Sie haben Fragen? +49 40 88 173-0

1 Tag

Java & Open Source

Java EE Security - Workshop

Zielgruppe

Voraussetzungen

  • Solide Kenntnisse der Java Enterprise Edition
  • Praktische Erfahrungen mit dem Einsatz des Wildfly Application Servers oder der JBoss Enterprise Application Platform

Beschreibung

Anwendungen, die in einem geschäftlichen Kontext betreiben werden, haben besondere Sicherheitsanforderungen. Ihre Daten und Operationen sind Bestandteil der Geschäftsprozesse des Unternehmens und damit besonders interessant für Angreifer. Aufgrund der kontinuierlich steigenden Vernetzung bieten Unternehmensanwendungen auch immer häufiger Angriffsflächen, die von außen, über das Internet erreichbar sind. Die Java Enterprise Edition, die jetzt in die Jakarta Enterprise Edition umbenannt wurde, bietet eine ausgereifte Sammlung an Technologien und Werkzeugen, um sichere Geschäftsanwendungen zu erstellen und zu betreiben. In diesem Workshop vermitteln wir, welche Sicherheitsaspekte im unternehmerischen Umfeld aus technischer Perspektive relevant sind und wie diese unter Einsatz von Java EE konkret umgesetzt werden. Als Java EE Implementierung setzen wir den Wildfly Application Server, bzw. die JBoss Enterprise Application Platform (EAP) von Red Hat ein. Die theoretischen Grundlagen werden stets mit praktischen Übungen vertieft.

Termin & Preis: Auf Anfrage

Inhalte

  • Grundlagen Security (Schutzziele, Schutzmaßnahmen, Sicherheitsanalyse, Sicherheitspolitik)
  • Web-Security
    • Typische Angriffsszenarien (OWASP)
    • Absichern von JSF-Anwendungen
    • Absichern von HTML-5 Anwendungen (z.B. mit OAuth 2.0)
    • Einsatz eines zentralen Authentisierungs- und Autorisierungsserver am Beispiel KeyCloak
  • M2M-Security
    • Kurze Einführung in die Grundlagen SOAP, WSDL, JAX-WS
    • Sicherheitstechnologien im SOAP-Umfeld (Authentisierung, Signaturen und Verschlüsselung mit WS-Security)
    • Besonderheiten bei JAX-RS Schnittstellen
  • Absichern der Infrastruktur
    • Absichern der EAP (Authentifizierung, Autorisierung, Passwörtverschlüsselung mit Key-Vault)
    • Konfiguration von HTTPS mit der EAP
    • Ablegen von Passwörtern in der DB
    • Unsere Projekterfahrungen bzgl. Sicherheitsaspekten bei dem Einsatz von PostgreSQL, Oracle und MS-SQL
  • Sicherheit im Entwicklungsprozess
    • Überblick über Verfahren für einen Sicherheitsanalyse (Angriffsbäume, Datenflussdiagramme, Bedrohungsanalyse)
    • Integration von Security-Reviews in den Entwicklungsprozess
    • Integration automatisierbarer Prüfungen im Build-Prozess

Lernziele

  • Guter Überblick über Bedrohungsszenarien für Geschäftsanwendungen
  • Guter Überblick über die Berücksichtigung von Sicherheitsanforderungen im Betrieb und im Entwicklungsprozess
  • Technisches Detailwissen über die Absicherung von Java EE Anwendungen
  • Technisches Detailwissen über die Absicherung der EAP als Java EE Application Server

Anmelden

Zurück

Datenschutzeinstellungen

Klicken Sie auf »Info«, um eine Übersicht über alle verwendeten Cookies zu erhalten. Sie können Ihre Zustimmung nur zu den erforderlichen Cookies oder auch zu den Cookies für Statistiken geben. Die Auswahl erfolgt freiwillig. Sie können diese Einstellungen jederzeit ändern bzw. die Cookies im Browser nachträglich jederzeit löschen. Wählen Sie die Option »Statistik« aus, so erstreckt sich Ihre Einwilligung auch auf die Verarbeitung in den USA, die vom Europäischen Gerichtshof als Land mit unzureichendem Datenschutzniveau eingeschätzt werden. Weiterführende Informationen finden Sie in unseren Datenschutzhinweisen und im Impressum.
In dieser Übersicht können Sie einzelne Cookies einer Kategorie oder ganze Kategorien an- und abwählen. Außerdem erhalten Sie weitere Informationen zu den verfügbaren Cookies.
Gruppe Externe Medien
Name YEXT - Suchleiste
Technischer Name yext
Anbieter Yext GmbH
Ablauf in Tagen 0
Datenschutz https://www.yext.de/privacy-policy/
Zweck Ermöglicht die intelligente Suche über YEXT.
Erlaubt
Gruppe Externe Medien
Name Podigee
Technischer Name Podigee
Anbieter Podigee GmbH
Ablauf in Tagen 0
Datenschutz https://www.podigee.com/de/about/privacy
Zweck Ermöglicht die Nutzung des Podigee Podcast Players.
Erlaubt
Gruppe Externe Medien
Name Google Maps
Technischer Name googleMaps
Anbieter
Ablauf in Tagen 6491
Datenschutz
Zweck Ermöglicht die Nutzung von Google Maps.
Erlaubt
Gruppe Externe Medien
Name YouTube
Technischer Name youTube
Anbieter Google LLC
Ablauf in Tagen 0
Datenschutz https://policies.google.com/privacy
Zweck Ermöglicht die Nutzung des Youtube Videoplayers.
Erlaubt
Gruppe Statistik
Name Google Analytics
Technischer Name _gat,_gtag_UA_133169400_1,_gid,1P_JAR,ANID,NID,CONSENT,_gtag_UA_141664271_1,_gtag_UA_127185455_1,_gtag_UA_127561508_1,_gtag_UA_61387314_1
Anbieter Google LLC
Ablauf in Tagen 730
Datenschutz https://policies.google.com/privacy
Zweck Cookie von Google für Website-Analysen. Erzeugt anonyme statistische Daten darüber, wie der Besucher die Website nutzt.
Erlaubt
Gruppe Essenziell
Name Contao CSRF Token
Technischer Name csrf_contao_csrf_token
Anbieter
Ablauf in Tagen 0
Datenschutz
Zweck Dient zum Schutz der Website vor Fälschungen von standortübergreifenden Anfragen. Nach dem Schließen des Browsers wird das Cookie wieder gelöscht
Erlaubt
Gruppe Essenziell
Name Contao HTTPS CSRF Token
Technischer Name csrf_https-contao_csrf_token
Anbieter
Ablauf in Tagen 0
Datenschutz
Zweck Dient zum Schutz der verschlüsselten Website (HTTPS) vor Fälschungen von standortübergreifenden Anfragen. Nach dem Schließen des Browsers wird das Cookie wieder gelöscht
Erlaubt
Gruppe Essenziell
Name PHP SESSION ID
Technischer Name PHPSESSID
Anbieter
Ablauf in Tagen 0
Datenschutz
Zweck Cookie von PHP (Programmiersprache), PHP Daten-Identifikator. Enthält nur einen Verweis auf die aktuelle Sitzung. Im Browser des Nutzers werden keine Informationen gespeichert und dieses Cookie kann nur von der aktuellen Website genutzt werden. Dieses Cookie wird vor allem in Formularen benutzt, um die Benutzerfreundlichkeit zu erhöhen. In Formulare eingegebene Daten werden z. B. kurzzeitig gespeichert, wenn ein Eingabefehler durch den Nutzer vorliegt und dieser eine Fehlermeldung erhält. Ansonsten müssten alle Daten erneut eingegeben werden.
Erlaubt
Gruppe Essenziell
Name FE USER AUTH
Technischer Name FE_USER_AUTH
Anbieter
Ablauf in Tagen 0
Datenschutz
Zweck Speichert Informationen eines Besuchers, sobald er sich im Frontend einloggt.
Erlaubt
Gruppe Statistik
Name Google Repcatcha
Technischer Name googleRepcatcha
Anbieter Google LLC
Ablauf in Tagen 0
Datenschutz https://policies.google.com/privacy
Zweck Anti-Spam Schutz.
Erlaubt
Gruppe Statistik
Name ClickDimensions
Technischer Name cuvid,cusid,cuvon,cd_optout_accountkey
Anbieter ClickDimensions
Ablauf in Tagen 730
Datenschutz https://clickdimensions.com/solutions-security-and-privacy/
Zweck Cookie von ClickDimensions für Website-Analysen. Erzeugt anonyme statistische Daten darüber, wie der Besucher die Website nutzt.
Erlaubt