APIs eröffnen neue Möglichkeiten, sind aber auch attraktive Ziele für Angriffe. In dieser Schulung lernst du praxisnah, wie du APIs optimal absicherst und Sicherheitsrisiken vermeidest.
In der Schulung lernst du unterstützt durch praktische Übungen:
- Typische API-Sicherheitsrisiken identifizieren und verhindern
- APIs sicher authentifizieren und autorisieren mit JWT, OAuth 2 und API Keys
- SSL/TLS korrekt und sicher für API-Kommunikation einsetzen
- Kryptographische Grundlagen und sichere Schlüsselverwaltung beherrschen
- Sicheres API-Design umsetzen und Eingaben effektiv validieren
Dieser Kurs ist optimal für Sicherheitsverantwortliche, Entwickler, Softwarearchitekten und technisch interessierte IT-Verantwortliche.
Kursinhalte
API Risiken
- OWASP API Security Top 10
- Typische Bedrohungen für APIs verstehen
- API-spezifische Sicherheitsprobleme erkennen
Angriffe auf APIs
- Wie gehen Hacker beim Angriff auf APIs vor?
- Wie können API Sicherheitslücken ausgenutzt werden?
- Ablauf typischer API Angriffe mit praktischen Beispielen
Grundlagen API Security
- Vertraulichkeit, Integrität und Verfügbarkeit sichern
- Identität, Token, Claims verstehen
- Authentifizierung und Autorisierung bei APIs
Kryptographische Grundlagen
- Hashing, Signaturen und Verschlüsselung
- Symmetrische vs. asymmetrische Verschlüsselung (AES, DES, RSA)
- X.509-Zertifikate und Signaturen
APIs absichern mit SSL/TLS
- Zertifikate einsetzen und verstehen
- Sichere Kommunikation via HTTPS herstellen
API Authentifizierung & Autorisierung
- OAuth2, JWT oder API-Keys effektiv nutzen
- JWT und OAuth2 praktisch mit Azure AD, LDAP, Keycloak & Co. einsetzen
- Typische Einsatzszenarien und Best Practices
API Gateways & API Management
- Aufbau und Aufgaben eines API Management Systems
- Gateway, DMZ und Firewall
- Rate Limiting und Quotas
- Konfiguration über OpenAPI
API Keys
- Unterschied zw. API Keys, Basic Authentication und JWT
- Möglichkeiten und Grenzen von API Keys
- Praktischer Einsatz von API Keys mit OpenAPI
JWT, JWE & JWS
- JSON Web Tokens (JWT) verstehen und einsetzen
- JWT signieren und verschlüsseln (JWS, JWE)
OAuth2 und OpenID Connect
- Ablauf einer Autorisierung mit OAuth2 und OIDC
- OAuth2 (JWT) Bearer Token
- Anwendungsfälle: Server basierte Webapp, HTML5 Javascript Seite, Mobile App
- Implementierungen: Apache Oltu, Spring Security OAuth
- Use Case: OAuth2 im Social Web
- Einsatz von OAuth2 im Unternehmen
API-Schutzmaßnahmen
- Eingabevalidierung und sicherer Umgang mit Parametern
- Absicherung mit einem API Gateway
- JSON, XML und GraphQL Protection
- Rate Limiting, White- & Blacklisting einsetzen
Sicheres API Design
- URI-Design sicher gestalten
- Sicherheitsprinzipien praktisch im API Design integrieren
- Business-Objekte sicher beschreiben
Ziele
- API-Sicherheitsrisiken erkennen und beheben
- Die Perspektive von Angreifern verstehen
- Die Sicherheitsmechanismen API Keys, OAuth2 und JWT kennenlernen
- Passende Sicherheitsmaßnahmen gezielt auswählen
- Sicherheitsaspekte praxisnah in das API-Design integrieren
Deine Vorteile
- Jeder Teilnehmer erhält ein Zertifikat
- Schütze APIs effektiv vor Angriffen
- Lerne Best Practices und Standards wie OAuth2 und JWT kennen
- Verstehe Risiken und lerne, sie frühzeitig zu vermeiden
- Erhalte direkt umsetzbare Tipps für sicheres API-Design
Zielgruppe
API Sicherheitsbeauftragte, Softwarearchitekten, Entwickler und technisch interessierte IT-Verantwortliche
Vorkenntnisse
Grundlagen der IT Sicherheit
Dauer
2 Tage
Kursunterlage
Umfangreiche Schulungsunterlagen und Präsentationsfolien.
| Termin | Ort | Trainer | Preis | |
|---|---|---|---|---|
| 20. - 21. 3. | online | Tobias Polley | 1.340,- €** | |
| 7. - 8. 5. | Bonn | Tobias Polley | 1.470,- €* | |
| 26. - 27. 6. | online | Tobias Polley | 1.340,- €** | |
| 6. - 7. 10. | online | Tobias Polley | 1.340,- €** |
* Gesamtpreis pro Teilnehmer inkl. Kursmaterial und Tagesverpflegung zzgl. Mehrwertsteuer
** Gesamtpreis pro Teilnehmer inkl. Kursmaterial zzgl. Mehrwertsteuer