Veranstaltung: Master-Praktikum zur Hackertechnik

Nummer:

142243

Lehrform:

Praktikum

Medienform:

Folien

Verantwortlicher:

Prof. Dr. Jörg Schwenk

Dozenten:

Prof. Dr. Jörg Schwenk (ETIT), B. Sc. Dominik Birk (ETIT)

Sprache:

German

SWS:

3

Angeboten im:

Wintersemester und Sommersemester

Termine im Wintersemester

• Beginn: Wednesday den 13.10.2010
• Praktikum Mittwochs: ab 16:00 bis 18.30 Uhr im ID 03/401

Termine im Sommersemester

• Beginn: Wednesday den 14.04.2010
• Praktikum Mittwochs: ab 16:00 bis 18.30 Uhr im IC 4/161

Ziele

Den teilnehmenden Studierenden soll ein weit gefächertes Wissen über die häufigsten Schwachstellen in Webapplikationen vermittelt werden. Außerdem sollen sie lernen, wie sie derartige Schwachstellen manuell finden können, ohne die Hilfe von automatisierten Webapplikations-Scannern in Anspruch zu nehmen. Darüber hinaus lernen die Studierenden entsprechende Schutzmaßnahmen sowie deren Wirksamkeit kennen.

Inhalt

Webapplikationen sind im Zeitalter des Web-2.0 immer mehr zum Ziel von Angreifern geworden. So werden per SQL-Injektion fremde Datenbanken kompromittiert, per XSS-Schwachstelle Browsersessions gestohlen und per Cross-Site-Request-Forgery bekommt man von heute auf morgen unzählige neue Freunde in einem sozialen Netzwerk. Dazu wird nur ein einfacher Webbrowser benötigt.

Im Laufe dieses Praktikums sollen die Studierenden eine fiktive Online-Banking-Applikation angreifen und dabei die im Laufe der Veranstaltung erlernten Methoden und Techniken einsetzen. Dieses beinhaltet folgende Themengebiete:

• Cross Site Scripting (XSS)
• Cross Site Request Forgery (CSRF)
• Session Hijacking
• Session Fixation
• SQL Injection (SQLi)
• Local/Remote File Inclusion (LFI/RFI)
• Path Traversal
• Remote Code Execution (RCE)
• Logical Flaws
• Information Leakage
• Insufficient Authorization

Das Wissen der Studierenden wird zudem durch externe Experten aus der Industrie und IT-Sicherheits-Szene, die in Vorträgen über verschiedene Thematiken der Webapplikations-Sicherheit referieren werden, angereichert.

Voraussetzungen

Die Teilnehmeranzahl ist aus organisatorischen Gründen auf 20 Studierende beschränkt. Zur Auswahl der Teilnehmer wird im Vorfeld ein Aufnahmetest durchgeführt.

Dieser wird am Mitt­woch, 14.04.2010, um 16:00 Uhr im Raum IC 4/161 stattfinden. In diesem Test wird das Grundwissen in Bezug auf die erforderlichen Vorkenntnisse überprüft. Der Test besteht aus 20 Multiple-Choice-Fragen; es steht eine maximale Bearbeitungszeit von 15 Minuten zur Verfügung.

Die 20 Studierenden mit den meisten richtigen Antworten werden zum Praktikum zugelassen. Bei Punktgleichheit entscheidet das Los über die endgültige Platzvergabe.

Es wird empfohlen, sich mit den angegebenen Dokumenten (siehe pdf-Dateien unter Materialien) auf den Aufnahmetest vorzubereiten.

Zusatzbemerkung: Die Teilnahme an den angebotenen Vorträgen während des Semesters ist unabhängig vom Aufnahmetest für alle Interessierten möglich.

Empfohlene Vorkenntnisse

• Ausgeprägtes Interesse an IT-Sicherheit, speziell am Thema "Websicherheit"
• Grundlegende Kenntnisse über TCP/IP und HTTP(S)
• Grundlegende Kenntnisse über HTML / JavaScript
• Grundkenntnisse in PHP oder einer ähnlichen Scriptsprache
• Netzsicherheit I + II (http://www.nds.rub.de/chair/lectures/107/ + http://www.nds.rub.de/chair/lectures/257/)
• Web-Engineering (http://www.ei.rub.de/studium/lehrveranstaltungen/22/)

Materialien

Sonstige:

• Links zu relevanten Thematiken des Aufnahmetests

Sonstiges

• Anmeldung zum Aufnahmetest:

Die Anmeldung zum Aufnahmetest muss im Zeitraum vom Freitag, 19.03.2010 bis einschließlich Freitag, 09.04.2010 per E-Mail an die Adresse nds+badbank@rub.de geschickt werden.

Die E-Mail muss folgende Informationen enthalten:

Vorname, Name, Matrikelnummer, Studiengang und Fachsemesteranzahl

Ohne eine vorherige Anmeldung per E-Mail kann nicht am Aufnahmetest teilgenommen werden!

• Ablauf des Praktikums:

Es sind 6 Aufgaben zu lösen, wofür in der Regel jeweils 14 Tage zur Verfügung stehen. In dieser Zeit finden jeweils zwei Vorträge statt. Die Teilnahme an den Vorträgen ist obligatorisch! Teilnehmer dürfen bei den Vorträgen 1-mal unentschuldigt und 1-mal entschuldigt fehlen. Unabhängig davon müssen in jedem Fall alle gestellten Aufgaben gelöst werden.

Die Anwesenheit wird bei jedem Termin mit einer Anwesenheitsliste überprüft. Nach den Vorträgen wird die Möglichkeit bestehen, Fragen an die Referenten zu stellen. Das beste Team erhält am Ende des Praktikums einen Preis.

• Vorläufiger Zeitplan des Praktikums (Änderungen vorbehalten):

• Externe Referenten:
• Apache Tomcat - Who's the JBoss now? - Patrick Hof, Jens Liebchen (RedTeam Pentesting GmbH)

Der Vortrag beleuchtet den JBoss AS aus der Angreiferperspektive und verdeutlicht das Gefahrenpotential anhand von konkreten Beispielen bis hin zum Ausführen von beliebigem Code auf dem Host-Rechner der JBoss AS-Installation. Diese sollen Administratoren helfen, die Gefährdungslage einer JBoss AS-Standardinstallation besser einschätzen zu können, um gezielt entsprechende Sicherungsmaßnahmen zu ergreifen.

Unterstützt wird die Veranstaltung durch Livedemonstrationen der verschiedenen Angriffsarten, die allesamt zu einer Kompromittierung des Hosts führen.

Obwohl der Vortrag eine sehr komplexe Unternehmenssoftware betrachtet, ist keinerlei Vorwissen im Bereich des JBoss AS oder allgemein zu Java Applikations-Servern bei den Besuchern notwendig. Auch ohne Vorwissen ist der Vortrag interessant, um einen Einstieg in die Welt und Risiken von Java Enterprise Software zu finden. Die vorgestellten Angriffe sind auch ohne Vorkenntnisse aus dem Bereich von Java-Applikations-Servern leicht zu verstehen.

Über die Referenten:

Patrick Hof und Jens Liebchen arbeiten als Penetrationstester bei der RedTeam Pentesting GmbH in Aachen. RedTeam Pentesting ist ein auf Penetrationstests spezialisiertes Unternehmen. Neben dem täglichen Umgang mit Sicherheitslücken sind die Mitarbeiter von RedTeam Pentesting regelmäßig auf diversen Sicherheitskonferenzen als Referenten vertreten. Mehr Informationen über RedTeam Pentesting finden sich unter http://www.redteam-pentesting.de.

• Jenseits von Angriffsmustern - Positive Sicherheitsmodelle in Web-Anwendungen - Christian Bockermann (TU Dortmund)

Inhalt: Motivation, Überblick - Negative Sicherheitsmodelle, Angriffsmuster, Probleme - Alternativer Ansatz: Sicherheit durch Spezifikation - Web Policy Language - eine Spezifikationssprache für Web-Anwendungen - Lernen von Spezifikationen aus Audit-Daten - SQL-IDS - Data-Mining auf Database-Query Logs

Über den Referent:

Christian Bockermann ist derzeit wissenschaftlicher Mitarbeiter an der Technischen Universität Dortmund. Nach seiner Diplomarbeit zum Thema "Anomalie-Erkennung in Web-Anwendungen" promoviert er zur Zeit am Lehrstuhl für künstliche Intelligenz im Bereich Web-Sicherheit.

Neben einigen Projekten zur Web-Sicherheit betreibt er die Seite jwall.org, die einen Teil der Tools bereitstellt, die im Rahmen der Forschungsarbeiten bisher entwickelt wurden. Mit seinem Konzept zu einer intelligenten Web-Application Firewall landete er beim IT-Sicherheitspreis der Horst Görtz Stiftung unter den finalen Top-10.

• Attacking Adjacent Layers - Moritz Jodeit (n.runs AG)

Bei diesem Vortrag handelt es sich nicht um den typischen Vortrag zum Thema Websicherheit. Es wird versucht einen etwas anderen Blickwinkel auf Webanwendungen einzunehmen. Statt den Fokus auf die üblichen Verwundbarkeiten wie SQL Injection oder Cross-site scripting zu legen, wird stattdessen versucht die angrenzenden Technologien und deren engen Beziehungen zu Webanwendungen zu beleuchten. Anhand von exemplarischen Schwachstellen werden sowohl serverseitige als auch clientseitige Technologien beleuchtet, welche auf den ersten Blick vielleicht nicht im direkten Zusammenhang mit Webapplikationen zu stehen scheinen. Ziel dieses Vortrags ist es einen Blick über den Tellerrand der typischen Websicherheit zu werfen und zu zeigen, dass die Angriffsfläche von Webanwendungen weit über die üblicherweise getestete Funktionalität hinaus gehen kann.

Über den Referent:

Moritz Jodeit ist Security Consultant bei der n.runs AG und beschäftigt sich seit über 10 Jahren mit der Sicherheit von Computersystemen. Seine Hauptinteressen liegen dabei im Bereich von low-level Angriffen auf Software sowie modernen Exploit-Techniken.

• Web Application Firewalls - Steffen Tröscher (ci­ro­sec GmbH)

Der Vortrag beginnt mit einer Einführung in die technische Funktionsweise von Web Application Firewalls (WAFs). Anhand verschiedener Angriffsszenarien wird anschließend dargestellt, wie eine WAF die Ausnutzung von Schwachstellen erschwert und somit zusätzlichen Schutz für Web-Applikationen bietet. Anschließend werden die auf dem Markt verfügbaren Produkte zusammengefasst und in ihrer Funktionalität miteinander verglichen.

Über den Referent:

Steffen Tröscher ist Senior-Berater bei der cirosec GmbH und beschäftigt sich schwerpunktmäßig mit der Sicherheitsüberprüfung von IT-Systemen, Netzen und Web-Applikationen. Darüber hinaus führt er konzeptionelle Analysen von Netzwerk-Umgebungen und Bedrohungsszenarien durch.

Neben seiner Tätigkeit hält er Vorträge auf verschiedenen Fachkongressen und ist regelmäßig Teilnehmer auf internationalen so genannten „Hacker-Konferenzen“. Außerdem hält er Vorlesungen an der Berufsakademie Mosbach und der Hochschule Heilbronn zum Thema IT-Sicherheit und veröffentlicht Artikel über IT-Sicherheitsthemen in Fachzeitschriften.

Zusammen mit anderen Kollegen bei cirosec führt er die Schulungen „Hacking Extrem Web-Applikationen“ sowie „Hacking Extrem“ regelmäßig durch und entwickelt diese weiter.

• Cross-site Requests: One mechanism, many attacks - Martin Johns (SAP Research)

Seit dem 1993 Marc Andreessen das <IMG>-tag in das seinerzeit noch blutjunge HTML gebracht hat, sind Web Dokumente mit Inhalten aus mehreren Ursprüngen (und somit auch cross-site HTTP Requests) allgegenwärtig. Allerdings bei der Entscheidung, das Sicherheitsmodell des Webs auf der (ursprünglich von Java Applets etablierten) Same-origin Policy zu basieren, scheint diese inherente Eigenschaft von HTML Dokumenten nicht ausreichend in Erwägung gezogen worden zu sein. Aus dem resultierenden Widerspruch - a same-origin-policy for multi-origin documents - ergibt sich eine Vielzahl von potentiellen Sicherheitsproblemen. Der Vortrag wird einen umfassenden Überblick der Thematik geben, angefangen bei Cross-site Request Forgery, über JSON Hijacking bis zu Angriffen auf Intranet Ressourcen.

Über den Referent:

Martin Johns studierte Mathematik und Informatik in Göttingen, Santa Cruz (CA) und Hamburg, wo er 2003 sein Diplom in Informatik erhielt. Von 1994 bis 2005 arbeitete er ausserdem als Software Ingenieur in verschiedenen deutschen Unternehmen (u.A. Infoseek Germany, TC Trustcenter und SAP AG). 2005 trat er dem Lehrstuhl von Joachim Posegga bei (zunächst in Hamburg, später dann in Passau), um in verschiedenen Forschungsprojekten in den Bereichen Software- und Web Applikations-Sicherheit zu wirken. Seit Ende 2009 bekleidet er die Position eines Senior Reseachers für Security and Trust bei SAP Research am Standort Karlsruhe. Seine aktuellen Arbeitsthemen umfassen den Schutz von kritischen Infrastrukturen, Future Energy und Anwendungssicherheit.