course: Bachelor-Vertiefungspraktikum zur Hackertechnik

number:
142244
teaching methods:
practical course
media:
overhead transparencies
responsible:
Prof. Dr. Jörg Schwenk
lecturers:
Prof. Dr. Jörg Schwenk (ETIT), Dipl.-Ing. Mario Heiderich (ETIT)
language:
german
HWS:
3
CP:
3
offered in:
winter term and summer term

dates in winter term

  • start: Wednesday the 12.10.2011
  • practical course Wednesdays: from 16:00 to 18.00 o'clock in ID 03/445

dates in summer term

  • start: Wednesday the 11.04.2012
  • practical course: Wednesday the 11.04.2012 from 16:00 to 18.00 o'clock in ID 04/471
  • practical course: Wednesday the 25.04.2012 from 16:00 to 18.00 o'clock in ID 04/471
  • practical course: Wednesday the 16.05.2012 from 16:00 to 18.00 o'clock in ID 04/471
  • practical course: Wednesday the 20.06.2012 from 16:00 to 18.00 o'clock in ID 04/471
  • practical course: Wednesday the 27.06.2012 from 16:00 to 18.00 o'clock in ID 04/471
  • practical course: Wednesday the 11.07.2012 from 16:00 to 18.00 o'clock in ID 04/471

goals

Den teilnehmenden Studierenden soll ein weit gefächertes Wissen über die häufigsten Schwachstellen in Webapplikationen vermittelt werden. Außerdem sollen sie lernen, wie sie derartige Schwachstellen manuell finden können, ohne die Hilfe von automatisierten Webapplikations-Scannern in Anspruch zu nehmen. Darüber hinaus lernen die Studierenden entsprechende Schutzmaßnahmen sowie deren Wirksamkeit kennen.

content

Webapplikationen sind im Zeitalter des Web-2.0 immer mehr zum Ziel von Angreifern geworden. So werden per SQL-Injektion fremde Datenbanken kompromittiert, per XSS-Schwachstelle Browsersessions gestohlen und per Cross-Site-Request-Forgery bekommt man von heute auf morgen unzählige neue Freunde in einem sozialen Netzwerk. Dazu wird nur ein einfacher Webbrowser benötigt.

Im Laufe dieses Praktikums sollen die Studierenden eine fiktive Online-Banking-Applikation angreifen und dabei die im Laufe der Veranstaltung erlernten Methoden und Techniken einsetzen. Dieses beinhaltet folgende Themengebiete:

  • Cross Site Scripting (XSS)
  • Cross Site Request Forgery (CSRF)
  • Session Hijacking
  • Session Fixation
  • SQL Injection (SQLi)
  • Local/Remote File Inclusion (LFI/RFI)
  • Path Traversal
  • Remote Code Execution (RCE)
  • Logical Flaws
  • Information Leakage
  • Insufficient Authorization

Das Wissen der Studierenden wird zudem durch externe Experten aus der Industrie und IT-Sicherheits-Szene, die in Vorträgen über verschiedene Thematiken der Webapplikations-Sicherheit referieren werden, angereichert.

requirements

Die Teilnehmeranzahl ist aus organisatorischen Gründen auf 20 Studierende beschränkt. Zur Auswahl der Teilnehmer wird im Vorfeld ein Aufnahmetest durchgeführt.

Dieser wird am Montag, 2. April 2012 um 16 Uhr im Raum ID 03/445 stattfinden. In diesem Test wird das Grundwissen in Bezug auf die erforderlichen Vorkenntnisse überprüft. Der Test besteht aus 20 Multiple-Choice-Fragen; es steht eine maximale Bearbeitungszeit von 15 Minuten zur Verfügung.

Die 20 Studierenden mit den meisten richtigen Antworten werden zum Praktikum zugelassen. Bei Punktgleichheit entscheidet das Los über die endgültige Platzvergabe.

Es wird empfohlen, sich mit den angegebenen Dokumenten (siehe pdf-Dateien unter Materialien) auf den Aufnahmetest vorzubereiten.

Zusatzbemerkung: Die Teilnahme an den angebotenen Vorträgen während des Semesters ist unabhängig vom Aufnahmetest für alle Interessierten möglich.

recommended knowledge

  • Ausgeprägtes Interesse an IT-Sicherheit, speziell am Thema "Websicherheit"
  • Grundlegende Kenntnisse über TCP/IP und HTTP(S)
  • Grundlegende Kenntnisse über HTML / JavaScript
  • Grundkenntnisse in PHP oder einer ähnlichen Scriptsprache
  • Vorlesung Netzsicherheit I + II (Lehrstuhl NDS)
  • Vorlesung Web-Engineering (Lehrstuhl SWT)

materials

Sonstige:

miscellaneous

Anmeldung zum Aufnahmetest:

Die Anmeldung zum Aufnahmetest beginnt ab sofort per E-Mail an die Adresse nds+badbank@rub.de. Letzte mögliche Anmeldung ist am 29. März um 23.59 Uhr!

Die E-Mail muss folgende Informationen enthalten:

Vorname, Name, Matrikelnummer, Studiengang und Fachsemesteranzahl

Ohne eine vorherige Anmeldung per E-Mail kann nicht am Aufnahmetest teilgenommen werden!

Ablauf des Praktikums:

Im Laufe des Prak­ti­kums muss jeder Teil­neh­mer, un­ab­hän­gig von der Grup­pe, min­des­tens 3 Auf­ga­ben selb­stän­dig ge­löst haben, zusätzlich müssen alle Gruppen alle 6 Aufgaben selbständig gelöst haben. Ist dies nicht der Fall, kann der Stu­die­ren­de kei­nen Praktikumsschein er­wer­ben. Die Be­treu­er be­hal­ten sich zudem vor, even­tu­el­le Rückfra­gen zu der Lö­sung an den je­wei­li­gen Stu­die­ren­den zu stel­len um Missbrauch zu un­ter­bin­den.

Innerhalb der 14 Tage finden jeweils zwei Vorträge statt. Die Teilnahme an den Vorträgen ist obligatorisch! Teilnehmer dürfen bei den Vorträgen 1-mal unentschuldigt und 1-mal entschuldigt fehlen. Unabhängig davon müssen in jedem Fall alle gestellten Aufgaben gelöst werden.

Die Anwesenheit wird bei jedem Termin mit einer Anwesenheitsliste überprüft. Nach den Vorträgen wird die Möglichkeit bestehen, Fragen an die Referenten zu stellen. Das beste Team erhält am Ende des Praktikums einen Preis.

Vorläufiger Zeitplan des Praktikums (Änderungen vorbehalten):