Hackerpraktikum

Webapplikationen sind im Zeitalter des modernen Internets immer mehr zum Ziel von Angreifern geworden. So werden per SQL-Injektion fremde Datenbanken kompromittiert, per XSS-Schwachstelle Browser­sessions gestohlen und per Cross-Site-Request-For­gery bekommt man von heute auf morgen unzählige neue Freunde in einem sozialen Netzwerk. Dazu wird nur ein einfacher Webbrowser benötigt. Der Lehrstuhl für Netz- und Datensicherheit von Prof. Dr. Schwenk bietet daher seit dem WiSe 09/10 ein Praktikum zur Hackertechnik an.

Bitte beachten Sie, dass die Veranstaltungsseiten zurzeit nicht geupdated werden können. Bitte schreiben Sie sich deshalb unbedingt in den Moodle Kurs ein. 

Die Teilnehmeranzahl ist aus organisatorischen Gründen auf 20 Studierende beschränkt. Zur Auswahl der Teilnehmer wird im Vorfeld ein Aufnahmetest durchgeführt (siehe Moodle). 

 

Termine

Alle 2 Wochen, Mittwochs im ID 04/401 um 16:15 Uhr.

 Im SS23 finden voraussichtlich folgende Veranstaltungen statt:

DatumEvent
05.04.2023Aufnahmetest und Einführungsveranstaltung
12.04.2023Logical Flaws
26.04.2023Cross-Site Scripting
10.05.2023SQL Injections
24.05.2023Local File Inclusion
07.06.2023Remote Code Execution
21.06.2023Cross-Site Request Forgery
12.07.2023Wurm Contest
 

Inhalte

Im Laufe des HackerPraktikums sol­len die Stu­die­ren­den eine fik­ti­ve On­line-Ban­king-Ap­pli­ka­ti­on an­grei­fen und dabei die im Laufe der Ver­an­stal­tung er­lern­ten Me­tho­den und Tech­ni­ken ein­set­zen. Die­ses be­inhal­tet fol­gen­de The­men­ge­bie­te:

  • Cross Site Script­ing (XSS)
  • Cross Site Re­quest For­ge­ry (CSRF)
  • Ses­si­on Hi­ja­cking
  • Ses­si­on Fixa­ti­on
  • SQL In­jec­tion (SQLi)
  • Local/Re­mo­te File In­clu­si­on (LFI/RFI)
  • Path Tra­ver­sal
  • Server-Side Request Forgery (SSRF)
  • Re­mo­te Code Exe­cu­ti­on (RCE)
  • Lo­gi­cal Flaws
  • In­for­ma­ti­on Le­a­ka­ge
  • In­suf­fi­ci­ent Aut­ho­riza­t­i­on

Das Wis­sen der Stu­die­ren­den wird zudem durch ex­ter­ne Ex­per­ten aus der In­dus­trie und IT-Si­cher­heits-Sze­ne, die in Vor­trä­gen über ver­schie­de­ne The­ma­ti­ken der Web­ap­pli­ka­ti­ons-Si­cher­heit re­fe­rie­ren wer­den, an­ge­rei­chert.


Ziele

Den teil­neh­men­den Stu­die­ren­den soll ein weit ge­fä­cher­tes Wis­sen über die häu­figs­ten Schwach­stel­len in Web­ap­pli­ka­tio­nen ver­mit­telt wer­den. Au­ßer­dem sol­len sie ler­nen, wie sie der­ar­ti­ge Schwach­stel­len ma­nu­ell fin­den kön­nen, ohne die Hilfe von au­to­ma­ti­sier­ten Web­ap­pli­ka­ti­ons-Scan­nern in An­spruch zu neh­men. Dar­über hin­aus ler­nen die Stu­die­ren­den ent­spre­chen­de Schutz­maß­nah­men sowie deren Wirk­sam­keit ken­nen.