HackerPraktikum

Webapplikationen sind im Zeitalter des Web-2.0 immer mehr zum Ziel von Angreifern geworden. So werden per SQL-Injektion fremde Datenbanken kompromittiert, per XSS-Schwachstelle Browser­sessions gestohlen und per Cross-Site-Request-For­gery bekommt man von heute auf morgen unzählige neue Freunde in einem sozialen Netzwerk. Dazu wird nur ein einfacher Webbrowser benötigt. Der Lehrstuhl für Netz- und Datensicherheit von Prof. Dr. Schwenk bietet daher seit dem WiSe 09/10 ein Praktikum zur Hackertechnik an.

Auf dieser Seite finden Sie weitere Informationen rund um das Praktikum.

Aktuelles

Im Sommersemester 2012 finden voraussichtlich folgende Veranstaltungen im ID 04/471 statt (alle Angaben ohne Gewähr):

Datum Event
02.04.2012 Aufnahmetest um 16 Uhr
04.04.2012 Christian Becker / Nikolai Krein: XSS
11.04.2012 Abraham Aranguren
18.04.2012 Christian Becker / Nikolai Krein: SQL
25.04.2012 Alexey Sintsov
02.05.2012 Christian Becker / Nikolai Krein Logical Flaws
09.05.2012 Christian Becker / Nikolai Krein: File Inclusions
16.05.2012 Vladimir Vorontsov
23.05.2012 Christian Becker / Nikolai Krein: Remote Command Execution
30.05.2012 -- Pfingstferien --
06.06.2012 Christian Becker / Nikolai Krein CSRF
13.06.2012 -- FREI --
20.06.2012 Michele Orru
27.06.2012 Paul Stone
04.07.2012 Wurm Contest
11.07.2012 Nicolas Gregoire

Die G Data Software AG lädt alle interessierten Teilnehmer im Anschluss an das "HackerPraktikum" dazu ein, sich mit den Rednern und Kommilitonen in gemütlicher Atmosphäre zum Gedankenaustausch zu treffen. Hierfür werden die Räume der G Data Academy zur Verfügung gestellt.

Weitere Informationen über G Data und das HackerPraktikum finden Sie hier.

The G Data Software AG offers an evening program, accompanying the "HackerPraktikum" at the Ruhr University of Bochum. Every participant is welcome to meet the speakers and the "HackerPraktikum's" organizing crew in the G Data Academy.

Further information on G Data and the HackerPraktikum can be found here.

Inhalte

Im Laufe des HackerPraktikums sol­len die Stu­die­ren­den eine fik­ti­ve On­line-Ban­king-Ap­pli­ka­ti­on an­grei­fen und dabei die im Laufe der Ver­an­stal­tung er­lern­ten Me­tho­den und Tech­ni­ken ein­set­zen. Die­ses be­inhal­tet fol­gen­de The­men­ge­bie­te:

  • Cross Site Script­ing (XSS)
  • Cross Site Re­quest For­ge­ry (CSRF)
  • Ses­si­on Hi­ja­cking
  • Ses­si­on Fixa­ti­on
  • SQL In­jec­tion (SQLi)
  • Local/Re­mo­te File In­clu­si­on (LFI/RFI)
  • Path Tra­ver­sal
  • Re­mo­te Code Exe­cu­ti­on (RCE)
  • Lo­gi­cal Flaws
  • In­for­ma­ti­on Le­a­ka­ge
  • In­suf­fi­ci­ent Aut­ho­riza­t­i­on

Das Wis­sen der Stu­die­ren­den wird zudem durch ex­ter­ne Ex­per­ten aus der In­dus­trie und IT-Si­cher­heits-Sze­ne, die in Vor­trä­gen über ver­schie­de­ne The­ma­ti­ken der Web­ap­pli­ka­ti­ons-Si­cher­heit re­fe­rie­ren wer­den, an­ge­rei­chert. Die internen Vorträge werden von den beiden Studierenden Nikolai Krein und Christian Becker gehalten.

Ziele

Den teil­neh­men­den Stu­die­ren­den soll ein weit ge­fä­cher­tes Wis­sen über die häu­figs­ten Schwach­stel­len in Web­ap­pli­ka­tio­nen ver­mit­telt wer­den. Au­ßer­dem sol­len sie ler­nen, wie sie der­ar­ti­ge Schwach­stel­len ma­nu­ell fin­den kön­nen, ohne die Hilfe von au­to­ma­ti­sier­ten Web­ap­pli­ka­ti­ons-Scan­nern in An­spruch zu neh­men. Dar­über hin­aus ler­nen die Stu­die­ren­den ent­spre­chen­de Schutz­maß­nah­men sowie deren Wirk­sam­keit ken­nen.

Videoaufnahmen

Seit dem SoSe 2010 werden die Vorträge der externen Referenten vom RUBcast-Team der RUB aufgezeichnet und stehen jedem Interessierten als Stream frei zur Verfügung. Ermöglicht wurde dies durch eine Finazierung mit Studiengebühren. Eine Be­nut­zer­au­then­ti­fi­zie­rung ist nicht not­wen­dig! Die Videos werden allerdings erst mit einer Verzögerung durch Bearbeitung und Freischaltung durch den Autor auf den Webseiten erscheinen.

Zu den Videostreams des HackerPraktikums:

SoSe 2010

WiSe 2010/2011

Ehemalige Referenten

Besten Dank geht nochmals an folgende Referenten aus Industrie und Forschung, die bereits im Rahmen des HackerPraktikums einen Vortrag gehalten haben:

Referent
 Firma
 Titel
 Download
Mario Heiderich Busi­ness IN Inc. XSS-Wür­mer 1 2 3
An­dre­as Kurtz Ci­ro­sec Gmbh Li­ve-Ha­cking 2.0 - Ak­tu­el­le An­griffs­tech­ni­ken auf Web-Ap­pli­ka­tio­nen 1
Ste­fan Esser,
Ben Fuhr­man­nek,
fu­ka­mi		 Sek­tionEins GmbH Ad­van­ced Web Ha­cking 1 2
Armin Bü­scher G DATA Soft­ware AG Mon­key­Wrench: ein low-in­ter­ac­tion Ho­ney­cli­ent zur Ana­ly­se der Aus­nut­zung von Ja­va­script-ba­sier­ten Ver­wund­bar­kei­ten 1
Jan Käst­le ,
Ste­fan Hölz­ner		 KPMG AG Web­ap­pli­ka­ti­ons-Si­cher­heit - Er­fah­run­gen aus der Pra­xis 1
Dr. Jo­han­nes
Mai­nusch		 XING AG XING - how to ope­ra­te a large Web­site 1
Alex­an­der
Korn­brust		 Red-Data­ba­se-Se­cu­ri­ty GmbH Ad­van­ced SQL-In­jec­tion 1
Pa­trick Hof,
Jens Lieb­chen		 Red­Team Pen­tes­ting GmbH Apa­che Tom­cat - Who's the JBoss now? 1 Vortrag
Chris­ti­an
Bo­cker­mann		 TU Dort­mund Jen­seits von An­griffs­mus­tern - Po­si­ti­ve Si­cher­heits­mo­del­le in Web-An­wen­dun­gen 1 Vortrag
Dr. Mar­tin Johns SAP Re­se­arch Cross-si­te Re­quests: One me­cha­nism, many at­tacks 1 Vortrag
Stef­fen
Trö­scher		 ci­ro­sec GmbH Web Ap­p­li­ca­ti­on Fire­walls 1 Vortrag
Mo­ritz Jo­d­eit n.runs AG At­ta­cking Ad­ja­cent Lay­ers 1 Vortrag
Mario Heiderich Busi­ness IN Inc. HTML 5: The good, the bad, the ugly 1 Vortrag
Felix Gröbert Google From XSS to Ring 0 1
Sebastian Schinzel Virtual Forge GmbH Side Channel Attacks im Web - Software Security für SAP Systeme 1 2 3 Vortrag
Eray Basar 9elements Ninja Webtechnologies 1 Vortrag
Karsten Tellmann G Data Software AG Exploiting Adobe's PDF 1 2 Vortrag
Ronny
Sackmann		 ci­ro­sec GmbH Apple iPhoneund iPad im Unternehmen 1 Vortrag
Stefan Esser
Ben Fuhrmannek		 Sek­tionEins GmbH Si­cher­heits­pro­ble­me in Web­ap­pli­ka­ti­on fern­ab der üb­li­chen In­jek­ti­ons­ver­wund­bar­kei­ten 1 Vortrag
Collin Mulliner Technische Universität Berlin Random tales from a mobile phone hacker 1
Marcus Niemietz RUB UI Redressing: Attacks and Countermeasures Revisited 1
An­dre­as Schmidt si­be­ras WATOBO - The Web Application Toolbox 1 Vortrag
Gre­gor Kopf Re­cu­ri­ty Labs GmbH Non-Obvious Bugs by Example Vortrag
Aleksandr Matrosov
Eugene Rodionov 		ESET Defeating x64: Modern Trends of Kernel-Mode Rootkits Vortrag
Krzysztof Kotowicz SecuRing HTML5: Something wicked this way comes Vortrag
Erlend Oftedal Bekk Consulting AS Practical attacks on web crypto Vortrag
Ste­fa­no Di Paola Minded Security Analysis and Identification of DOM Based XSS Issues 1 Vortrag
Ga­reth Heyes Non alphanumeric code with JavaScript & PHP; Shazzer - Shared online fuzzing Vortrag
John Wi­lan­der Svenska Handelsbanken The Developer Part of the Problem, Buffer Overflows, Modeling Security Bugs, Safety & Liveness Properties, CSRF Against RESTful Services, Multi-Ste, Semi-Blind CSRF Vortrag
Abraham Aranguren Legal And Efficient Web App Testing Without Permission Vortrag
Alexey Sintsov ERPscan Company Lotus Domino: Penetration Through the Controller Vortrag

Frequently Asked Questions

Wieviele Studierende können pro Semester teilnehmen?

Die Teil­neh­mer­an­zahl ist aus or­ga­ni­sa­to­ri­schen Grün­den auf 20 Stu­die­ren­de be­schränkt. Zur Aus­wahl der Teil­neh­mer wird im Vor­feld ein Auf­nah­me­test durch­ge­führt.

Wie sieht der Aufnahmetest aus?

Der Test be­steht aus 20 Mul­ti­ple-Choice-Fra­gen zum Thema Websicherheit für die eine ma­xi­ma­le Be­ar­bei­tungs­zeit von 15 Mi­nu­ten zur Ver­fü­gung steht. Für die Teilnahme am Aufnahmetest ist eine explizite Anmeldung erforderlich. Die 20 besten Stu­die­ren­den wer­den zum Prak­ti­kum zu­ge­las­sen. Bei Punkt­gleich­heit ent­schei­det das Los über die end­gül­ti­ge Platz­ver­ga­be.

Wer kann alles an diesem Praktikum teilnehmen?

Jeder eingeschriebene Studierende der RUB, der beim Aufnahmetest zu den besten 20 gehört, kann prinzipiell an diesem Praktikum teilnehmen.

Was sollte ich an Vorwissen mitbringen?

  • Aus­ge­präg­tes In­ter­es­se an IT-Si­cher­heit, spe­zi­ell am Thema "Web­si­cher­heit"
  • Grund­le­gen­de Kennt­nis­se über TCP/IP und HTTP(S)
  • Grund­le­gen­de Kennt­nis­se über HTML / Ja­va­Script
  • Grund­kennt­nis­se in PHP oder einer ähn­li­chen Script­spra­che
  • Netz­si­cher­heit I + II
  • Web-En­gi­nee­ring

Gibt es eine Anwesenheitspflicht?

Ja! Die Teil­nah­me an den Vor­trä­gen ist ob­li­ga­to­risch! Teil­neh­mer dür­fen bei den Vor­trä­gen 1-mal un­ent­schul­digt und 1-mal ent­schul­digt feh­len. Un­ab­hän­gig davon müs­sen in jedem Fall alle ge­stell­ten Auf­ga­ben ge­löst wer­den. Bei nicht Einhaltung der Regeln kann das Praktikum zwar fortgesetzt werden, der Studierende kann allerdings keinen Praktikumsschein mehr erwerben.

Wie läuft so ein Praktikum ab?

Im Laufe des Prak­ti­kums muss jeder Teil­neh­mer, un­ab­hän­gig von der Grup­pe, min­des­tens 3 Auf­ga­ben selb­stän­dig ge­löst haben, zusätzlich müssen alle Gruppen alle 6 Aufgaben selbständig gelöst haben. Ist dies nicht der Fall, kann der Stu­die­ren­de kei­nen Praktikumsschein er­wer­ben. Die Be­treu­er be­hal­ten sich zudem vor, even­tu­el­le Rückfra­gen zu der Lö­sung an den je­wei­li­gen Stu­die­ren­den zu stel­len um Missbrauch zu un­ter­bin­den.

Ich möchte nur die Vorträge anhören - was gibt es zu beachten?

Nichts! Sämtliche Vorträge, intern wie extern, stehen allen Interessierten offen und erfordern keinerlei Anmeldung. Bitte kommt aber pünktlich zum Vortrag!

Wer ist der Ansprechspartner für weitere Fragen?

Bitte kontaktiert für weitere Fragen Mario Heiderich oder Marcus Niemietz.