes Augenmerk verdient die Implementierung von Authentifizierungs- und Autorisierungsmechanismen. Fehler in diesen Bereichen können zu schwerwiegenden Sicherheitslücken führen, wie dem unberechtigten Zugriff auf sensible Daten oder der Manipulation von Systemfunktionen. Daher ist es unerlässlich, Entwickler und IT-Sicherheitsexperten:innen mit fundiertem Wissen und praktischen Fähigkeiten auszustatten, um solche Schwachstellen effektiv zu identifizieren und zu schließen.

In diesem Kurs beginnen wir mit einem grundlegenden Überblick über REST API Technologien und deren Beschreibungssprachen. Ein besonderer Fokus liegt dabei auf der OpenAPI Beschreibungssprache. Sie werden nicht nur lernen, wie OpenAPI-Dokumente erstellt und interpretiert werden, sondern auch, wie man diese Dokumente sowohl manuell als auch automatisiert analysiert.
Ein weiterer wichtiger Bestandteil des Kurses befasst sich mit den OWASP Top 10 Sicherheitsrisiken speziell für REST APIs. Wir werden gemeinsam die gängigsten Sicherheitsbedrohungen erkunden und praktische Angriffsszenarien durchspielen. In einer speziell für den Kurs vorbereiteten virtuellen Maschine haben Sie die Möglichkeit, verschiedene Angriffe selbst durchzuführen, um ein tieferes Verständnis für die Angriffstechniken und ihre Auswirkungen zu entwickeln.
Darüber hinaus werden datenformat-basierte und komplexere Multi-Step Angriffe behandelt, bei denen Sie Strategien zur Erkennung dieser Bedrohungen erlernen. Zum Abschluss des Kurses diskutieren wir effektive Gegenmaßnahmen und die aktuellsten Best Practices im Bereich der API-Sicherheit.

In der Schulung werden unter anderem die nachfolgenden Fragen beantwortet:

  • Welche Sicherheitsrisiken bezüglich REST APIs existieren?
  • Wie können REST APIs systematisch nach Schwachstellen untersucht werden?
  • Welche Authentifizierungsmethoden stehen zur Verfügung und wie können diese sicher implementiert werden?

Schulungsinhalte:

  • Einführung in REST APIs
  • Einführung und Analyse von OpenAPI
  • API Authentication Bypasses
  • OWASP Top 10 API Security Risks
  • Gefährliche Datenformate

Trainer und Dozenten

Vladislav Mladenov arbeitet seit 2012 als Sicherheitsforscher am Lehrstuhl für Netz- und Datensicherheit an der Ruhr-Universität Bochum. Im Rahmen seiner Dissertation analysierte er die Sicherheit von Authentifizierungs- und Autorisierungsprotokollen, wie SAML 2.0, OpenID, OpenID Connect und OAuth und deckte zahlreiche Sicherheitslücken auf. Nach seiner Dissertation arbeitet Vladislav Mladenov als PostDoc und widmet seine Aufmerksamkeit zusätzlich den Themen wie die Sicherheit von REST APIs, Datenbeschreibungssprachen (z.B. JSON, XML, PostScript) und Dokumentenformate (z.B. PDF, ODF und OOXML).

Voraussetzungen

  • Grundwissen HTTP und HTML
  • Die Schulung ist sowohl für Entwickler:innen als auch für Penetrationstester:innen geeignet

Inhalt

Der erste Tag beschäftigt sich hauptsächlich mit den Basistechnologien, die für die Beschreibung sowie für die Authentifizierung auf APIs eingesetzt werden. Am zweiten Tag liegt der Fokus bei der systematischen Behandlung der OWASP TOP 10 Risiken.
  • Grundlagen REST APIs
    • Übersicht über relevante REST Technologien und Beschreibungssprachen
    • Gutes Verständnis der OpenAPI Specification
    • Hands-On: (Sicherheits-)Analyse von OpenAPI Dateien
  • API Authentication Bypasses
    • Grundlagen zu JSON und JSON Web Signatures
    • Angriffe auf JSON Web Signatures
    • Hands-On: Be whoever want to be on REST APIs
  • OWASP Top 10 API Security Risks
    • Detailliertes Wissen über alle OWASP TOP 10 wird anhand zahlreicher Beispiele vermittelt
    • Hands-On: Systematische Sicherheitsanalyse von REST API
  • Komplexe Angriffe auf REST APIs
    • Gutes Verständnis über die Gefahren bei der Verarbeitung von verschiedenen Datenformaten
    • Hands-On: Datenformat-basierte und komplexe multi-step Angriffe

Kurszeiten

Wer möchte, reist bis 22 Uhr am Vortag an und nutzt den Abend bereits zum Fachsimpeln am Kamin oder im Park.

An Kurstagen gibt es bei uns ab 8 Uhr Frühstück.

Unsere Kurse beginnen um 9 Uhr und enden um 18 Uhr.

Neben den kleinen Pausen gibt es eine Stunde Mittagspause mit leckerem, frisch in unserer Küche zubereitetem Essen.

Nach der Schulung anschließend Abendessen und Angebote für Fachsimpeln, Ausflüge uvm. Wir schaffen eine Atmosphäre, in der Fachleute sich ungezwungen austauschen. Wer das nicht will, wird zu nichts gezwungen und findet auch jederzeit Ruhe.