• Pentester:innen & Security Engineers: Für dich, wenn du Webanwendungen, APIs und CI/CD-Pipelines aktiv testest, Schwachstellen aufdecken und Angriffsketten nachvollziehen willst.
• DevSecOps Engineers & Platform Teams: Für dich und dein Team, wenn ihr Security systematisch in Build-, Test- und Deployment-Prozesse integrieren und automatisieren müsst.
• Software- & Security-Architekt:innen: Für dich, wenn du Sicherheitsrisiken realistisch bewerten möchtest, Schutzmechanismen planen und in bestehende Systemlandschaften einbetten willst.

• Schwachstellen erkennen und einordnen: Identifizieren und analysieren realer Sicherheitslücken in Webanwendungen, APIs und CI/CD-Umgebungen.
• Angriffsketten verstehen und reproduzieren: Nachvollziehen und Umsetzen typischer Angriffspfade – von Initial Access bis Impact.
• Pentesting-Methoden praktisch anwenden: Einsatz manueller Techniken und gängiger Security-Tools in realistischen Testszenarien.
• CI/CD-Sicherheit umsetzen: Integration von Security-Tests, Scans und Schutzmechanismen in DevSecOps- und Pipeline-Prozesse.
• Ergebnisse in Maßnahmen überführen: Ableiten konkreter technischer und organisatorischer Maßnahmen für Entwicklung und Betrieb.

Tag 1: Angreiferperspektive – Schwachstellen finden und ausnutzen

• • Analyse realer Web- und API-Architekturen aus Sicht von Angreifern
  • Identifikation typischer Schwachstellen (z. B. Authentifizierung, Autorisierung, Input-Validierung)
  • Manuelle und toolgestützte Tests auf Webanwendungen und APIs
  • Aufbau und Nachvollziehen kompletter Angriffsketten
  • Ausnutzung von Fehlkonfigurationen und Design-Schwächen
  • Bewertung von Schwachstellen nach technischer Ausnutzbarkeit und Impact

Tag 2: Verteidigung & DevSecOps – Systeme wirksam absichern

• • Ableitung wirksamer Schutzmaßnahmen aus realen Angriffsszenarien
  • Absicherung von Webanwendungen und APIs (Auth, OAuth2, Zugriffskontrolle)
  • Integration von Security-Checks in CI/CD-Pipelines
  • Automatisierte Tests und Scans im DevSecOps-Kontext
  • Priorisierung und Umsetzung von Security-Maßnahmen im Projektalltag
  • Überführung von Findings in nachhaltige Sicherheitsprozesse

• Grundkenntnisse in Webentwicklung: Verständnis von Webanwendungen, APIs und typischen Architekturmustern.
• Erfahrung mit Entwicklungs- oder Deployment-Prozessen: Grundlegendes Verständnis von Build-, Test- oder CI/CD-Abläufen ist hilfreich.
• Technisches Interesse an IT-Security: Bereitschaft, Sicherheitslücken aktiv zu analysieren und Angriffe nachzuvollziehen.
• Eigener Laptop mit Administratorrechten: Für die Durchführung von Hands-on-Übungen und praktischen Tests.