Suche öffnen

Robust, Secure and Privacy-Preserving Smart Systems

Foto: Colourbox.de

Lehrangebot

  • Neue Master-Vorlesung Advanced Web Security
  • Masterseminar zur Informatik: Web- und Datensicherheit

  • Neue Master-Vorlesung Data Security
  • Masterseminar zur Informatik: Web- und Datensicherheit

Vorlesungsinhalte

Die Vorlesung behandelt das Thema Datensicherheit. Dabei werden wir uns mit aktuellen Themen rund um Datensicherheit beschäftigen, die auf den renommiertesten IT-Sicherheitskonferenzen (A*, A) publiziert wurden.
Diese Vorlesung bietet einen extrem hohen Grad an praktischen Aufgaben. Wir werden die meisten Angriffe selbst verwenden, ausprobieren, und verschiedene Systeme auf Schwachstellen untersuchen.
Hierfür werden wir unter anderem die eigens entwickelte eHacking Plattform verwenden.

Die Vorlesung behandelt das Thema Websicherheit umfassend. Hierbei werden die Sicherheit und Privatsphäre von Web-Anwendungen und Browsern anhand von aktuellen Forschungsergebnissen beleuchtet. Dazu werden Kernkomponenten und fortgeschrittene Angriffstechniken analysiert, die den aktuellen Forschungsstand wiederspielen. Dazu gehören beispielsweise:

  • Eine Einführung in moderne Web Sicherheitsarchitketuren. Insbesondere werden wir das Web Angreifermodell kennen lernen.
  • Web Crawling ist eine wichtige Technik in der aktuellen Web Security Forschung um automatisiert eine große Anzahl unbekannter Webseiten zu erforschen. In der Vorlesung werden wir einen Web Crawler entwickeln, der verschiede CTF-Flags in einem zufälligen Labyrinth finden muss.
  • DNS und DoH (DNS-Queries over HTTPs) sind das Fundament des modernen Webs. Wir schauen uns aktuelle Forschung in diesem Berech an und lernen eine neue Angriffstechnik XSS-over-DoH kennen.
  • OAuth ist eine sehr weitverbreitete Technologie zum Delegieren von Berechtigungen und wird heutzutage von allen großen Webseiten wie Facebook, Google, Twitter, Github usw. eingesetzt. Die Vorlesung erklärt tiefgehende Details und gängige Fehler/Angriffe, die bei der Verwendung von OAuth entstehen können.
  • OpenID Connect ist eine Erweiterung für OAuth, um Benutzer:innen auf Webseiten mithilfe eines Drittanbieters zu authentifizieren (z. B. mittels Single Sign-On Verfahren wie „Sign in with Google“). OpenID Connect hat sich in den letzten Jahren zum de facto Standard für Web-Logins über Drittanbieter etabliert. In der Vorlesung wird detailliert erklärt, was die Unterschiede zu OAuth sind und welche Angriffe auf OpenID Connect möglich sind. In den praktischen Übungen können Sie Ihre Exploit-Fähigkeiten unter Beweis stellen. Schaffen wir es, den Account des Opfers zu übernehmen?
  • Weitere moderne Web-Authentifizierungsverfahren wie z.B. SAML (Security Assertion Markup Language) oder Passkeys finden weitgehende Verbreitung im Internet. Allerdings existieren zahlreiche Angriffe von Identitätsdiebstahl bis hin zu Remote Code Execution auf diese Systeme. Die Studierenden lernen anhand solcher Verfahren die Security Best Practices und können die Sicherheit dieser Systeme eigenständig evaluieren.

Die Vor­le­sung be­han­delt das Thema Datensicherheit. An­ders als bei SSL/TLS, wel­ches einen si­che­ren Trans­port­ka­nal auf­baut, geht es in dieser Vorlesung darum, die Daten direkt zu schüt­zen.

Im Rah­men der Vor­le­sung wer­den ver­schie­de­ne Technologien der Datensicherheit be­leuch­tet, Beispielsweise:

  • JSON ist eine uni­ver­sel­le Da­ten­be­schrei­bungs­spra­che, die unter an­de­rem von jedem mo­der­nen Brow­ser un­ter­stützt wird. Mit­hil­fe von JSON-Si­gna­tu­re und JSON-En­cryp­ti­on können JSON Nach­rich­ten di­rekt ge­schützt wer­den. Doch reicht das aus oder kön­nen diese Si­cher­heits­me­cha­nis­men um­gan­gen wer­den?
  • REST ist eine sehr weitverbreitete Tech­no­lo­gie die den Zugriff auf Daten über das Internet per http zulässt. Es wird nicht nur von allen gro­ßen Web­sei­ten wie Face­book, Goog­le, Git­hub ein­ge­setzt, sondern findet ebenso Einsatz im IoT. Die Vor­le­sung er­klärt tiefge­hen­de De­tails und gän­gi­ge Feh­ler/An­grif­fe anhand neuster wiss. Erkenntnisse und Industrieempfehlungen wie der OWASP API Top 10.
  • XML ist eine der ältesten Beschreibungssprachen für strukturierte Daten und bis heute in unzähligen Systemen eingesetzt. „It’s just XML. What can probably go wrong?“ ist eines der bekanntesten Zitate der Python XML Bibliothek defusedxml. Die Antwort auf diese Frage wird in der Vorlesung ausführlich untersucht: von Denial-of-Service Schwachstellen, über Local File Inclusion, bis hin zu Remote Code Execution. XML ist das Schweizer Taschenmesser eines jeden Penetrationstesters.

Anschließend wird das erlernte wissen auf verschiedene Dokumentenformate übertragen. Beispiele hierfür sind:

  • Office Document wie OOXML (Microsoft) oder ODF (LibreOffice) sind im Kern gezippte XML Dokumente. Zusätzlich unterstützen Sie weitere Features wie Digitale Signaturen oder Verschlüsselung. Die Studierenden lernen diesen Kernbaustein unserer Digitalisierung mit Blick auf deren Sicherheit genauer kennen.
  • PDF ist das ver­mut­lich am wei­tes­ten ver­brei­tete uni­ver­sel­le Do­ku­men­ten­aus­tausch­for­mat. Zunächst widerlegen wir die weitgehend verbreitete Meinung, dass PDFs lediglich langweilige, statisches Dokumente sind und benutzen verschiedene sogenannte „interactive Features“ um Angriffe zu entwickeln. In der Vor­le­sung wer­den dann die Si­cher­heits­ei­gen­schaf­ten von PDFs be­leuch­tet. Ins­be­son­de­re wer­den hier­bei di­gi­ta­le Si­gna­tu­ren un­ter­sucht, wel­che z. B. bei Ver­trä­gen zum Ein­satz kom­men. Wird es uns ge­lin­gen, eine von Amazon signierte Rechnung so zu fälschen, dass Sie eine Rückerstattung über 1 Billion Euro ist und trotzdem gültig si­gnier­t bleibt?