Nach positiver Absolvierung der Lehrveranstaltung sind Studierende in der Lage:

• typische Sicherheitsanfälligkeiten in Anwendungen und Computersystemen zu identifizieren und deren Auswirkungen zu schätzen;
• sichere Programmierpraktiken, Analysetechniken und Schutzmechanismen während der Entwicklungs- und Bereitstellungsphase von Software und Computersystemen einzusetzen;
• kryptographische Algorithmen je nach gewünschten Sicherheitsgewährleistungen auszuwählen und effektiv anzuwenden.

• Grundlegende Sicherheitsprinzipien (Vertraulichkeit, Unversehrtheit, Verfügbarkeit) und Designrichtlinie für sichere Systeme
• Grundlagen der Kryptographie: symmetrische und asymmetrische Verschlüsselungsalgorithmen, Betriebsarten, Auffüllungsalgorithmen, Hashfunktionen, Message Authentication Codes, digitale Signaturen, Schlüsselaustauschprotokolle, authentifizierte Verschlüsselung
• Public-Key-Infrastrukturen (digitale Zertifikate, Bestandteile einer PKI, Certificate Transparency) und das TLS-Protokoll
• Authentifizierungsmechanismen (Passwörter, OTP, Challenge-Response-Verfahren, Biometrie) und Zugriffskontrollmechanismen (Zugriffskontrollmatrix, ACL, Capabilities)
• Netzwerksicherheit: Reflektion- und Verstärkungsangriffe, Spoofing, Firewall-Systeme, VPN, Tor
• Websicherheit: Grundlagen (Sprachen im Web, das HTTP-Protokoll, Cookies, Same-Origin-Policy, Framing, Web-Sitzungen), serverseitige Angriffe (SQL und NoSQL Injections, Befehlsinjektionsangriffe, Path-Traversal, Schwachstellen bei Zugriffskontrollen und in der Geschäftslogik), clientseitige Angriffe (Cross-Site-Request-Forgery, Cross-Site-Scripting, DOM-Clobbering), Gegenmaßnahmen (Tokenization, Prepared Statements, usw.), Sicherheitsrichtlinien (CSP, CORS), Tools zum Testen und Ausnutzen von Webanwendungen (Burp Suite)
• Systemsicherheit: Grundlagen (Einführung in die Sprachen C und Assembly x86-64, Debugger, weitere Werkzeuge zur Programmanalyse), grundlegende Speicherangriffe (Überschreibung von Variablen und Funktionszeigern, Shellcode), rücksprungsorientierte Programmierung, GOT-Überschreibung, Gegenmaßnahmen gegen Overflow-Sicherheitslücken (DEP, Stack Canaries, ASLR, PIE), Werkzeuge und Bibliotheken zum Entwickeln von binären Exploits
• Analysetechniken zur Verifikation von Anwendungen und Computersystemen

In diesem Semester wird die Lehrveranstaltung in Präsenz abgehalten. In den im Hörsaal stattfindenden Vorlesungen werden die oben aufgelisteten Themen erklärt und praktische Beispiele besprochen.

Die Studierenden werden gefordert, einige Hausaufgaben zu lösen, um die im Kurs erlernten Konzepte zu vertiefen und zu üben. Bei jeder Hausaufgabe handelt es sich typischerweise um eine von Sicherheitslücken betroffene Anwendung, die die Studierenden ausnutzen sollen, um Zugriff auf eine Flagge zu erhalten, die den Beweis eines erfolgreichen Hacking-Versuchs darstellt. Für jede Hausaufgabe müssen die Studierenden einige Fragen beantworten, wo es beschrieben wird, wie sie das jeweilige Problem gelöst haben und wie die ausgenutzte Sicherheitslücke geschlossen werden kann.

Wir bieten zusätzlich Tutor-Hours an, wo die Studierenden Unterstützung beim Lösen ihrer Aufgaben durch TutorInnen bekommen können. Diese Termine können sowohl vor Ort als auch online besucht werden.

ECTS Aufschlüsselung (6 ECTS = 150 Stunden)

Vorlesung (27 Stunden)
Hausaufgaben (90 Stunden)
Prüfungsvorbereitung (30 Stunden)
Prüfung (3 Stunden)

Die Beurteilung setzt sich aus den Bewertungen der Hausaufgaben und den Ergebnissen von Tests zum Kursinhalt zusammen. 

Tests finden im Hörsaal statt: Falls dies nicht möglich sein sollte (z.B. aufgrund einer Betriebsbeschränkung oder eines Lockdowns), dann werden die Tests online über Zoom-Meetings erfolgen und eine Kamera (entweder am Laptop oder an einem zusätzlichen Gerät, z.B. einem Handy) muss während der gesamten Prüfung eingeschaltet sein.

Keine