Veranstaltung: Bachelor-Vertiefungspraktikum zur Hackertechnik

Nummer:
142244
Lehrform:
Praktikum
Medienform:
Folien
Verantwortlicher:
Prof. Dr. Jörg Schwenk
Dozenten:
Prof. Dr. Jörg Schwenk (ETIT), M. Sc. Marcus Niemietz (ETIT)
Sprache:
Deutsch
SWS:
3
LP:
3
Angeboten im:
Wintersemester und Sommersemester

Termine im Wintersemester

  • Beginn: Mittwoch den 19.10.2016
  • Praktikum Mittwochs: ab 16:15 bis 17.45 Uhr im ID 03/445

Termine im Sommersemester

  • Beginn: Mittwoch den 13.04.2016
  • Praktikum Mittwochs: ab 16:15 bis 17.45 Uhr im ID 03/445

Prüfung

Praktikum

studienbegleitend

Ziele

Die teilnehmenden Studierenden haben ein weit gefächertes Wissen über die häufigsten Schwachstellen in Webapplikationen. Außerdem wissen sie, wie sie derartige Schwachstellen manuell finden können, ohne die Hilfe von automatisierten Webapplikations-Scannern in Anspruch zu nehmen. Darüber hinaus kennen die Studierenden entsprechende Schutzmaßnahmen sowie deren Wirksamkeit.

Inhalt

Webapplikationen sind im Zeitalter des Web-2.0 immer mehr zum Ziel von Angreifern geworden. So werden per SQL-Injektion fremde Datenbanken kompromittiert, per XSS-Schwachstelle Browsersessions gestohlen und per Cross-Site-Request-Forgery bekommt man von heute auf morgen unzählige neue Freunde in einem sozialen Netzwerk. Dazu wird nur ein einfacher Webbrowser benötigt.

Im Laufe dieses Praktikums sollen die Studierenden eine fiktive Online-Banking-Applikation angreifen und dabei die im Laufe der Veranstaltung erlernten Methoden und Techniken einsetzen. Dieses beinhaltet folgende Themengebiete:

  • Cross Site Scripting (XSS)
  • Cross Site Request Forgery (CSRF)
  • Session Hijacking
  • Session Fixation
  • SQL Injection (SQLi)
  • Local/Remote File Inclusion (LFI/RFI)
  • Path Traversal
  • Remote Code Execution (RCE)
  • Logical Flaws
  • Information Leakage
  • Insufficient Authorization

Das Wissen der Studierenden wird zudem durch externe Experten aus der Industrie und IT-Sicherheits-Szene, die in Vorträgen über verschiedene Thematiken der Webapplikations-Sicherheit referieren werden, angereichert.

Voraussetzungen

keine

Empfohlene Vorkenntnisse

  • Ausgeprägtes Interesse an IT-Sicherheit, speziell am Thema "Websicherheit"
  • Grundlegende Kenntnisse über TCP/IP und HTTP(S)
  • Grundlegende Kenntnisse über HTML / JavaScript
  • Grundkenntnisse in PHP oder einer ähnlichen Scriptsprache
  • Inhalte der Vorlesungen Netzsicherheit 1 und 2

Materialien

Sonstige:

Sonstiges

Die Teilnehmeranzahl ist aus organisatorischen Gründen auf 20 Studierende beschränkt. Zur Auswahl der Teilnehmer wird im Vorfeld ein Aufnahmetest durchgeführt.

Dieser wird am Montag, 17.10.2016 um 16 Uhr im Raum ID 03/445 stattfinden. In diesem Test wird das Grundwissen in Bezug auf die erforderlichen Vorkenntnisse überprüft. Der Test besteht aus 20 Multiple-Choice-Fragen; es steht eine maximale Bearbeitungszeit von 15 Minuten zur Verfügung.

Die 20 Studierenden mit den meisten richtigen Antworten werden zum Praktikum zugelassen. Bei Punktgleichheit entscheidet das Los über die endgültige Platzvergabe.

Wichtig für den Aufnahmetest und das Hackerpraktikum sind vor allem die praktischen Aspekte folgender Themen:

Insgesamt ist also zum Beispiel die Geschichte von HTML weniger von Belang als praktisches Wissen im Umgang mit der Sprache.

Zusatzbemerkung: Die Teilnahme an den angebotenen Vorträgen während des Semesters ist unabhängig vom Aufnahmetest für alle Interessierten möglich.

Anmeldung zum Aufnahmetest:

Die Anmeldung zum Aufnahmetest beginnt ab sofort per E-Mail an die Adresse nds+badbank@rub.de. Die letzte mögliche Anmeldung ist am 16.10.2016 um 23:59 Uhr!

Die E-Mail muss folgende Informationen enthalten:

Vorname, Name, Matrikelnummer, Studiengang und Fachsemesteranzahl

Ohne eine vorherige Anmeldung per E-Mail kann nicht am Aufnahmetest teilgenommen werden!

Ablauf des Praktikums:

Im Laufe des Prak­ti­kums muss jeder Teil­neh­mer, un­ab­hän­gig von der Grup­pe, min­des­tens 3 Auf­ga­ben selb­stän­dig ge­löst haben, zusätzlich müssen alle Gruppen alle 6 Aufgaben selbständig gelöst haben. Ist dies nicht der Fall, kann der Stu­die­ren­de kei­nen Praktikumsschein er­wer­ben. Die Be­treu­er be­hal­ten sich zudem vor, even­tu­el­le Rückfra­gen zu der Lö­sung an den je­wei­li­gen Stu­die­ren­den zu stel­len um Missbrauch zu un­ter­bin­den.

Innerhalb der 14 Tage finden jeweils zwei Vorträge statt. Die Teilnahme an den Vorträgen ist obligatorisch! Teilnehmer dürfen bei den Vorträgen 1-mal unentschuldigt und 1-mal entschuldigt fehlen. Unabhängig davon müssen in jedem Fall alle gestellten Aufgaben gelöst werden.

Die Anwesenheit wird bei jedem Termin mit einer Anwesenheitsliste überprüft. Nach den Vorträgen wird die Möglichkeit bestehen, Fragen an die Referenten zu stellen. Das beste Team erhält am Ende des Praktikums einen Preis.