Webapplikationen sind im Zeitalter des modernen Internets immer mehr zum Ziel von Angreifern geworden. So werden per SQL-Injektion fremde Datenbanken kompromittiert, per XSS-Schwachstelle Browsersessions gestohlen und per Cross-Site-Request-Forgery bekommt man von heute auf morgen unzählige neue Freunde in einem sozialen Netzwerk. Dazu wird nur ein einfacher Webbrowser benötigt. Der Lehrstuhl für Netz- und Datensicherheit von Prof. Dr. Schwenk bietet daher seit dem WiSe 09/10 ein Praktikum zur Hackertechnik an.
Die Teilnehmeranzahl ist aus organisatorischen Gründen auf 20 Studierende beschränkt. Zur Auswahl der Teilnehmer wird im Vorfeld ein Aufnahmetest durchgeführt. Mehr Informationen zum Ablauf und Inhalt des Aufnahmetests finden Sie im Moodle.
Termine
Alle 2 Wochen, Mittwochs im Raum TBA um 16:15 Uhr. Im WS24/25 finden voraussichtlich folgende Veranstaltungen statt:
Datum | Event |
---|---|
09.10.2024 | Aufnahmetest und Einführungsveranstaltung |
16.10.2024 | Logical Flaws |
30.10.2024 | Cross-Site Scripting |
13.11.2024 | SQL Injections |
27.11.2024 | Local File Inclusion |
11.12.2024 | Remote Code Execution |
08.01.2025 | Cross-Site Request Forgery |
29.01.2025 | Wurm Contest + Abschlussveranstaltung |
Inhalte
Im Laufe des HackerPraktikums sollen die Studierenden eine fiktive Online-Banking-Applikation angreifen und dabei die im Laufe der Veranstaltung erlernten Methoden und Techniken einsetzen.
Dieses beinhaltet folgende Themengebiete:
- Cross Site Scripting (XSS)
- Cross Site Request Forgery (CSRF)
- Session Hijacking
- Session Fixation
- SQL Injection (SQLi)
- Local/Remote File Inclusion (LFI/RFI)
- Path Traversal
- Server-Side Request Forgery (SSRF)
- Remote Code Execution (RCE)
- Logical Flaws
- Information Leakage
- Insufficient Authorization
Ziele
Den teilnehmenden Studierenden soll ein weit gefächertes Wissen über die häufigsten Schwachstellen in Webapplikationen vermittelt werden. Außerdem sollen sie lernen, wie sie derartige Schwachstellen manuell finden können, ohne die Hilfe von automatisierten Webapplikations-Scannern in Anspruch zu nehmen. Darüber hinaus lernen die Studierenden entsprechende Schutzmaßnahmen sowie deren Wirksamkeit kennen.