Überblick
Dieser Kurs fokussiert sich vollständig auf die technische Sicherheit von .NET-Webanwendungen und behandelt keine Projektmanagement- oder Methodenzertifizierungen. Er richtet sich an Entwicklerinnen, Entwickler und Security-Spezialisten, die sowohl angreifend als auch verteidigend mit .NET-Webanwendungen arbeiten wollen. Der Ansatz ist konsequent praxisorientiert: Sie führen echte Penetrationstests durch, suchen und analysieren Sicherheitslücken und lernen, dieselben Schwachstellen mit sicherem Code zu beseitigen. Das Hands-on-Training in funktionsfähigen Webanwendungen ist das zentrale didaktische Prinzip des Kurses.
Kursinhalte & Lernziele
Modul 1 — Einführung in Bug Hunting und .NET-Websicherheit Bevor Sie Sicherheitslücken schließen können, müssen Sie sie finden — und zwar so, wie es Angreifer tun würden. Dieses Modul legt die konzeptionelle und methodische Grundlage für die gesamte Weiterbildung. Sie lernen, Webanwendungen mit den Augen eines Angreifers zu betrachten, und erarbeiten ein strukturiertes Vorgehen für das systematische Aufspüren von Sicherheitslücken in .NET-Umgebungen.
- Bug Hunting als Disziplin: Unterschied zwischen opportunistischen und strukturierten Schwachstellensuchen
- Aufbau typischer ASP.NET-Webanwendungen: Request-Response-Zyklus, Middleware, Controller, Routing
- Angriffsmodellierung: Bedrohungsanalyse (Threat Modeling) für .NET-Applikationen
- Einrichten einer sicheren Testumgebung für .NET-Webanwendungen
- Übersicht über gängige Angriffswerkzeuge und ihre legitimen Einsatzbereiche
- Rechtliche und ethische Grundlagen von Penetrationstests: Genehmigungspflichten, Haftung, Scope-Definition
Modul 2 — Scannen, Erkennen und Analysieren von Schwachstellen Strukturierte Websicherheitstests beginnen mit einer umfassenden Reconnaissance- und Scan-Phase. In diesem Modul erlernen Sie den systematischen Einsatz von Scanning-Tools für .NET-Webapplikationen und die fundierte Analyse und Klassifikation der entdeckten Schwachstellen.
- HTTP-Traffic analysieren mit Intercepting Proxies (z.B. Burp Suite) in .NET-Kontexten
- Schwachstellenscanner konfigurieren und Ergebnisse für .NET-Applikationen interpretieren
- Manuelle Schwachstellensuche durch Code-Review und Request-Manipulation
- OWASP Top 10 als Klassifikationsrahmen: aktuelle Kategorien und ihre Bedeutung für .NET
- Injection-Angriffe in .NET: SQL Injection, LDAP Injection, Command Injection — Erkennung und Ursachenanalyse
- Cross-Site Scripting (XSS) in Razor-Views und API-Responses: reflected, stored, DOM-basiert
- Authentifizierungsschwächen: unsichere Session-Verwaltung, Credential Exposure, JWT-Missbrauch in ASP.NET
- Broken Access Control: fehlende Autorisierungsprüfungen, Privilege Escalation in .NET-Anwendungen
Modul 3 — Angriffe durchführen und Verteidigungsmaßnahmen ableiten Der Kern des Kurses liegt in der praktischen Angriffs- und Verteidigungsarbeit. Sie greifen vollständig funktionale .NET-Webanwendungen an, verteidigen deren Werte und leiten daraus direkt die notwendigen Schutzmaßnahmen ab. Dieser Wechsel zwischen Angriffs- und Verteidigungsperspektive — der sogenannte „Attacker Mindset" gepaart mit „Defender Skills" — ist das entscheidende Lernprinzip.
- SQL-Injection-Angriffe in echten ASP.NET-Applikationen ausführen und anschließend parametrisierte Queries implementieren
- XSS-Angriffe gegen .NET-Frontends durchführen und durch Output-Encoding und Content Security Policy abwehren
- CSRF-Angriffe (Cross-Site Request Forgery) simulieren und mit Anti-Forgery-Token in ASP.NET schützen
- Unsichere Deseralisierung in .NET erkennen und sichere Alternativen implementieren
- Sicherheitskonfigurationsfehler in ASP.NET Core-Applikationen finden und beheben
- Server-Side Request Forgery (SSRF) und Business-Logic-Schwachstellen in .NET-APIs ausnutzen und sichern
- Kryptographische Schwächen in .NET: veraltete Algorithmen, unsichere Zufallszahlengeneratoren, fehlerhafte TLS-Konfigurationen
- Security-Misconfiguration in Azure-hosted .NET Apps: Fehlkonfigurationen in Hosting-Umgebungen erkennen
Modul 4 — Bug Stomping: Sichere Coding-Praktiken für .NET-Entwickler Das abschließende Modul wendet sich der nachhaltigen Sicherung von .NET-Webanwendungen zu. Bug Stomping bezeichnet die gezielte, nachhaltige Beseitigung von Sicherheitslücken durch sicheres Coding — nicht als einmalige Reparatur, sondern als integrierter Bestandteil des Entwicklungsprozesses.
- Secure Development Lifecycle (SDL) in .NET-Projekten: Sicherheit von Anfang an einbauen
- OWASP-konforme Inputvalidierung und Output-Encoding in ASP.NET Core
- Sichere Authentifizierung mit ASP.NET Identity: Password Hashing, Multi-Faktor-Authentifizierung
- Autorisierungsarchitekturen in .NET: Claims-basierte Zugriffskontrolle, Policy-basierte Autorisierung
- Sicherer Umgang mit sensiblen Daten: Verschlüsselung, Key Management, Secret Handling in ASP.NET
- Sicherheitsorientiertes Logging und Monitoring: was gehört in Logs, was nicht?
- Dependency-Management: Umgang mit unsicheren NuGet-Paketen und CVE-Tracking
- Threat-Modellierungsworkshop: Sicherheitsanforderungen für eine eigene .NET-Webanwendung ableiten
Der Kurs arbeitet konsequent hands-on: Alle Angriffs- und Verteidigungsszenarien werden in echten, vollständig funktionsfähigen .NET-Webanwendungen durchgeführt — nicht in abstrakten Sandbox-Umgebungen. Die Teilnehmenden wechseln wiederholt die Perspektive zwischen Angreifer und Verteidiger, was das Verständnis für Angriffsvektoren und Gegenmaßnahmen nachhaltig vertieft.
Lernziele:
- Sie führen strukturierte Penetrationstests gegen .NET-Webanwendungen durch und dokumentieren Befunde systematisch.
- Sie scannen Webanwendungen auf Sicherheitslücken mit einschlägigen Tools und interpretieren die Ergebnisse fachgerecht.
- Sie identifizieren und klassifizieren Schwachstellen nach den OWASP Top 10 in realen ASP.NET-Anwendungen.
- Sie verstehen die technischen Ursachen gängiger Webapplikations-Schwachstellen wie SQL Injection, Cross-Site Scripting und unsichere Deserialisierung.
- Sie wenden sichere Programmierpraktiken für ASP.NET-Anwendungen an, um bekannte Angriffsvektoren zu schließen.
- Sie führen Bug Stomping durch — die gezielte Behebung identifizierter Sicherheitslücken im Code.
- Sie analysieren den Sicherheitsstatus von Webservices und REST-APIs in .NET-Umgebungen.
- Sie verstehen den Angriffs- und Verteidigungszyklus als zusammenhängendes Modell für Web-Applikationssicherheit.
- Sie erkennen Sicherheitsrisiken in bestehenden Codebasen und priorisieren Behebungsmaßnahmen nach Kritikalität.
- Sie kommunizieren Sicherheitsbefunde klar und nachvollziehbar gegenüber Entwicklungsteams und technischen Stakeholdern.
- Sie kennen die rechtlichen und ethischen Rahmenbedingungen für Penetrationstests in der Praxis.
Zielgruppe & Voraussetzungen
Der Kurs richtet sich an technisch erfahrene Fachleute aus Entwicklung und IT-Sicherheit, die gezielt an der Schnittstelle von Angriffstechnik und sicherem .NET-Coding arbeiten wollen.
- ASP.NET-Entwicklerinnen und -Entwickler, die ihre Anwendungen von Sicherheitsrisiken befreien wollen
- Penetration Tester mit Interesse an .NET-spezifischen Angriffstechniken
- Web Application Security Engineers in Unternehmen mit .NET-Stack
- Security-Auditoren, die .NET-Anwendungen im Rahmen von Code-Reviews oder Pentests beurteilen
- DevSecOps-Fachleute, die Sicherheit in .NET-Entwicklungspipelines integrieren
Praktische Erfahrung in der ASP.NET-Entwicklung oder solide Kenntnisse in mindestens einer .NET-Sprache (C# empfohlen) sind erforderlich. Grundkenntnisse im HTTP-Protokoll, in Web-Architekturen und im Umgang mit Browser-Entwicklertools werden vorausgesetzt. Vorkenntnisse in Websicherheit sind hilfreich, aber nicht zwingend notwendig — der Kurs führt von den konzeptionellen Grundlagen in die praktische Angriffs- und Verteidigungsarbeit. Ein Beratungsgespräch klärt, ob das individuelle Niveau für einen direkten Einstieg geeignet ist.
Ablauf & Abschluss
Der Kurs ist konsequent als Hands-on-Training konzipiert: Live-Unterricht im virtuellen Klassenzimmer wird mit intensiven Übungsphasen in .NET-Testumgebungen kombiniert. Im Mittelpunkt stehen reale Angriffsszenarien gegen funktionale Webanwendungen — keine abstrakten Slides, sondern direktes Arbeiten mit Tools, Code und Exploits. Die Methodik wechselt systematisch zwischen Angriffs- und Verteidigungsperspektive, um beide Seiten der Websicherheit aus eigener Praxis zu verstehen. Der Kurs kann in Voll- oder Teilzeit absolviert werden; die Kursdauer liegt im Bereich von mehr als einer Woche bis zu einem Monat.
Die Weiterbildung erstreckt sich über mehr als eine Woche bis zu einem Monat. Der genaue Umfang hängt von den gewählten Modulen und dem angestrebten Vertiefungsgrad ab. Vollzeit-Teilnahme ist der Standardmodus; Teilzeit ist möglich und wird im Beratungsgespräch individuell geplant.
Nach Abschluss der Weiterbildung erhalten Sie ein trägerinternes Lehrgangszertifikat des Bildungsanbieters. Externe Herstellerzertifikate in der klassischen Form (wie z.B. CEH von EC-Council) sind kein integrierter Bestandteil dieses Kurses — der Fokus liegt auf praxisnaher Kompetenzentwicklung in .NET-Websicherheit. Inhalte können ergänzend als Vorbereitung für externe Zertifizierungen im Bereich Penetration Testing dienen.
Nutzen & Perspektiven
.NET-Anwendungen sind ein bevorzugtes Ziel für Webangriffe — nicht weil das Framework grundsätzlich unsicher wäre, sondern weil viele .NET-Entwickler die Sicherheitsdimension ihrer Arbeit nicht systematisch beherrschen. Wer nach diesem Kurs eine ASP.NET-Anwendung entwickelt, tut dies mit dem Wissen, welche Angriffsvektoren existieren und wie man sie durch sicheres Coding schließt. Das ist ein konkreter, messbarer Mehrwert für jedes Entwicklungsprojekt. Für Penetration Tester und Security Engineers ergänzt der .NET-Fokus das oft generische Pentest-Wissen um eine spezifische Plattformkompetenz, die in der Praxis häufig benötigt wird: Der deutschsprachige Enterprise-Markt ist stark von Microsoft-Technologien geprägt, und .NET-Webapplikationen sind in diesem Umfeld weit verbreitet. Wer .NET-spezifische Angriffstechniken und Absicherungsmaßnahmen aus eigener Praxis kennt, ist für Security-Projekte in diesen Umgebungen qualifizierter als Generalisten ohne Plattformtiefe. Der Wechsel zwischen Angreifer- und Verteidigerperspektive — der rote Faden durch den gesamten Kurs — schärft das Sicherheitsdenken auf eine Weise, die rein theoriebezogene Kurse nicht leisten können. Wer weiß, wie ein SQL-Injection-Angriff in der Praxis aussieht, schreibt keine verwundbaren SQL-Abfragen mehr.
Häufig gestellte Fragen (FAQ)
Brauche ich Vorkenntnisse in Websicherheit für diesen Kurs?
Grundkenntnisse sind hilfreich, aber nicht zwingend erforderlich. Der Kurs beginnt mit den konzeptionellen Grundlagen des Bug Hunting und führt schrittweise in die praktischen Angriffs- und Verteidigungsszenarien ein. Praktische ASP.NET-Entwicklungserfahrung ist jedoch eine wichtige Voraussetzung.
Was bedeutet "Bug Stomping" in diesem Kontext?
Bug Stomping beschreibt die gezielte, nachhaltige Beseitigung von Sicherheitslücken durch sicheres Coding — im Gegensatz zu kurzfristigen Patches. Im Kurs identifizieren Sie Schwachstellen zunächst durch Angriffe und beheben sie anschließend durch sichere Programmierpraktiken in ASP.NET.
Welche Zertifizierung erhalte ich nach dem Kurs?
Der Kurs schließt mit einem trägerinternen Lehrgangszertifikat ab. Externe Herstellerzertifikate wie CEH sind kein integrierter Bestandteil; die erworbenen Kompetenzen können jedoch als Vorbereitung für externe Penetrationstester-Zertifizierungen dienen.
Ist der Kurs auch für Penetration Tester ohne .NET-Hintergrund geeignet?
Der Kurs setzt grundlegendes Verständnis von .NET-Webanwendungen voraus, da alle Übungen in echten ASP.NET-Umgebungen stattfinden. Penetration Tester ohne .NET-Erfahrung sollten vor dem Kurs Grundkenntnisse in C# und ASP.NET aufbauen.
Werden aktuelle OWASP Top 10-Kategorien behandelt?
Ja, der Kurs behandelt die aktuellen OWASP Top 10 als Klassifikationsrahmen für Webanwendungsschwachstellen — spezifisch angewandt auf ASP.NET-Umgebungen, mit Angriffs- und Behebungsszenarien für jede relevante Kategorie.
Verwandte Kurse
Welche Förderung passt zu dir?
Finde in 30 Sekunden heraus, ob dir ein Bildungsgutschein oder andere Zuschüsse zustehen. Kostenlos & ohne Anmeldung.
Arbeitsmarkt-Report
IT-Berufe sind seit fünf Jahren der größte Fachkräfteengpass am deutschen Arbeitsmarkt. Der Bestand offener IT-Stellen ist 2024 auf einen Rekordstand gestiegen; AI- und Cloud-Skills werden in den nächsten Jahren weiter überdurchschnittlich nachgefragt.
Zielberufe & offene Stellen
Berufe, in denen Absolvent:innen dieses Kurses typischerweise arbeiten — mit bundesweit offenen Stellen der letzten 12 Monate.
- IT-Sicherheit (grundständig)926 Stellen
- Fachinformatiker/Fachinformatikerin Fachrichtung Digitale Vernetzung372 Stellen
- Netzwerk-Servicetechniker/Netzwerk-Servicetechnikerin338 Stellen
- Penetration Tester97 Stellen
- .NET Developer (Security)9 Stellen
- Web Application Security Engineer0 Stellen