Das Seminar behandelt den Schutz von Web-APIs und die gezielte Ergänzung des maschinellen Web-Angriffsschutzes. Schwerpunkte sind API-Inventar, OpenAPI-basierte Schema-Prüfung, Quellidentität mit JWT oder Headern, Rate Limiting, Anti-Bot, benutzerdefinierte Signaturen sowie weitere editionsabhängige Sicherheitsmodule. Jede Funktion wird in ein gemeinsames Policy- und Testverfahren eingeordnet.
Inhaltsverzeichnis
- Seminarprofil
- Lernziele
- Zielgruppe
- Voraussetzungen
- Seminarinhalte
- Praktische Übungen
- Methodik und Unterlagen
Seminarprofil
API-Sicherheit verlangt mehr als die Erkennung klassischer Injection-Angriffe. Erforderlich sind eindeutige Endpunkte, gültige Methoden und Inhalte, belastbare Quellidentitäten, Missbrauchsgrenzen und ein reproduzierbares Negativtestverfahren. Der praktische Umfang einzelner Zusatzmodule richtet sich nach Edition und Laborlizenz; die Architektur- und Policy-Grundsätze gelten editionsübergreifend.
Lernziele
- API-Endpunkte und Schutzanforderungen systematisch inventarisieren.
- Schema-Prüfung anhand einer OpenAPI-Beschreibung planen und testen.
- Quellen über IP, X-Forwarded-For, Header, Cookie oder JWT unterscheiden.
- Rate-Limit-Regeln nach URI und Quellidentität sicher dimensionieren.
- Anti-Bot, IPS, Snort, Datei-Sicherheit und DLP fachlich einordnen.
- positive, negative und Umgehungstests automatisierbar beschreiben.
- editionabhängige Funktionen ohne Architekturbruch integrieren.
Zielgruppe
Geeignet für API- und Security-Engineering, DevSecOps, Plattformbetrieb, Kong- oder APISIX-Administration, Backend-Entwicklung, SOC sowie technische Verantwortliche für öffentliche und interne APIs.
Voraussetzungen
Erforderlich sind open-appsec-Grundkenntnisse, HTTP- und REST-Verständnis sowie Kenntnisse zu JSON, Statuscodes und Authentifizierung. OpenAPI, JWT und YAML sollten grundlegend bekannt sein.
Seminarinhalte
1. API-Inventar und Schutzprofil
APIs werden nach Exposition, Authentifizierung, Datenklasse, Änderungshäufigkeit und Missbrauchsrisiko klassifiziert. Endpunkte, Methoden und Medienformate bilden die Grundlage für Policies und Tests.
- Hosts, Basis-Pfade und Versionen erfassen.
- Methoden, Authentifizierung und kritische Operationen markieren.
- personenbezogene oder vertrauliche Datenflüsse kennzeichnen.
- technische und fachliche Missbrauchsszenarien formulieren.
- Schutzmodule und Logumfang zuordnen.
2. API-Schema-Prüfung
Eine OpenAPI-Beschreibung wird als Vertrag für eingehende Requests genutzt. Geprüft werden Methoden, Pfade, Parameter, Datentypen und Inhalte. Vor der Prävention muss geklärt sein, ob Spezifikation und produktives Verhalten tatsächlich übereinstimmen.
- Spezifikation versionieren und auf Vollständigkeit prüfen.
- Asset oder API-Regel eindeutig zuordnen.
- Schema zunächst im Erkennungsmodus aktivieren.
- gültige und absichtlich ungültige Requests ausführen.
- Abweichungen zwischen Implementierung und Spezifikation bereinigen.
- Schema-Prävention gestuft aktivieren.
3. Quellidentität für Benutzer und technische Clients
Bei APIs ist die Quell-IP häufig unzureichend. JWT-Claims, definierte Header oder Cookies können Clients stabiler unterscheiden. Die Vertrauensgrenze muss eindeutig sein: Identitätsmerkmale dürfen nur von kontrollierten Komponenten gesetzt oder validiert werden.
4. Rate Limiting und DDoS-Kontrolle
Ratenbegrenzung wird pro URI und Quelle dimensioniert. Längere Pfadtreffer erhalten Vorrang. Grenzwerte basieren auf Messdaten, fachlichen Spitzen und Fehlerbudgets; ein zu niedriger Wert wird selbst zum Ausfallrisiko.
- Normal- und Spitzenlast je Endpunkt messen.
- Quellidentität und Vertrauensgrenze festlegen.
- Regel zunächst protokollierend betreiben.
- Grenzwert, Zeitfenster und Aktion testen.
- Auswirkungen auf Retries, Batch-Clients und NAT-Szenarien prüfen.
- Prävention aktivieren und Alarmierung ergänzen.
5. Anti-Bot und automatisierter Missbrauch
Bots werden nach erwünschter Automatisierung, unbekannten Clients und schädlichem Verhalten getrennt. Suchmaschinen, Monitoring, Partnerintegrationen und interne Jobs benötigen klare Zulassungsregeln. Credential Stuffing, Scraping und automatisierte Enumeration werden als eigene Szenarien geprüft.
6. Zusätzliche Sicherheitsmodule
Behandelt werden benutzerdefinierte Snort-Signaturen, HTTP/S-IPS, Datei-Sicherheit, DLP-Regeln und benutzerdefinierte Antworten. Auswahl und Reihenfolge orientieren sich am konkreten Datenfluss. Module werden nicht pauschal aktiviert, sondern mit messbaren Testfällen und definiertem Betriebsowner eingeführt.
7. API-Sicherheitstest und Freigabe
Die Testmatrix umfasst gültige Requests, Schemafehler, Injection, übergroße Inhalte, Rate-Limit-Überschreitung, Identitätsmanipulation und Bot-Szenarien. Erwartete Aktion, Statuscode und Loginhalt werden vorab festgelegt.
Praktische Übungen
- API-Inventar und Risikoprofil für eine Beispiel-API erstellen.
- OpenAPI-Spezifikation prüfen und einer Schutzregel zuordnen.
- gültige und ungültige Requests gegen die Schema-Prüfung testen.
- JWT- oder Header-basierte Quellidentität konfigurieren.
- Rate-Limit-Regel im Erkennungsmodus dimensionieren und anschließend kontrolliert durchsetzen.
- zusätzliche Sicherheitsfunktion anhand eines klaren Angriffsszenarios integrieren.
- vollständige Positiv-, Negativ- und Umgehungstestmatrix dokumentieren.
Methodik und Unterlagen
Die Laborübungen verwenden eine dokumentierte Beispiel-API, Testrequests und auswertbare Ereignisse. Die Unterlagen enthalten API-Inventarvorlage, Schutzmodul-Matrix, Rate-Limit-Berechnung, Schema-Freigabe und Negativtestkatalog.
Seminar und Anbieter vergleichen
Öffentliche Schulung
Diese Seminarform ist auch als Präsenzseminar bekannt und bedeutet, dass Sie in unseren Räumlichkeiten von einem Trainer vor Ort geschult werden. Jeder Teilnehmer hat einen Arbeitsplatz mit virtueller Schulungsumgebung. Öffentliche Seminare werden in deutscher Sprache durchgeführt, die Unterlagen sind teilweise in Englisch.
Inhausschulung
Diese Seminarform bietet sich für Unternehmen an, welche gleichzeitig mehrere Teilnehmer gleichzeitig schulen möchten. Der Trainer kommt zu Ihnen ins Haus und unterrichtet in Ihren Räumlichkeiten. Diese Seminare können auf Deutsch – bei Firmenseminaren ist auch Englisch möglich – gebucht werden.
Webinar
Diese Art der Schulung ist geeignet, wenn Sie die Präsenz eines Trainers nicht benötigen, nicht reisen können und über das Internet an einer Schulung teilnehmen möchten.
Fachbereichsleiter / Leiter der Trainer / Ihre Ansprechpartner
-
Lucas Beich
Telefon: + 49 (221) 74740055
E-Mail: lucas.beich@seminar-experts.de -
Paul Goldschmidt
Telefon: + 49 (221) 74740055
E-Mail: paul.goldschmidt@seminar-experts.de
Seminardetails
| Dauer: | 2 Tage ca. 6 h/Tag, Beginn 1. Tag: 10:00 Uhr, weitere Tage 09:00 Uhr |
| Preis: |
Öffentlich oder Live Stream: € 1.198 zzgl. MwSt. Inhaus: € 3.400 zzgl. MwSt. |
| Teilnehmeranzahl: | min. 2 - max. 8 |
| Teilnehmer: | API- und Security-Engineering, DevSecOps, Plattformbetrieb, Gateway-Administration, Backend-Entwicklung, SOC |
| Voraussetzungen: | open-appsec-Grundkenntnisse, HTTP/REST, JSON, Statuscodes, Authentifizierung; OpenAPI, JWT und YAML in Grundzügen |
| Standorte: | Stream Live, Inhaus/Firmenseminar, Berlin, Bremen, Darmstadt, Dresden, Erfurt, Essen, Flensburg, Frankfurt, Freiburg, Friedrichshafen, Hamburg, Hamm, Hannover, Jena, Kassel, Köln, Konstanz, Leipzig, Luxemburg, Magdeburg, Mainz, München, Münster, Nürnberg, Paderborn, Potsdam, Regensburg, Rostock, Stuttgart, Trier, Ulm, Wuppertal, Würzburg |
| Methoden: | Vortrag, Demonstrationen, praktische Übungen am System |
| Seminararten: | Öffentlich, Webinar, Inhaus, Workshop - Alle Seminare mit Trainer vor Ort, Webinar nur wenn ausdrücklich gewünscht |
| Durchführungsgarantie: | ja, ab 2 Teilnehmern |
| Sprache: | Deutsch - bei Firmenseminaren ist auch Englisch möglich |
| Seminarunterlage: | Dokumentation auf Datenträger oder als Download |
| Teilnahmezertifikat: | ja, selbstverständlich |
| Verpflegung: | Kalt- / Warmgetränke, Mittagessen (wahlweise vegetarisch) |
| Support: | 3 Anrufe im Seminarpreis enthalten |
| Barrierefreier Zugang: | an den meisten Standorten verfügbar |
| Weitere Informationen unter + 49 (221) 74740055 |
Seminartermine
Die Ergebnissliste kann durch Anklicken der Überschrift neu sortiert werden.
