API-Sicherheit in der Praxis: Angriff und Verteidigung


Online-Workshop am 23. Mai 2022, ca 9:00–16:00 Uhr

APIs verbinden Web-Anwendungen mit Backend-Systemen oder stellen Geschäftsfunktionen für andere Organisationen bereit. Die zunehmende Angriffsfläche der APIs macht Anwendungen verwundbar. Um Schnittstellen effektiv zu schützen, ist es wichtig, potenzielle Angriffe zu verstehen.

Im Workshop lernst du, wie ein Hacker zu denken und Schwachstellen zu entdecken. Selbstverständlich werden auch Maßnahmen zum Schutz der einzelnen Angriffe vorgestellt und erläutert. Ferner diskutieren wir aktuelle Best Practices und Strategien zur Verbesserung der API-Sicherheit.

Vorkenntnisse

Du solltest über grundlegende Erfahrungen mit APIs verfügen. Für die optionalen Übungen ist folgendes zu installieren: Docker Desktop und Visual Studio Code mit “REST Client”-Plug-in. Bitte teste, ob mit

docker run --rm -p 3000:3000 bkimminich/juice-shop:v13.2.1

unter http://localhost:3000/ der OWASP Juice Shop im Browser erreichbar ist.

Lernziele

  • Lernen, wie Hacker die Schwachstellen der OWASP API Security Top 10 nutzen: beispielsweise fehlerhafte Authentifizierung, Autorisierung oder SQL-Injection.
  • Kennenlernen von sicheren Codierungspraktiken und Architekturmustern, die Hackern das Leben schwer machen.
  • Erfahren, wie API-Gateways, Web Application Firewalls und Code-Scanner zu sicheren APIs beitragen können.

Technische Anforderungen

  • Visual Studio Code (https://code.visualstudio.com/)
  • Installation des REST-Plugins für VSC (https://marketplace.visualstudio.com/items?itemName=humao.rest-client)

Speaker

 

Thomas Bayer
Thomas Bayer ist seit 25 Jahren als Berater in der Softwareentwicklung tätig und Gründer der predic8 in Bonn. Sein Interesse gilt den APIs, Microservices und der Anwendungsintegration. Von ihm mitentwickelte Open Source Werkzeuge und Bibliotheken sind die Grundlage einiger Services und Produkte in der API-Welt. In der Freizeit macht er Yoga oder fotografiert.

Tobias Polley
Tobias Polley ist Trainer bei predic8 in Bonn. Er hilft Entwicklern und Architekten dabei, produktiver zu werden. Zusammen entwerfen, bauen und sichern sie Kubernetes-Cluster sowie CI/CD-Ketten für Cloud-native Anwendungen. Tobias betreut das Open-Source-API-Gateway Membrane Service Proxy, das Unternehmen dabei hilft, ihre Anwendungen zu sichern. Er macht gerne Yoga und genießt nahöstliche Küche.

betterCode-Newsletter

Du möchtest über die betterCode() API und weitere unserer betterCode()-Events auf dem Laufenden gehalten werden?

 

Anmelden