Angriffsvektoren bei APIs

• OWASP API Security Top 10 Risken
• SQL-, XML- und Skript- Injection
• Denial of Service
• Man in the Middle Attacken

Grundlagen Sicherheit

• Verfügbarkeit, Vertraulichkeit und Datenintegrität
• Authentifizierung, Authorisierung und Nichtabstreitbarkeit
• Die wichtigsten Grundbegriffe: Identität, Claim, Token, ...

Grundlagen der Kryptographie

• Fingerabdruck und Hashfunktionen z.B. SHA
• Die Algorithmen AES, DES und RSA im Überblick
• Symmetrische- und asymmetrische Verschlüsselung
• X.509 Zertifikate und Signaturen

SSL/TLS

• Verschlüsselung und Authentifizierung
• Server- und Client Zertifikate
• Welche TLS Version ist sicher?

API Gateways & API Management

• Gateway, DMZ und Firewall

Authentifizierung & Autorisierung

• OAuth2, JWT oder API Keys?
• JWT und OAuth2 gegen Azure AD, LDAP und Keycloak
• Session oder Token?

OAuth2 und OpenID Connect

• Ablauf einer Autorisierung mit OAuth2 und OIDC
• OAuth2 (JWT) Bearer Token
• Anwendungsfälle: Server basierte Webapp, HTML5 Javascript Seite, Mobile App
• Implementierungen: Apache Oltu, Spring Security OAuth
• Use Case: OAuth2 im Social Web
• Einsatz von OAuth2 im Unternehmen

JSON Web Tokens und Encryption

• Aufbau eines Tokens
• JSON Web Signature (JWS), Encryption (JWE) und Key (JWK)
• Erzeugen und konsumieren von JWS, JWE, JWK mit Java oder JavaScript
• Erzeugen von JWE Dokumenten

Eingabe-Validierung

• Wie man SQL-, XML- und Code-Injection verhindern kann
• Überprüfung von JSON & XML Inhalten
• Check von Query- und Path-Parametern
• HTTP Header
• White- und Blacklists
• HTML Sanitizer, Input Sanitization, Escaping

API Gateways und API Management

• Rate Limiting und Quotas
• Konfiguration über Swagger

Secure REST Design

• Wie ist eine sichere URI aufgebaut?