{"course":{"productid":36451,"modality":1,"active":true,"language":"de","title":"API security in Python","productcode":"ASIP","vendorcode":"CY","vendorname":"Cydrill","fullproductcode":"CY-ASIP","courseware":{"has_ekit":false,"has_printkit":true,"language":""},"url":"https:\/\/portal.flane.ch\/course\/cydrill-asip","objective":"<ul>\n<li>Vertrautmachen mit grundlegenden Konzepten der Cybersicherheit<\/li><li>Verst&auml;ndnis von API-Sicherheitsfragen<\/li><li>Detaillierte Analyse der OWASP API Security Top Ten Elemente<\/li><li>API-Sicherheit in den Kontext von Python stellen<\/li><li>&Uuml;ber die niedrig h&auml;ngenden Fr&uuml;chte hinausgehen<\/li><li>Verwaltung von Schwachstellen in Komponenten von Drittanbietern<\/li><li>Ans&auml;tze und Grunds&auml;tze der Eingabevalidierung<\/li><\/ul>","essentials":"<p>Allgemeine Python-Entwicklung<\/p>","audience":"<p>Python-API-Entwickler<\/p>","contents":"<h4>Tag 1<\/h4><ul>\n<li>Grundlagen der Cybersicherheit\n<ul>\n<li>Was ist Sicherheit?<\/li><li>Bedrohung und Risiko<\/li><li>Arten von Cybersicherheitsbedrohungen - die CIA-Triade<\/li><li>Folgen von unsicherer Software<\/li><\/ul><\/li><li>OWASP API-Sicherheit Top Ten\n<ul>\n<li>OWASP API-Sicherheit Top 10 2023<\/li><\/ul><\/li><li>API1 - Gebrochene Autorisierung auf Objektebene\n<ul>\n<li>Verwirrter Abgeordneter<\/li><li>Unsichere direkte Objektreferenz (IDOR)<\/li><li>&Uuml;bung - Unsichere direkte Objektreferenz<\/li><li>Berechtigungsumgehung durch benutzergesteuerte Schl&uuml;ssel<\/li><li>Fallbeispiel - Fern&uuml;bernahme von Nexx Garagentoren und Alarmanlagen<\/li><li>Labor - Horizontale Genehmigung<\/li><li>Hochladen von Dateien<\/li><li>Uneingeschr&auml;nkter Datei-Upload<\/li><li>Bew&auml;hrte Praktiken<\/li><li>Labor - Uneingeschr&auml;nkter Datei-Upload<\/li><\/ul><\/li><li>API2 - Fehlerhafte Authentifizierung\n<ul>\n<li>Grundlagen der Authentifizierung<\/li><li>Multi-Faktor-Authentifizierung (MFA)<\/li><li>Fallstudie - Der InfinityGauntlet-Angriff<\/li><li>Passwortlose L&ouml;sungen<\/li><li>Zeitbasierte Einmal-Passw&ouml;rter (TOTP)<\/li><li>Schwachstellen bei der Authentifizierung<\/li><li>Spoofing im Internet<\/li><li>Passwortverwaltung<\/li><li>Speichern von Kontopassw&ouml;rtern<\/li><li>Passwort im Transit<\/li><li>Labor - Reicht das Hashing von Passw&ouml;rtern aus?<\/li><li>W&ouml;rterbuchangriffe und Brute-Forcing<\/li><li>Salzen<\/li><li>Adaptive Hash-Funktionen f&uuml;r die Passwortspeicherung<\/li><li>&Uuml;bung - Verwendung adaptiver Hash-Funktionen in Python<\/li><li>Verwendung von Tools zum Knacken von Passw&ouml;rtern<\/li><li>Passwortknacken unter Windows<\/li><li>Passwort &auml;ndern<\/li><li>Probleme bei der Passwortwiederherstellung<\/li><li>Bew&auml;hrte Verfahren zur Passwortwiederherstellung<\/li><li>&Uuml;bung - Schwachstelle beim Zur&uuml;cksetzen des Passworts<\/li><li>Fallstudie - &Uuml;bernahme eines Facebook-Kontos &uuml;ber einen Wiederherstellungscode<\/li><li>Fallstudie - &Uuml;bernahme eines GitLab-Kontos<\/li><li>Anti-Automatisierung<\/li><li>Passwort-Politik<\/li><li>NIST-Authentifikator-Anforderungen f&uuml;r gespeicherte Geheimnisse<\/li><li>Passwort-H&auml;rtung<\/li><li>Verwendung von Passphrasen<\/li><li>Migration der Passwort-Datenbank<\/li><li>(Fehl-)Handhabung Keine Passw&ouml;rter<\/li><\/ul><\/li><\/ul><h4>Tag 2<\/h4><ul>\n<li>API3 - Gebrochene Objekt-Eigenschaftsebene-Autorisierung\n<ul>\n<li>Informationsexposition<\/li><li>Offenlegung durch extrahierte Daten und Aggregation<\/li><li>Fallstudie - Strava-Datenexposition<\/li><li>Durchsickern von Systeminformationen<\/li><li>Auslaufende Systeminformationen<\/li><li>Bew&auml;hrte Praktiken der Informationsexposition<\/li><li>Verwaltung von Geheimnissen<\/li><li>Fest kodierte Passw&ouml;rter<\/li><li>Bew&auml;hrte Praktiken<\/li><li>Labor - Hartkodiertes Passwort<\/li><li>Schutz sensibler Informationen im Speicher<\/li><li>Herausforderungen beim Schutz der Erinnerung<\/li><li>Fallstudie - Diebstahl geheimer Microsoft-Schl&uuml;ssel &uuml;ber Dump-Dateien<\/li><\/ul><\/li><li>API4 - Uneingeschr&auml;nkter Ressourcenverbrauch\n<ul>\n<li>Denial of Service<\/li><li>&Uuml;berschwemmungen<\/li><li>Ersch&ouml;pfung der Ressourcen<\/li><li>Nachhaltiges Kundenengagement<\/li><li>Unendliche Schleifen<\/li><li>Wirtschaftliche Verweigerung der Nachhaltigkeit (EDoS)<\/li><li>Fragen der algorithmischen Komplexit&auml;t<\/li><li>Denial of Service mit regul&auml;ren Ausdr&uuml;cken (ReDoS)<\/li><li>Labor - ReDoS<\/li><li>Der Umgang mit ReDoS<\/li><li>Fallstudie - ReDoS-Schwachstellen in Python<\/li><\/ul><\/li><li>API5 - Gebrochene Autorisierung auf Funktionsebene\n<ul>\n<li>Autorisierung<\/li><li>Grundlagen der Zugangskontrolle<\/li><li>Arten der Zugangskontrolle<\/li><li>Fehlende oder unzul&auml;ssige Genehmigung<\/li><li>Vers&auml;umnis, den URL-Zugang zu beschr&auml;nken<\/li><li>Cross-Site Request Forgery (CSRF)<\/li><li>Labor - Cross-Site Request Forgery<\/li><li>Bew&auml;hrte CSRF-Verfahren<\/li><li>CSRF-Verteidigung in der Tiefe<\/li><li>&Uuml;bung - CSRF-Schutz mit Token<\/li><\/ul><\/li><li>API6 - Uneingeschr&auml;nkter Zugang zu sensiblen Gesch&auml;ftsfl&uuml;ssen\n<ul>\n<li>Sicherheit durch Design<\/li><li>Das STRIDE-Modell der Bedrohungen<\/li><li>Sichere Gestaltungsprinzipien von Saltzer und Schroeder<\/li><li>Wirtschaftlichkeit des Mechanismus<\/li><li>Ausfallsichere Standardwerte<\/li><li>Vollst&auml;ndige Mediation<\/li><li>Open design<\/li><li>Trennung der Privilegien<\/li><li>Geringstes Privileg<\/li><li>Am wenigsten verbreiteter Mechanismus<\/li><li>Psychologische Akzeptanz<\/li><li>Protokollierung und &Uuml;berwachung<\/li><li>Grunds&auml;tze der Protokollierung und &Uuml;berwachung<\/li><li>Unzureichende Protokollierung<\/li><li>Fallstudie - Klartext-Passw&ouml;rter bei Facebook<\/li><li>Baumstammf&auml;lschung<\/li><li>Web-Log-F&auml;lschung<\/li><li>Labor - Baumstammf&auml;lschung<\/li><li>Protokollf&auml;lschung - bew&auml;hrte Verfahren<\/li><li>Bew&auml;hrte Praktiken der Protokollierung<\/li><li>&Uuml;berwachung bew&auml;hrter Verfahren<\/li><\/ul><\/li><li>API7 - Server Side Request Forgery\n<ul>\n<li>Server-seitige Anforderungsf&auml;lschung (SSRF)<\/li><li>Fallbeispiel - SSRF in Ivanti Connect Secure<\/li><\/ul><\/li><li>API8 - Fehlkonfiguration der Sicherheit\n<ul>\n<li>Offenlegung von Informationen durch Fehlermeldungen<\/li><li>Informationsleck &uuml;ber Fehlerseiten<\/li><li>Labor - Informationsleck im Kolben<\/li><li>Fallstudie - Informationslecks durch Fehler in Apache Superset<\/li><li>Cookie-Sicherheit<\/li><li>Cookie-Attribute<\/li><li>Politik der gleichen Herkunft<\/li><li>Einfacher Antrag<\/li><li>Preflight-Anfrage<\/li><li>Ursprungs&uuml;bergreifende Ressourcennutzung (CORS)<\/li><li>Labor - Demo zur Politik des gleichen Herkunftslandes<\/li><li>Konfigurieren von XML-Parsern<\/li><li>DTD und die Entit&auml;ten<\/li><li>Erweiterung der Entit&auml;t<\/li><li>Angriff auf externe Entit&auml;ten (XXE)<\/li><li>Einbeziehung von Dateien mit externen Stellen<\/li><li>Server-Side Request Forgery mit externen Entit&auml;ten<\/li><li>Labor - Angriff einer externen Einheit<\/li><li>Verhinderung von XXE<\/li><li>Labor - Verbot der DTD<\/li><li>Fallstudie - XXE-Schwachstelle in Ivanti-Produkten<\/li><\/ul><\/li><\/ul><h4>Tag 3<\/h4><ul>\n<li>API9 - Unsachgem&auml;sse Bestandsverwaltung\n<ul>\n<li>Blinde Flecken in der Dokumentation<\/li><li>Blinde Flecken im Datenfluss<\/li><li>Verwendung anf&auml;lliger Komponenten<\/li><li>Import von nicht vertrauensw&uuml;rdigen Funktionen<\/li><li>B&ouml;sartige Pakete in Python<\/li><li>Fallstudie - Der Angriff auf die Lieferkette von Polyfill.io<\/li><li>Management von Schwachstellen<\/li><li>&Uuml;bung - Auffinden von Schwachstellen in Komponenten von Drittanbietern<\/li><\/ul><\/li><li>API10 - Unsicherer Verbrauch von APIs\n<ul>\n<li>&Uuml;berpr&uuml;fung der Eingaben<\/li><li>Input-Validierungsprinzipien<\/li><li>Denylisten und Zulassungslisten<\/li><li>Fallstudie - Denylist-Fehler in urllib.parse.urlparse()<\/li><li>Was zu validieren ist - die Angriffsfl&auml;che<\/li><li>Wo soll validiert werden - Verteidigung in der Tiefe<\/li><li>Wann validieren - Validierung vs. Umwandlung<\/li><li>Bereinigung der Ausgabe<\/li><li>Herausforderungen bei der Kodierung<\/li><li>Unicode-Herausforderungen<\/li><li>Validierung mit Regex<\/li><li>Einspritzung<\/li><li>Injektionsprinzipien<\/li><li>Injektionsangriffe<\/li><li>SQL-Einschleusung<\/li><li>Grundlagen der SQL-Injektion<\/li><li>&Uuml;bung - SQL-Injektion<\/li><li>Angriffsmethoden<\/li><li>Inhaltsbasierte blinde SQL-Injektion<\/li><li>Zeitbasierte blinde SQL-Injektion<\/li><li>Bew&auml;hrte Praktiken zur SQL-Einschleusung<\/li><li>&Uuml;berpr&uuml;fung der Eingaben<\/li><li>Parametrisierte Abfragen<\/li><li>&Uuml;bung - Verwendung vorbereiteter Erkl&auml;rungen<\/li><li>Datenbankverteidigung in der Tiefe<\/li><li>Fallstudie - SQL-Injection gegen US-Flughafensicherheit<\/li><li>Code-Einspritzung<\/li><li>Code-Injektion &uuml;ber input()<\/li><li>OS-Befehlsinjektion<\/li><li>&Uuml;bung - Befehlsinjektion<\/li><li>Bew&auml;hrte Praktiken zur Injektion von OS-Befehlen<\/li><li>Vermeidung von Befehlseingaben mit den richtigen APIs<\/li><li>&Uuml;bung - Bew&auml;hrte Praktiken der Befehlsinjektion<\/li><li>Fallstudie - Shellshock<\/li><li>Labor - Shellshock<\/li><li>Fallstudie - Befehlsinjektion in Ivanti-Sicherheitsanwendungen<\/li><li>Offene Umleitungen und Weiterleitungen<\/li><li>Offene Umleitungen und Weiterleitungen - bew&auml;hrte Verfahren<\/li><li>Dateien und Datenstr&ouml;me<\/li><li>Pfad&uuml;berquerung<\/li><li>&Uuml;bung - Pfad&uuml;berquerung<\/li><li>Zus&auml;tzliche Herausforderungen in Windows<\/li><li>Fallstudie - Dateispoofing in WinRAR<\/li><li>Bew&auml;hrte Verfahren zur Pfad&uuml;berquerung<\/li><li>Labor - Kanonisierung von Pfaden<\/li><li>Einpacken<\/li><li>Grunds&auml;tze der sicheren Kodierung<\/li><li>Grunds&auml;tze der robusten Programmierung von Matt Bishop<\/li><li>Sichere Gestaltungsprinzipien von Saltzer und Schroeder<\/li><li>Und was nun?<\/li><li>Quellen zur Softwaresicherheit und weiterf&uuml;hrende Literatur<\/li><li>Python-Ressourcen<\/li><\/ul><\/li><\/ul>","outline":"<ul>\n<li>Grundlagen der Cybersicherheit<\/li><li>OWASP API-Sicherheit Top Ten<\/li><li>API1 - Gebrochene Autorisierung auf Objektebene<\/li><li>API2 - Defekte Authentifizierung<\/li><li>API3 - Gebrochene Objekt-Eigenschaftsebene-Autorisierung<\/li><li>API4 - Uneingeschr&auml;nkter Ressourcenverbrauch<\/li><li>API5 - Gebrochene Autorisierung auf Funktionsebene<\/li><li>API6 - Uneingeschr&auml;nkter Zugang zu sensiblen Gesch&auml;ftsfl&uuml;ssen<\/li><li>API7 - Server Side Request Forgery<\/li><li>API8 - Fehlkonfiguration der Sicherheit<\/li><li>API9 - Unsachgem&auml;sse Bestandsverwaltung<\/li><li>API10 - Unsicherer Verbrauch von APIs<\/li><li>Einpacken<\/li><\/ul>","comments":"<p><em>Dieser Text wurde automatisiert &uuml;bersetzt. Um den englischen Originaltext anzuzeigen, klicken Sie bitte <span class=\"cms-link-marked\"><a class=\"fl-href-prod\" href=\"\/swisscom\/en\/course\/cydrill-asip\"><svg role=\"img\" aria-hidden=\"true\" focusable=\"false\" data-nosnippet class=\"cms-linkmark\"><use xlink:href=\"\/css\/img\/icnset-linkmarks.svg#linkmark\"><\/use><\/svg>hier<\/a><\/span>.<\/em><\/p>","summary":"<p>Ihre in Python geschriebene Anwendung funktioniert wie vorgesehen, Sie sind also fertig, richtig? Aber verhalten sich Ihre APIs auch bei falschen Werten gut? 16Gbs an Daten? Eine Null? Ein Hochkomma? Negative Zahlen, oder speziell -1 oder -2^31? Denn das sind die Werte, die die B&ouml;sewichte einspeisen werden - und die Liste ist noch lange nicht vollst&auml;ndig.<\/p>\n<p>Der Kurs bietet einen umfassenden &Uuml;berblick &uuml;ber die OWASP API Security Top Ten und stattet Entwickler, Sicherheitsexperten und Architekten mit dem Wissen aus, um die kritischsten Sicherheitsrisiken in modernen API-gesteuerten Anwendungen zu identifizieren, zu entsch&auml;rfen und zu verhindern. Jedes der zehn Risiken - einschliesslich Broken Object, Property and Function Level Authorization (BOLA, BOPLA und BFLA), uneingeschr&auml;nkte Ressourcennutzung, unsichere Nutzung von APIs und mehr - wird ausf&uuml;hrlich anhand von Beispielen aus der Praxis, praktischen &Uuml;bungen und Strategien zur Risikominderung diskutiert. Die Themen werden im Kontext von klassischen APIs, Rest-APIs und GraphQL diskutiert.<\/p>\n<p>&Uuml;ber die Top-Ten-Liste hinaus kann der Kurs auch auf weitere wichtige Sicherheitsthemen eingehen, die f&uuml;r Entwickler von entscheidender Bedeutung sind, aber bei der API-Sicherheit oft &uuml;bersehen werden, z. B. Kryptografie, Integer-&Uuml;berl&auml;ufe und Codequalit&auml;t.<\/p>\n<p>Egal, ob Sie Anf&auml;nger im Bereich der API-Sicherheit sind oder ein erfahrener Entwickler, der seine F&auml;higkeiten verbessern m&ouml;chte, dieser Kurs bietet Ihnen wertvolles Wissen, um APIs zu erstellen, die nicht nur funktional und effizient, sondern auch sicher und widerstandsf&auml;hig sind.<\/p>\n<p>Damit du auf die Kr&auml;fte der dunklen Seite vorbereitet bist.<\/p>\n<p>Damit nichts Unvorhergesehenes passiert.<\/p>\n<p>Nichts.<\/p>","objective_plain":"- Vertrautmachen mit grundlegenden Konzepten der Cybersicherheit\n- Verst\u00e4ndnis von API-Sicherheitsfragen\n- Detaillierte Analyse der OWASP API Security Top Ten Elemente\n- API-Sicherheit in den Kontext von Python stellen\n- \u00dcber die niedrig h\u00e4ngenden Fr\u00fcchte hinausgehen\n- Verwaltung von Schwachstellen in Komponenten von Drittanbietern\n- Ans\u00e4tze und Grunds\u00e4tze der Eingabevalidierung","essentials_plain":"Allgemeine Python-Entwicklung","audience_plain":"Python-API-Entwickler","contents_plain":"Tag 1\n\n\n- Grundlagen der Cybersicherheit\n\n- Was ist Sicherheit?\n- Bedrohung und Risiko\n- Arten von Cybersicherheitsbedrohungen - die CIA-Triade\n- Folgen von unsicherer Software\n- OWASP API-Sicherheit Top Ten\n\n- OWASP API-Sicherheit Top 10 2023\n- API1 - Gebrochene Autorisierung auf Objektebene\n\n- Verwirrter Abgeordneter\n- Unsichere direkte Objektreferenz (IDOR)\n- \u00dcbung - Unsichere direkte Objektreferenz\n- Berechtigungsumgehung durch benutzergesteuerte Schl\u00fcssel\n- Fallbeispiel - Fern\u00fcbernahme von Nexx Garagentoren und Alarmanlagen\n- Labor - Horizontale Genehmigung\n- Hochladen von Dateien\n- Uneingeschr\u00e4nkter Datei-Upload\n- Bew\u00e4hrte Praktiken\n- Labor - Uneingeschr\u00e4nkter Datei-Upload\n- API2 - Fehlerhafte Authentifizierung\n\n- Grundlagen der Authentifizierung\n- Multi-Faktor-Authentifizierung (MFA)\n- Fallstudie - Der InfinityGauntlet-Angriff\n- Passwortlose L\u00f6sungen\n- Zeitbasierte Einmal-Passw\u00f6rter (TOTP)\n- Schwachstellen bei der Authentifizierung\n- Spoofing im Internet\n- Passwortverwaltung\n- Speichern von Kontopassw\u00f6rtern\n- Passwort im Transit\n- Labor - Reicht das Hashing von Passw\u00f6rtern aus?\n- W\u00f6rterbuchangriffe und Brute-Forcing\n- Salzen\n- Adaptive Hash-Funktionen f\u00fcr die Passwortspeicherung\n- \u00dcbung - Verwendung adaptiver Hash-Funktionen in Python\n- Verwendung von Tools zum Knacken von Passw\u00f6rtern\n- Passwortknacken unter Windows\n- Passwort \u00e4ndern\n- Probleme bei der Passwortwiederherstellung\n- Bew\u00e4hrte Verfahren zur Passwortwiederherstellung\n- \u00dcbung - Schwachstelle beim Zur\u00fccksetzen des Passworts\n- Fallstudie - \u00dcbernahme eines Facebook-Kontos \u00fcber einen Wiederherstellungscode\n- Fallstudie - \u00dcbernahme eines GitLab-Kontos\n- Anti-Automatisierung\n- Passwort-Politik\n- NIST-Authentifikator-Anforderungen f\u00fcr gespeicherte Geheimnisse\n- Passwort-H\u00e4rtung\n- Verwendung von Passphrasen\n- Migration der Passwort-Datenbank\n- (Fehl-)Handhabung Keine Passw\u00f6rter\nTag 2\n\n\n- API3 - Gebrochene Objekt-Eigenschaftsebene-Autorisierung\n\n- Informationsexposition\n- Offenlegung durch extrahierte Daten und Aggregation\n- Fallstudie - Strava-Datenexposition\n- Durchsickern von Systeminformationen\n- Auslaufende Systeminformationen\n- Bew\u00e4hrte Praktiken der Informationsexposition\n- Verwaltung von Geheimnissen\n- Fest kodierte Passw\u00f6rter\n- Bew\u00e4hrte Praktiken\n- Labor - Hartkodiertes Passwort\n- Schutz sensibler Informationen im Speicher\n- Herausforderungen beim Schutz der Erinnerung\n- Fallstudie - Diebstahl geheimer Microsoft-Schl\u00fcssel \u00fcber Dump-Dateien\n- API4 - Uneingeschr\u00e4nkter Ressourcenverbrauch\n\n- Denial of Service\n- \u00dcberschwemmungen\n- Ersch\u00f6pfung der Ressourcen\n- Nachhaltiges Kundenengagement\n- Unendliche Schleifen\n- Wirtschaftliche Verweigerung der Nachhaltigkeit (EDoS)\n- Fragen der algorithmischen Komplexit\u00e4t\n- Denial of Service mit regul\u00e4ren Ausdr\u00fccken (ReDoS)\n- Labor - ReDoS\n- Der Umgang mit ReDoS\n- Fallstudie - ReDoS-Schwachstellen in Python\n- API5 - Gebrochene Autorisierung auf Funktionsebene\n\n- Autorisierung\n- Grundlagen der Zugangskontrolle\n- Arten der Zugangskontrolle\n- Fehlende oder unzul\u00e4ssige Genehmigung\n- Vers\u00e4umnis, den URL-Zugang zu beschr\u00e4nken\n- Cross-Site Request Forgery (CSRF)\n- Labor - Cross-Site Request Forgery\n- Bew\u00e4hrte CSRF-Verfahren\n- CSRF-Verteidigung in der Tiefe\n- \u00dcbung - CSRF-Schutz mit Token\n- API6 - Uneingeschr\u00e4nkter Zugang zu sensiblen Gesch\u00e4ftsfl\u00fcssen\n\n- Sicherheit durch Design\n- Das STRIDE-Modell der Bedrohungen\n- Sichere Gestaltungsprinzipien von Saltzer und Schroeder\n- Wirtschaftlichkeit des Mechanismus\n- Ausfallsichere Standardwerte\n- Vollst\u00e4ndige Mediation\n- Open design\n- Trennung der Privilegien\n- Geringstes Privileg\n- Am wenigsten verbreiteter Mechanismus\n- Psychologische Akzeptanz\n- Protokollierung und \u00dcberwachung\n- Grunds\u00e4tze der Protokollierung und \u00dcberwachung\n- Unzureichende Protokollierung\n- Fallstudie - Klartext-Passw\u00f6rter bei Facebook\n- Baumstammf\u00e4lschung\n- Web-Log-F\u00e4lschung\n- Labor - Baumstammf\u00e4lschung\n- Protokollf\u00e4lschung - bew\u00e4hrte Verfahren\n- Bew\u00e4hrte Praktiken der Protokollierung\n- \u00dcberwachung bew\u00e4hrter Verfahren\n- API7 - Server Side Request Forgery\n\n- Server-seitige Anforderungsf\u00e4lschung (SSRF)\n- Fallbeispiel - SSRF in Ivanti Connect Secure\n- API8 - Fehlkonfiguration der Sicherheit\n\n- Offenlegung von Informationen durch Fehlermeldungen\n- Informationsleck \u00fcber Fehlerseiten\n- Labor - Informationsleck im Kolben\n- Fallstudie - Informationslecks durch Fehler in Apache Superset\n- Cookie-Sicherheit\n- Cookie-Attribute\n- Politik der gleichen Herkunft\n- Einfacher Antrag\n- Preflight-Anfrage\n- Ursprungs\u00fcbergreifende Ressourcennutzung (CORS)\n- Labor - Demo zur Politik des gleichen Herkunftslandes\n- Konfigurieren von XML-Parsern\n- DTD und die Entit\u00e4ten\n- Erweiterung der Entit\u00e4t\n- Angriff auf externe Entit\u00e4ten (XXE)\n- Einbeziehung von Dateien mit externen Stellen\n- Server-Side Request Forgery mit externen Entit\u00e4ten\n- Labor - Angriff einer externen Einheit\n- Verhinderung von XXE\n- Labor - Verbot der DTD\n- Fallstudie - XXE-Schwachstelle in Ivanti-Produkten\nTag 3\n\n\n- API9 - Unsachgem\u00e4sse Bestandsverwaltung\n\n- Blinde Flecken in der Dokumentation\n- Blinde Flecken im Datenfluss\n- Verwendung anf\u00e4lliger Komponenten\n- Import von nicht vertrauensw\u00fcrdigen Funktionen\n- B\u00f6sartige Pakete in Python\n- Fallstudie - Der Angriff auf die Lieferkette von Polyfill.io\n- Management von Schwachstellen\n- \u00dcbung - Auffinden von Schwachstellen in Komponenten von Drittanbietern\n- API10 - Unsicherer Verbrauch von APIs\n\n- \u00dcberpr\u00fcfung der Eingaben\n- Input-Validierungsprinzipien\n- Denylisten und Zulassungslisten\n- Fallstudie - Denylist-Fehler in urllib.parse.urlparse()\n- Was zu validieren ist - die Angriffsfl\u00e4che\n- Wo soll validiert werden - Verteidigung in der Tiefe\n- Wann validieren - Validierung vs. Umwandlung\n- Bereinigung der Ausgabe\n- Herausforderungen bei der Kodierung\n- Unicode-Herausforderungen\n- Validierung mit Regex\n- Einspritzung\n- Injektionsprinzipien\n- Injektionsangriffe\n- SQL-Einschleusung\n- Grundlagen der SQL-Injektion\n- \u00dcbung - SQL-Injektion\n- Angriffsmethoden\n- Inhaltsbasierte blinde SQL-Injektion\n- Zeitbasierte blinde SQL-Injektion\n- Bew\u00e4hrte Praktiken zur SQL-Einschleusung\n- \u00dcberpr\u00fcfung der Eingaben\n- Parametrisierte Abfragen\n- \u00dcbung - Verwendung vorbereiteter Erkl\u00e4rungen\n- Datenbankverteidigung in der Tiefe\n- Fallstudie - SQL-Injection gegen US-Flughafensicherheit\n- Code-Einspritzung\n- Code-Injektion \u00fcber input()\n- OS-Befehlsinjektion\n- \u00dcbung - Befehlsinjektion\n- Bew\u00e4hrte Praktiken zur Injektion von OS-Befehlen\n- Vermeidung von Befehlseingaben mit den richtigen APIs\n- \u00dcbung - Bew\u00e4hrte Praktiken der Befehlsinjektion\n- Fallstudie - Shellshock\n- Labor - Shellshock\n- Fallstudie - Befehlsinjektion in Ivanti-Sicherheitsanwendungen\n- Offene Umleitungen und Weiterleitungen\n- Offene Umleitungen und Weiterleitungen - bew\u00e4hrte Verfahren\n- Dateien und Datenstr\u00f6me\n- Pfad\u00fcberquerung\n- \u00dcbung - Pfad\u00fcberquerung\n- Zus\u00e4tzliche Herausforderungen in Windows\n- Fallstudie - Dateispoofing in WinRAR\n- Bew\u00e4hrte Verfahren zur Pfad\u00fcberquerung\n- Labor - Kanonisierung von Pfaden\n- Einpacken\n- Grunds\u00e4tze der sicheren Kodierung\n- Grunds\u00e4tze der robusten Programmierung von Matt Bishop\n- Sichere Gestaltungsprinzipien von Saltzer und Schroeder\n- Und was nun?\n- Quellen zur Softwaresicherheit und weiterf\u00fchrende Literatur\n- Python-Ressourcen","outline_plain":"- Grundlagen der Cybersicherheit\n- OWASP API-Sicherheit Top Ten\n- API1 - Gebrochene Autorisierung auf Objektebene\n- API2 - Defekte Authentifizierung\n- API3 - Gebrochene Objekt-Eigenschaftsebene-Autorisierung\n- API4 - Uneingeschr\u00e4nkter Ressourcenverbrauch\n- API5 - Gebrochene Autorisierung auf Funktionsebene\n- API6 - Uneingeschr\u00e4nkter Zugang zu sensiblen Gesch\u00e4ftsfl\u00fcssen\n- API7 - Server Side Request Forgery\n- API8 - Fehlkonfiguration der Sicherheit\n- API9 - Unsachgem\u00e4sse Bestandsverwaltung\n- API10 - Unsicherer Verbrauch von APIs\n- Einpacken","comments_plain":"Dieser Text wurde automatisiert \u00fcbersetzt. Um den englischen Originaltext anzuzeigen, klicken Sie bitte hier.","summary_plain":"Ihre in Python geschriebene Anwendung funktioniert wie vorgesehen, Sie sind also fertig, richtig? Aber verhalten sich Ihre APIs auch bei falschen Werten gut? 16Gbs an Daten? Eine Null? Ein Hochkomma? Negative Zahlen, oder speziell -1 oder -2^31? Denn das sind die Werte, die die B\u00f6sewichte einspeisen werden - und die Liste ist noch lange nicht vollst\u00e4ndig.\n\nDer Kurs bietet einen umfassenden \u00dcberblick \u00fcber die OWASP API Security Top Ten und stattet Entwickler, Sicherheitsexperten und Architekten mit dem Wissen aus, um die kritischsten Sicherheitsrisiken in modernen API-gesteuerten Anwendungen zu identifizieren, zu entsch\u00e4rfen und zu verhindern. Jedes der zehn Risiken - einschliesslich Broken Object, Property and Function Level Authorization (BOLA, BOPLA und BFLA), uneingeschr\u00e4nkte Ressourcennutzung, unsichere Nutzung von APIs und mehr - wird ausf\u00fchrlich anhand von Beispielen aus der Praxis, praktischen \u00dcbungen und Strategien zur Risikominderung diskutiert. Die Themen werden im Kontext von klassischen APIs, Rest-APIs und GraphQL diskutiert.\n\n\u00dcber die Top-Ten-Liste hinaus kann der Kurs auch auf weitere wichtige Sicherheitsthemen eingehen, die f\u00fcr Entwickler von entscheidender Bedeutung sind, aber bei der API-Sicherheit oft \u00fcbersehen werden, z. B. Kryptografie, Integer-\u00dcberl\u00e4ufe und Codequalit\u00e4t.\n\nEgal, ob Sie Anf\u00e4nger im Bereich der API-Sicherheit sind oder ein erfahrener Entwickler, der seine F\u00e4higkeiten verbessern m\u00f6chte, dieser Kurs bietet Ihnen wertvolles Wissen, um APIs zu erstellen, die nicht nur funktional und effizient, sondern auch sicher und widerstandsf\u00e4hig sind.\n\nDamit du auf die Kr\u00e4fte der dunklen Seite vorbereitet bist.\n\nDamit nichts Unvorhergesehenes passiert.\n\nNichts.","version":"1.0","duration":{"unit":"d","value":3,"formatted":"3 Tage"},"pricelist":{"List Price":{"DE":{"country":"DE","currency":"EUR","taxrate":19,"price":2250},"SI":{"country":"SI","currency":"EUR","taxrate":20,"price":2250},"AT":{"country":"AT","currency":"EUR","taxrate":20,"price":2250},"SE":{"country":"SE","currency":"EUR","taxrate":25,"price":2250},"CH":{"country":"CH","currency":"CHF","taxrate":8.1,"price":2250}}},"lastchanged":"2025-10-29T08:55:14+01:00","parenturl":"https:\/\/portal.flane.ch\/swisscom\/json-courses","nexturl_course_schedule":"https:\/\/portal.flane.ch\/swisscom\/json-course-schedule\/36451","source_lang":"de","source":"https:\/\/portal.flane.ch\/swisscom\/json-course\/cydrill-asip"}}