Veranstaltung: Bachelor-Vertiefungspraktikum zur Hackertechnik

Nummer:
142244
Lehrform:
Praktikum
Medienform:
Videoübertragung, e-learning, Folien, Internet, Moodle
Verantwortlicher:
Prof. Dr. Jörg Schwenk
Dozenten:
Prof. Dr. Jörg Schwenk (ETIT), M. Sc. Lukas Knittel (ETIT)
Sprache:
Deutsch
SWS:
3
LP:
siehe Prüfungsordnung
Angeboten im:
Wintersemester und Sommersemester

Termine im Wintersemester

  • Beginn: Mittwoch den 20.10.2021
  • Praktikum Mittwochs: ab 16:15 bis 17.45 Uhr im ID 04/401

Termine im Sommersemester

  • Vorbesprechung: Montag den 12.04.2021 ab 17:15
  • Praktikum Mittwochs: ab 16:15 bis 17.45 Uhr

Prüfung

Prüfungsform:Praktikum
Prüfungsanmeldung:Direkt bei der Dozentin bzw. dem Dozenten
studienbegleitend

Ziele

Die teilnehmenden Studierenden haben ein weit gefächertes Wissen über die häufigsten Schwachstellen in Webapplikationen. Außerdem wissen sie, wie sie derartige Schwachstellen manuell finden können, ohne die Hilfe von automatisierten Webapplikations-Scannern in Anspruch zu nehmen. Darüber hinaus kennen die Studierenden entsprechende Schutzmaßnahmen sowie deren Wirksamkeit.

Inhalt

Webapplikationen sind im Zeitalter des Web-2.0 immer mehr zum Ziel von Angreifern geworden. So werden per SQL-Injektion fremde Datenbanken kompromittiert, per XSS-Schwachstelle Browsersessions gestohlen und per Cross-Site-Request-Forgery bekommt man von heute auf morgen unzählige neue Freunde in einem sozialen Netzwerk. Dazu wird nur ein einfacher Webbrowser benötigt.

Im Laufe dieses Praktikums sollen die Studierenden eine fiktive Online-Banking-Applikation angreifen und dabei die im Laufe der Veranstaltung erlernten Methoden und Techniken einsetzen. Dieses beinhaltet folgende Themengebiete:

  • Cross Site Scripting (XSS)
  • Cross Site Request Forgery (CSRF)
  • Session Hijacking
  • Session Fixation
  • SQL Injection (SQLi)
  • Local/Remote File Inclusion (LFI/RFI)
  • Path Traversal
  • Remote Code Execution (RCE)
  • Logical Flaws
  • Information Leakage
  • Insufficient Authorization

Das Wissen der Studierenden wird zudem durch externe Experten aus der Industrie und IT-Sicherheits-Szene, die in Vorträgen über verschiedene Thematiken der Webapplikations-Sicherheit referieren werden, angereichert.

Voraussetzungen

keine

Empfohlene Vorkenntnisse

  • Ausgeprägtes Interesse an IT-Sicherheit, speziell am Thema "Websicherheit"
  • Grundlegende Kenntnisse über TCP/IP und HTTP(S)
  • Grundlegende Kenntnisse über HTML / JavaScript
  • Grundkenntnisse in PHP oder einer ähnlichen Scriptsprache
  • Inhalte der Vorlesungen Netzsicherheit 1 und 2

Materialien

Sonstiges

Wichtige Information (Update: 23.09.2021):

Liebe Studierende,

das HackerPraktikum im WS 21/22 wird wieder in in Präsenz stattfinden.

Die Teilnehmeranzahl ist aus organisatorischen Gründen auf 20 Studierende beschränkt. Zur Auswahl der Teilnehmer wird im Vorfeld ein Aufnahmetest durchgeführt.

Der Aufnahmetest wird am Montag, den 11.10.2021 um 17:15 Uhr online per Moodle, stattfinden. Interessierte Studierende müssen sich in den folgenden Moodle Kurs eintragen:

https://moodle.ruhr-uni-bochum.de/course/view.php?id=41718

In diesem Test wird das Grundwissen in Bezug auf die erforderlichen Vorkenntnisse überprüft. Der Test besteht aus 20 Multiple-Choice-Fragen; es steht eine maximale Bearbeitungszeit von 15 Minuten zur Verfügung. Die 20 Studierenden mit den meisten richtigen Antworten werden zum Praktikum zugelassen. Bei Punktgleichheit entscheidet das Los über die endgültige Platzvergabe.

Nach dem Test werden die Ergebnisse direkt danach in der Einführungsveranstaltung bekannt gegeben (siehe Moodle).

Wichtig für den Aufnahmetest und das Hackerpraktikum sind vor allem die praktischen Aspekte folgender Themen:

Insgesamt ist also zum Beispiel die Geschichte von HTML weniger von Belang als praktisches Wissen im Umgang mit der Sprache.

Zusatzbemerkung: Die Teilnahme an den angebotenen Vorträgen während des Semesters ist unabhängig vom Aufnahmetest für alle Interessierten möglich.

Ablauf des Praktikums:

Im Laufe des Prak­ti­kums muss jeder Teil­neh­mer, un­ab­hän­gig von der Grup­pe, min­des­tens 3 Auf­ga­ben selb­stän­dig ge­löst haben, zusätzlich müssen alle Gruppen alle 6 Aufgaben selbständig gelöst haben. Ist dies nicht der Fall, kann der Stu­die­ren­de kei­nen Praktikumsschein er­wer­ben. Die Be­treu­er be­hal­ten sich zudem vor, even­tu­el­le Rückfra­gen zu der Lö­sung an den je­wei­li­gen Stu­die­ren­den zu stel­len um Missbrauch zu un­ter­bin­den.

Innerhalb der 14 Tage finden jeweils zwei Vorträge statt. Die Teilnahme an den Vorträgen ist obligatorisch! Teilnehmer dürfen bei den Vorträgen 1-mal unentschuldigt und 1-mal entschuldigt fehlen. Unabhängig davon müssen in jedem Fall alle gestellten Aufgaben gelöst werden.

Die Anwesenheit wird bei jedem Termin mit einer Anwesenheitsliste überprüft. Nach den Vorträgen wird die Möglichkeit bestehen, Fragen an die Referenten zu stellen. Das beste Team erhält am Ende des Praktikums einen Preis.