Kurzbeschreibung
Die Lehrveranstaltung führt in die gängige Angriffsvektoren auf Webanwendungen und deren Gegenmaßnahmen.
Lehrform/SWS
4 SWS: Seminar 2 SWS; Workshop 2 SWS
Arbeitsaufwand
Gesamtaufwand 150h, davon
- 36h Vorlesung
- 36h Seminar
- 78h Selbststudium
Angestrebte Lernergebnisse
(WAS) Studierende können Sicherheitsanalysen an Webanwendungen durchführen
(WOMIT) indem sie
- Angriffe mit gängigen Werkzeugen durchführen und Sicherheitslücken entdecken
- Risiken und Konsequenzen der gefundenen Schwachstellen bewerten bzw. beschreiben
- geeignete Gegenmaßnahmen definieren
(WOZU) um später qualative hochwertige Penterationstest durchzuführen mit dem Ziel die Sicherheit von Webanwendungen nachaltig zu optimieren.
Inhalt
- Anatomie von Webanwendung und Zuordnung bekannter Angriffsvektoren
- Browser-Security
- Same-Origin-Policy (SOP)
- Cookies
- Gängige Angriffsvektoren auf Webanwendungen
- Input Validation Schwachstellen
- Authentikationsschwachstellen
- OWASP Top 10 Gegenmaßnahmen
- Risko-basierte Authentfizierung (RBA)
- Secure Coding
- TLS
- HTTP Authentication
- Content Security Policy (CSP)
- WebAuthn
- Web Cryptography API
- Werkzeuge zur Analyse der Sicherheit von Webanwendungen
Medienformen
- Folienpräsentation
- Live-Coding und -Hacking
Literatur
- Googles Browser Security Handbook: https://code.google.com/archive/p/browsersec/Michal Zalewski: The Tangled Web: A Guide to Securing Modern Web Applications, O'Reilly, 2011.
- Dafydd Stuttard, Marcus Pinto: The Web Application Hacker's Handbook: Finding and Exploiting Security Flaws, Wiley, 2011.OWASP: https://www.owasp.org
- Hoai Viet Nguyen, Authentication in Ultra Large-Scale REST-based Systems, Disseration, Universität Hamburg, 2020