REST & API Sicherheit

Schulung / Webinar

APIs, Microservices und die Cloud stellen neue Herausforderungen an die Security:

  • Authentifizierung und Autorisierung von API Benutzern und Clients
  • API Single Sign On
  • Ausstellen und Verwalten von API Keys
  • Bereitstellen von öffentlichen APIs
  • Absicherung der Kommunikation zwischen Microservices

APIs basieren auf Web Technologien, unterscheiden sich aber von Web Anwendungen und haben andere Bedrohungspotentiale und Risiken. Die Besonderheiten bei der Absicherung von APIs und Microservices bilden den Schwerpunkt dieser Schulung.

Grundlagen und Konzepte werden im Seminar mit anschaulichen Beispielen, Übungen und Demonstrationen behandelt.

Inhalt

Angriffsvektoren bei APIs

  • OWASP API Security Top 10 Risken
  • SQL-, XML- und Skript- Injection
  • Denial of Service
  • Man in the Middle Attacken

Grundlagen Sicherheit

  • Verfügbarkeit, Vertraulichkeit und Datenintegrität
  • Authentifizierung, Authorisierung und Nichtabstreitbarkeit
  • Die wichtigsten Grundbegriffe: Identität, Claim, Token, ...

Grundlagen der Kryptographie

  • Fingerabdruck und Hashfunktionen z.B. SHA
  • Die Algorithmen AES, DES und RSA im Überblick
  • Symmetrische- und asymmetrische Verschlüsselung
  • X.509 Zertifikate und Signaturen

SSL/TLS

  • Verschlüsselung und Authentifizierung
  • Server- und Client Zertifikate

API Gateways & API Management

  • Aufbau und Aufgaben eines API Management Systems
  • Gateway, DMZ und Firewall
  • Rate Limiting und Quotas
  • Konfiguration über OpenAPI

Authentifizierung & Autorisierung

  • OAuth2, JWT oder API Keys?
  • JWT und OAuth2 gegen Azure AD, LDAP und Keycloak
  • Session oder Token?

OAuth2 und OpenID Connect

  • Ablauf einer Autorisierung mit OAuth2 und OIDC
  • OAuth2 (JWT) Bearer Token
  • Anwendungsfälle: Server basierte Webapp, HTML5 Javascript Seite, Mobile App
  • Implementierungen: Apache Oltu, Spring Security OAuth
  • Use Case: OAuth2 im Social Web
  • Einsatz von OAuth2 im Unternehmen

JSON Web Tokens und Encryption

  • Aufbau eines Tokens
  • JSON Web Signature (JWS), Encryption (JWE) und Key (JWK)
  • Erzeugen und konsumieren von JWS, JWE, JWK mit Java oder JavaScript
  • Erzeugen von JWE Dokumenten

Eingabe-Validierung

  • Wie man SQL-, XML- und Code-Injection verhindern kann
  • Überprüfung von JSON & XML Inhalten
  • Check von Query- und Path-Parametern
  • HTTP Header
  • White- und Blacklists
  • HTML Sanitizer, Input Sanitization, Escaping

Secure REST Design

  • Wie ist eine sichere URI aufgebaut?

Deine Vorteile

  • Erfahre wie Du REST APIs sichern kannst

Zielgruppe

Software Entwickler, Programmierer, Sicherheitsbeauftragte und Projektmanager

Vorkenntnisse

Grundlagen der IT Sicherheit

Dauer

2 Tage

Kursunterlage

Handouts aller in der Schulung präsentierten Folien.

Infos zu Firmenseminaren

TerminOrtTrainerPreis
17. - 18. 6.BonnTobias Polley1.470,- €*
11. - 12. 11.onlineTobias Polley1.340,- €**

* Gesamtpreis pro Teilnehmer inkl. Kursmaterial und Tagesverpflegung zzgl. Mehrwertsteuer

** Gesamtpreis pro Teilnehmer inkl. Kursmaterial zzgl. Mehrwertsteuer

Unsere Trainer auf YouTube