Sicherheit beginnt nicht beim Angriff, sondern beim Entwurf. In diesem Workshop lernen die Teilnehmenden Bedrohungsmodellierung (Threat Modelling) als systematische Methode kennen, um proaktiv vorherzusagen, wo eine Webanwendung verwundbar ist. Damit setzt der Workshop dort an, wo die OWASP Top 10 2025 (die Referenzliste der zehn kritischsten Web-Sicherheitsrisiken) mit Insecure Design (A06) das Fehlen genau dieser Methode als Risiko benennt.
Mithilfe von STRIDE und einem Datenflussdiagramm stellen die Teilnehmenden Hypothesen darüber auf, wo eine Webanwendung – am Beispiel des OWASP Juice Shop – angreifbar sein könnte. Danach gleichen sie diese Hypothesen in einer Hands-on-Hacking-Session mit der realen Web-App ab. Als Leitfaden dienen dabei die Schwachstellen aus den OWASP Top 10 2025.
Es werden die folgenden Themen behandelt:
Dieser Workshop richtet sich an Studierende sowie Web-Entwicklerinnen und -Entwickler, die über das reaktive Schließen einzelner Lücken hinausgehen und Sicherheit systematisch und von Anfang an mitdenken möchten. Teilnehmende lernen Schwachstellen vorherzusagen und diese Vorhersagen anschließend in einer Live-Umgebung zu finden und nachzuweisen.
Empfohlen wird ein grundlegendes Verständnis von Webanwendungen und den Entwicklertools des Browsers (DevTools). Web-Security-Grundkenntnisse sind hilfreich, aber keine Voraussetzung: Kurze Auffrischungs-Inputs und Begleitmaterialien geben den Teilnehmenden das nötige Grundwissen an die Hand.