Sicherheit entsteht nicht durch ein einzelnes Middleware-Paket. Sie ergibt sich aus kontrollierten Eingaben, klaren Vertrauensgrenzen, korrekt verwalteten Identitäten, restriktiven Berechtigungen und einem Betrieb, der Angriffe erkennen und begrenzen kann. Dieses Seminar entwickelt dafür ein zusammenhängendes Modell für Express-Anwendungen und APIs.
Die Teilnehmer vergleichen sitzungsbasierte und tokenbasierte Verfahren, modellieren Rollen und fachliche Rechte und härten typische Angriffsflächen. Besonderes Gewicht liegt auf realistischen Fehlannahmen: Tokens ersetzen keine Autorisierung, CORS ist keine Zugriffskontrolle und Eingabevalidierung muss an jeder Vertrauensgrenze stattfinden.
Seminarziele
Ziel ist eine systematische Sicherheitsarbeit vom Entwurf bis zum Betrieb. Die Teilnehmer können nach dem Seminar:
- Bedrohungen, schützenswerte Werte und Vertrauensgrenzen einer Express-Anwendung erfassen.
- Sessions, Cookies und Tokens anhand des konkreten Einsatzfalls auswählen und sicher konfigurieren.
- Rollen, Berechtigungen und objektbezogene Zugriffsregeln konsistent durchsetzen.
- Eingaben, Weiterleitungen, Uploads und Fehlermeldungen gegen typische Angriffe absichern.
- Sicherheitsprüfungen automatisieren und relevante Ereignisse revisionsfähig protokollieren.
Zielgruppe
Die Schulung richtet sich an Entwickler und Architekten, die Webanwendungen oder APIs mit Express absichern. Sie ist ebenso für Teams geeignet, die eine bestehende Authentifizierung überprüfen, einen Identitätsanbieter anbinden oder verbindliche Sicherheitsstandards für mehrere Projekte schaffen möchten.
Voraussetzungen
Vorausgesetzt werden gute JavaScript- und Express-Grundkenntnisse sowie ein solides Verständnis von HTTP, Cookies, Headern und asynchroner Programmierung. Kryptografische Detailkenntnisse sind nicht notwendig; die relevanten Verfahren werden aus Anwendungssicht eingeordnet.
Inhalte
Die Sicherheitsmaßnahmen werden anhand konkreter Angriffs- und Fehlerszenarien erarbeitet und anschließend in einer Beispielanwendung umgesetzt.
Bedrohungsmodell und Sicherheitsarchitektur
- Schützenswerte Daten, Akteure, Einstiegspunkte und Vertrauensgrenzen bestimmen.
- Authentifizierung, Autorisierung, Mandantentrennung und Auditierung voneinander abgrenzen.
- Minimale Rechte, sichere Standardwerte und mehrschichtige Schutzmaßnahmen anwenden.
- Sicherheitsanforderungen als prüfbare Akzeptanzkriterien formulieren.
Sessions, Cookies und Tokens
- Serverseitige Sessions und tokenbasierte Zugriffe nach Risiko und Skalierungsbedarf vergleichen.
- Cookie-Attribute, Laufzeiten, Rotation und Abmeldung sicher gestalten.
- Token-Inhalte, Signaturprüfung, Gültigkeit und Widerruf fachgerecht behandeln.
- OAuth 2.0 und OpenID Connect bei der Anbindung externer Identitätsdienste einordnen.
Autorisierung und Mandantentrennung
- Rollenbasierte und attributbasierte Berechtigungen kombinieren.
- Objektbezogene Zugriffe gegen unzulässige direkte Referenzen absichern.
- Berechtigungsprüfungen zentralisieren, ohne fachliche Regeln zu verstecken.
- Administrator-, Service- und Benutzerrechte sauber voneinander trennen.
Schutz der HTTP-Oberfläche
- TLS-Terminierung, sichere Header und korrektes Verhalten hinter Reverse Proxys konfigurieren.
- CORS-Regeln restriktiv festlegen und CSRF-Risiken bei Cookie-Sitzungen behandeln.
- Rate Limits, Anmeldebegrenzung und Schutz gegen automatisierte Angriffe umsetzen.
- Offene Weiterleitungen, Host-Header-Missbrauch und Informationspreisgabe verhindern.
Validierung, Daten und Dateien
- Parameter, Nutzlasten und Dateiuploads mit Typ-, Größen- und Formatgrenzen prüfen.
- Ausgabe kontextgerecht behandeln und unerwartete Felder verwerfen.
- Passwörter und sensible Werte ausschließlich mit geeigneten Verfahren speichern.
- Fehlerantworten informativ, aber ohne interne Details oder Geheimnisse gestalten.
Geheimnisse, Abhängigkeiten und Betrieb
- Schlüssel, Zugangsdaten und Konfiguration außerhalb des Quellcodes verwalten.
- Abhängigkeiten, Sicherheitsmeldungen und Aktualisierungen in einen geregelten Prozess überführen.
- Sicherheitsrelevante Logs mit Korrelationsdaten und Datenschutzvorgaben verbinden.
- Reaktion auf kompromittierte Zugangsdaten und verdächtige Aktivitäten vorbereiten.
Sicherheitstests
- Authentifizierungs-, Rollen- und Mandantentests automatisieren.
- Negativtests für manipulierte Tokens, abgelaufene Sitzungen und fehlerhafte Eingaben erstellen.
- Grenzwerte, Rate Limits und sichere Fehlerantworten reproduzierbar prüfen.
- Code-Review-Checklisten und Freigabekriterien für sicherheitskritische Änderungen entwickeln.
Praxis und Methodik
Die Übungen beginnen mit einer absichtlich unzureichend geschützten Anwendung. Schrittweise werden Eingabevalidierung, sichere Sitzungskonfiguration, Tokenprüfung, Rollen und objektbezogene Rechte, Rate Limits und Sicherheitsprotokollierung ergänzt.
Angriffssimulationen und automatisierte Negativtests zeigen unmittelbar, welche Schutzschicht greift und welche Annahmen falsch waren. So entsteht ein Sicherheitskonzept, das im Projekt überprüfbar bleibt und nicht nur aus Konfigurationsfragmenten besteht.
Seminar und Anbieter vergleichen
Öffentliche Schulung
Diese Seminarform ist auch als Präsenzseminar bekannt und bedeutet, dass Sie in unseren Räumlichkeiten von einem Trainer vor Ort geschult werden. Jeder Teilnehmer hat einen Arbeitsplatz mit virtueller Schulungsumgebung. Öffentliche Seminare werden in deutscher Sprache durchgeführt, die Unterlagen sind teilweise in Englisch.
Inhausschulung
Diese Seminarform bietet sich für Unternehmen an, welche gleichzeitig mehrere Teilnehmer gleichzeitig schulen möchten. Der Trainer kommt zu Ihnen ins Haus und unterrichtet in Ihren Räumlichkeiten. Diese Seminare können auf Deutsch – bei Firmenseminaren ist auch Englisch möglich – gebucht werden.
Webinar
Diese Art der Schulung ist geeignet, wenn Sie die Präsenz eines Trainers nicht benötigen, nicht reisen können und über das Internet an einer Schulung teilnehmen möchten.
Fachbereichsleiter / Leiter der Trainer / Ihre Ansprechpartner
-
Lucas Beich
Telefon: + 49 (221) 74740055
E-Mail: lucas.beich@seminar-experts.de -
Paul Goldschmidt
Telefon: + 49 (221) 74740055
E-Mail: paul.goldschmidt@seminar-experts.de
Seminardetails
| Dauer: | 3 Tage, jeweils ca. 6 Stunden; Beginn am 1. Tag 10:00 Uhr, an den Folgetagen 09:00 Uhr |
| Preis: |
Öffentlich oder Live Stream: € 1.797 zzgl. MwSt. Inhaus: € 5.100 zzgl. MwSt. |
| Teilnehmeranzahl: | min. 2 - max. 8 |
| Teilnehmer: | Backend- und Full-Stack-Entwickler, Security-Verantwortliche und technische Architekten |
| Voraussetzungen: | Gute JavaScript- und Express-Grundkenntnisse sowie Verständnis von HTTP und Webanwendungen |
| Standorte: | Stream Live, Inhaus/Firmenseminar, Berlin, Bremen, Darmstadt, Dresden, Erfurt, Essen, Flensburg, Frankfurt, Freiburg, Friedrichshafen, Hamburg, Hamm, Hannover, Jena, Kassel, Köln, Konstanz, Leipzig, Luxemburg, Magdeburg, Mainz, München, Münster, Nürnberg, Paderborn, Potsdam, Regensburg, Rostock, Stuttgart, Trier, Ulm, Wuppertal, Würzburg |
| Methoden: | Vortrag, Demonstrationen, praktische Übungen am System |
| Seminararten: | Öffentlich, Webinar, Inhouse, Workshop – alle Seminare mit Trainer vor Ort; Webinar nur wenn ausdrücklich gewünscht |
| Durchführungsgarantie: | ja, ab 2 Teilnehmern |
| Sprache: | Deutsch – bei Firmenseminaren ist auch Englisch möglich |
| Seminarunterlage: | Dokumentation als Download oder auf Datenträger |
| Teilnahmezertifikat: | ja, selbstverständlich |
| Verpflegung: | Kalt- und Warmgetränke, Mittagessen wahlweise vegetarisch |
| Support: | 3 Anrufe im Seminarpreis enthalten |
| Barrierefreier Zugang: | an den meisten Standorten verfügbar |
| Weitere Informationen unter + 49 (221) 74740055 |
Seminartermine
Die Ergebnissliste kann durch Anklicken der Überschrift neu sortiert werden.
