Hackerpraktikum

Webapplikationen sind im Zeitalter des modernen Internets immer mehr zum Ziel von Angreifern geworden. So werden per SQL-Injektion fremde Datenbanken kompromittiert, per XSS-Schwachstelle Browser­sessions gestohlen und per Cross-Site-Request-For­gery bekommt man von heute auf morgen unzählige neue Freunde in einem sozialen Netzwerk. Dazu wird nur ein einfacher Webbrowser benötigt. Der Lehrstuhl für Netz- und Datensicherheit von Prof. Dr. Schwenk bietet daher seit dem WiSe 09/10 ein Praktikum zur Hackertechnik an.

Moodle Kurs SS25

Die Teilnehmeranzahl ist aus organisatorischen Gründen auf 20 Studierende beschränkt. Zur Auswahl der Teilnehmer wird im Vorfeld ein Aufnahmetest durchgeführt. Mehr Informationen zum Ablauf und Inhalt des Aufnahmetests finden Sie im Moodle.

Termine

Alle 2 Wochen, Mittwochs im Raum MC 4/206 um 16:15 Uhr. Im SS25 finden voraussichtlich folgende Veranstaltungen statt:

DatumEvent
09.04.2025Aufnahmetest und Einführungsveranstaltung
16.04.2025Logical Flaws
30.04.2025Cross-Site Scripting
14.05.2025SQL Injections
28.05.2025Local File Inclusion
18.06.2025Remote Code Execution
02.07.2025Cross-Site Request Forgery
16.07.2025Wurm Contest + Abschlussveranstaltung
 

Inhalte

Im Laufe des HackerPraktikums sol­len die Stu­die­ren­den eine fik­ti­ve On­line-Ban­king-Ap­pli­ka­ti­on an­grei­fen und dabei die im Laufe der Ver­an­stal­tung er­lern­ten Me­tho­den und Tech­ni­ken ein­set­zen.

Die­ses be­inhal­tet fol­gen­de The­men­ge­bie­te:

  • Cross Site Script­ing (XSS)
  • Cross Site Re­quest For­ge­ry (CSRF)
  • Ses­si­on Hi­ja­cking
  • Ses­si­on Fixa­ti­on
  • SQL In­jec­tion (SQLi)
  • Local/Re­mo­te File In­clu­si­on (LFI/RFI)
  • Path Tra­ver­sal
  • Server-Side Request Forgery (SSRF)
  • Re­mo­te Code Exe­cu­ti­on (RCE)
  • Lo­gi­cal Flaws
  • In­for­ma­ti­on Le­a­ka­ge
  • In­suf­fi­ci­ent Aut­ho­riza­t­i­on

 

Ziele

Den teil­neh­men­den Stu­die­ren­den soll ein weit ge­fä­cher­tes Wis­sen über die häu­figs­ten Schwach­stel­len in Web­ap­pli­ka­tio­nen ver­mit­telt wer­den. Au­ßer­dem sol­len sie ler­nen, wie sie der­ar­ti­ge Schwach­stel­len ma­nu­ell fin­den kön­nen, ohne die Hilfe von au­to­ma­ti­sier­ten Web­ap­pli­ka­ti­ons-Scan­nern in An­spruch zu neh­men. Dar­über hin­aus ler­nen die Stu­die­ren­den ent­spre­chen­de Schutz­maß­nah­men sowie deren Wirk­sam­keit ken­nen.

 

Ablauf

Im Laufe des Prak­ti­kums muss jeder Teil­neh­mer, un­ab­hän­gig von der Grup­pe, min­des­tens 3 Auf­ga­ben selb­stän­dig ge­löst haben, zu­sätz­lich müs­sen alle Grup­pen alle 6 Auf­ga­ben selb­stän­dig ge­löst haben. Ist dies nicht der Fall, kann der Stu­die­ren­de kei­nen Prak­ti­kums­schein er­wer­ben.

In­ner­halb der 14 Tage fin­den je­weils ein Vor­trag statt. Die Teil­nah­me an den Vor­trä­gen ist ob­li­ga­to­risch! Teil­neh­mer dür­fen bei den Vor­trä­gen 1-mal un­ent­schul­digt und 1-mal ent­schul­digt feh­len. Un­ab­hän­gig davon müs­sen in jedem Fall alle ge­stell­ten Auf­ga­ben ge­löst wer­den.