HackerPraktikum

Webapplikationen sind im Zeitalter des Web-2.0 immer mehr zum Ziel von Angreifern geworden. So werden per SQL-Injektion fremde Datenbanken kompromittiert, per XSS-Schwachstelle Browser­sessions gestohlen und per Cross-Site-Request-For­gery bekommt man von heute auf morgen unzählige neue Freunde in einem sozialen Netzwerk. Dazu wird nur ein einfacher Webbrowser benötigt. Der Lehrstuhl für Netz- und Datensicherheit von Prof. Dr. Schwenk bietet daher seit dem WiSe 09/10 ein Praktikum zur Hackertechnik an.

Aktuelles

Im WS 21/22 finden voraussichtlich folgende Veranstaltungen statt:

Datum Event
11.10.2021 Aufnahmetest um 17:15 Uhr (über Moodle)
20.10.2021 Cross-Site Scripting
03.11.2021 Logical Flaws
17.11.2021 SQL Injections
01.12.2021 Local File Inclusion
15.12.2021 Remote Code Execution
12.01.2022 Cross-Site Request Forgery
02.02.2022 Wurm Contest

Inhalte

Im Laufe des HackerPraktikums sol­len die Stu­die­ren­den eine fik­ti­ve On­line-Ban­king-Ap­pli­ka­ti­on an­grei­fen und dabei die im Laufe der Ver­an­stal­tung er­lern­ten Me­tho­den und Tech­ni­ken ein­set­zen. Die­ses be­inhal­tet fol­gen­de The­men­ge­bie­te:

  • Cross Site Script­ing (XSS)
  • Cross Site Re­quest For­ge­ry (CSRF)
  • Ses­si­on Hi­ja­cking
  • Ses­si­on Fixa­ti­on
  • SQL In­jec­tion (SQLi)
  • Local/Re­mo­te File In­clu­si­on (LFI/RFI)
  • Path Tra­ver­sal
  • Re­mo­te Code Exe­cu­ti­on (RCE)
  • Lo­gi­cal Flaws
  • In­for­ma­ti­on Le­a­ka­ge
  • In­suf­fi­ci­ent Aut­ho­riza­t­i­on

Das Wis­sen der Stu­die­ren­den wird zudem durch ex­ter­ne Ex­per­ten aus der In­dus­trie und IT-Si­cher­heits-Sze­ne, die in Vor­trä­gen über ver­schie­de­ne The­ma­ti­ken der Web­ap­pli­ka­ti­ons-Si­cher­heit re­fe­rie­ren wer­den, an­ge­rei­chert.

Ziele

Den teil­neh­men­den Stu­die­ren­den soll ein weit ge­fä­cher­tes Wis­sen über die häu­figs­ten Schwach­stel­len in Web­ap­pli­ka­tio­nen ver­mit­telt wer­den. Au­ßer­dem sol­len sie ler­nen, wie sie der­ar­ti­ge Schwach­stel­len ma­nu­ell fin­den kön­nen, ohne die Hilfe von au­to­ma­ti­sier­ten Web­ap­pli­ka­ti­ons-Scan­nern in An­spruch zu neh­men. Dar­über hin­aus ler­nen die Stu­die­ren­den ent­spre­chen­de Schutz­maß­nah­men sowie deren Wirk­sam­keit ken­nen.