Web App Security & Bug Bounty Lessons Learned

Der Workshop verbindet theoretisches Wissen zu Web Application Security mit echten Erfahrungen aus zwei Jahren Bug-Bounty-Programm-Betreuung beim Cornelsen Verlag. Ausgehend von den OWASP Top 10 werden reale Schwachstellen demonstriert: SQL Injection, XSS, Path Traversal, Remote Code Execution – illustriert durch Bug-Bounty-Reports, die tatsächlich eingegangen sind. Teilnehmende erleben den Perspektivwechsel: Wie denken externe Researcher? Was übersehen interne Teams systematisch? Der Workshop zeigt konkrete Schutzmaßnahmen auf Code-, Server- und Browser-Ebene (Prepared Statements, CSP, Same-Origin-Policy) und beleuchtet kritische Lessons Learned: Triaging von Reports, Kommunikation mit Researchern, typische False Positives vs. echte Treffer. Besonderer Fokus liegt auf Designfehlern wie vorhersagbaren URLs und unsicheren API-Endpoints – Fehlermustern, die Bug Bounty Hunter gezielt ausnutzen. Live-Demos mit OWASP Juice Shop, BeEF und Hacker-Tools (wie ffuf, nuclei, bbot) machen Angriffsvektoren greifbar. Der Workshop richtet sich an Admins, DevOps-Engineers und Security-Verantwortliche, die verstehen wollen, wie Bug-Bounty-Programme funktionieren und welche Erkenntnisse sich daraus für die eigene Infrastruktur ableiten lassen – mit praxiserprobten Takeaways statt Theorie.