Suche öffnen

Robust, Secure and Privacy-Preserving Smart Systems

Lehrangebot

  • Master-Vorlesung Data Security
  • Bachelor- und Masterseminar zur Informatik: Web- und Datensicherheit

Ausblick / In Vorbereitung

  • Neue Master-Vorlesung Advanced Web Security

  • Neue Bachelor-Vorlesung: Introduction to Web- and Browsersecurity

Lehrangebot

// Winter 2025/2026

  • Master-Vorlesung Data Security
  • Bachelor- und Masterseminar zur Informatik: Web- und Datensicherheit
     

Ausblick / In Vorbereitung

// Sommer 2026

  • Neue Master-Vorlesung Advanced Web Security

// Winter 2026/2027

  • Neue Bachelor-Vorlesung: Introduction to Web- and Browsersecurity

Vorlesungsinhalte

Die Vor­le­sung be­han­delt das Thema Datensicherheit. An­ders als bei SSL/TLS, wel­ches einen si­che­ren Trans­port­ka­nal auf­baut, geht es in dieser Vorlesung darum, die Daten direkt zu schüt­zen.

Im Rah­men der Vor­le­sung wer­den ver­schie­de­ne Technologien der Datensicherheit be­leuch­tet, Beispielsweise:

  • JSON ist eine uni­ver­sel­le Da­ten­be­schrei­bungs­spra­che, die unter an­de­rem von jedem mo­der­nen Brow­ser un­ter­stützt wird. Mit­hil­fe von JSON-Si­gna­tu­re und JSON-En­cryp­ti­on können JSON Nach­rich­ten di­rekt ge­schützt wer­den. Doch reicht das aus oder kön­nen diese Si­cher­heits­me­cha­nis­men um­gan­gen wer­den?
  • REST ist eine sehr weitverbreitete Tech­no­lo­gie die den Zugriff auf Daten über das Internet per http zulässt. Es wird nicht nur von allen gro­ßen Web­sei­ten wie Face­book, Goog­le, Git­hub ein­ge­setzt, sondern findet ebenso Einsatz im IoT. Die Vor­le­sung er­klärt tiefge­hen­de De­tails und gän­gi­ge Feh­ler/An­grif­fe anhand neuster wiss. Erkenntnisse und Industrieempfehlungen wie der OWASP API Top 10.
  • XML ist eine der ältesten Beschreibungssprachen für strukturierte Daten und bis heute in unzähligen Systemen eingesetzt. „It’s just XML. What can probably go wrong?“ ist eines der bekanntesten Zitate der Python XML Bibliothek defusedxml. Die Antwort auf diese Frage wird in der Vorlesung ausführlich untersucht: von Denial-of-Service Schwachstellen, über Local File Inclusion, bis hin zu Remote Code Execution. XML ist das Schweizer Taschenmesser eines jeden Penetrationstesters.

Anschließend wird das erlernte wissen auf verschiedene Dokumentenformate übertragen. Beispiele hierfür sind:

  • Office Document wie OOXML (Microsoft) oder ODF (LibreOffice) sind im Kern gezippte XML Dokumente. Zusätzlich unterstützen Sie weitere Features wie Digitale Signaturen oder Verschlüsselung. Die Studierenden lernen diesen Kernbaustein unserer Digitalisierung mit Blick auf deren Sicherheit genauer kennen.
  • PDF ist das ver­mut­lich am wei­tes­ten ver­brei­tete uni­ver­sel­le Do­ku­men­ten­aus­tausch­for­mat. Zunächst widerlegen wir die weitgehend verbreitete Meinung, dass PDFs lediglich langweilige, statisches Dokumente sind und benutzen verschiedene sogenannte „interactive Features“ um Angriffe zu entwickeln. In der Vor­le­sung wer­den dann die Si­cher­heits­ei­gen­schaf­ten von PDFs be­leuch­tet. Ins­be­son­de­re wer­den hier­bei di­gi­ta­le Si­gna­tu­ren un­ter­sucht, wel­che z. B. bei Ver­trä­gen zum Ein­satz kom­men. Wird es uns ge­lin­gen, eine von Amazon signierte Rechnung so zu fälschen, dass Sie eine Rückerstattung über 1 Billion Euro ist und trotzdem gültig si­gnier­t bleibt?

Die Vor­le­sung be­han­delt das Thema Websicherheit umfassend. Hierbei wird die Sicherheit und Privatsphäre von Web Anwendungen und Browsern anhand von aktuellen Forschungsergebnissen beleuchtet. Dazu werden Kernkomponenten und fortgeschrittene Angriffstechniken analysiert wie Beispielsweise:

  • DOM Clobbering ist eine raffinierte Angriffstechnik mit der scheinbar harmloses HTML-Markup in Webseiten eingeschleust und dadurch JavaScript-Code manipuliert werden kann, ohne eine einzige Zeile Schadcode zu schreiben.
  • Content Security Policy (CSP) ist wie ein digitaler Türsteher für Webseiten, der über HTTP-Header entscheidet, welche Skripte, Bilder und andere Ressourcen geladen werden dürfen – und dadurch Cross-Site Scripting-Angriffe effektiv blockiert.
  • XS-Leaks umgehen die sogenannte Same-Origin-Policy, eine der Hauptverteidigungen eines Browsers gegen verschiedene Arten von Angriffen. Der Zweck der Same-Origin-Policy ist es, zu verhindern, dass Informationen von einer vertrauenswürdigen Webseite gestohlen werden.

Anschließend wird dich Sicherheit von modernen Web Authentifizierungsprotokollen betrachtet. Dazu zählen u.A.:

  • OAuth ist eine sehr weitverbreitete Tech­no­lo­gie zum De­le­gie­ren von Be­rech­ti­gun­gen und wird heut­zu­ta­ge von allen gro­ßen Web­sei­ten wie Face­book, Goog­le, Twit­ter, Git­hub usw. ein­ge­setzt. Die Vor­le­sung er­klärt tiefge­hen­de De­tails und gän­gi­ge Feh­ler/An­grif­fe, die bei der Ver­wen­dung von OAuth ent­ste­hen kön­nen.
  • Open­ID Con­nect ist eine Er­wei­te­rung für OAuth, um Be­nut­zer:innen auf Web­sei­ten mit­hil­fe eines Dritt­an­bie­ters zu au­then­ti­fi­zie­ren (z. B. mittels Sin­gle Sign-On Verfahren wie „Sign in with Google“). Open­ID Con­nect hat sich in den letz­ten Jah­ren zum de facto Stan­dard für Web-Logins über Dritt­an­bie­ter eta­bliert. In der Vor­le­sung wird de­tail­liert er­klärt, was die Un­ter­schie­de zu OAuth sind und wel­che An­grif­fe auf Open­ID Con­nect mög­lich sind. In den praktischen Übungen können Sie Ihre Exploit-Fähigkeiten unter Beweis stellen. Schaffen wir es, den Account des Opfers übernehmen?
  • SAML steht für Se­cu­ri­ty As­ser­ti­on Mar­kup Lan­gua­ge und ist ein Sin­gle Sign-On Stan­dard, der eine weitgehende Ver­brei­tung in Busi­ness-Sze­ne­ri­en fin­det. Al­ler­dings exis­tie­ren zahl­rei­che An­grif­fe von Iden­ti­täts­dieb­stahl bis hin zu Re­mo­te Code Exe­cu­ti­on.