![Page 1: Sicherheit in Web-Anwendungen - TU Dortmund · Fakultät Informatik Lehrstuhl für Künstliche Intelligenz Web-Sicherheit • Gründe für erfolgreiche Angriffe oftmals fehlerhafte](https://reader033.vdocuments.site/reader033/viewer/2022053122/60a92df447028843f55fe639/html5/thumbnails/1.jpg)
Fakultät InformatikLehrstuhl für Künstliche Intelligenz
Sicherheit inWeb-Anwendungen
Proseminar
1
![Page 2: Sicherheit in Web-Anwendungen - TU Dortmund · Fakultät Informatik Lehrstuhl für Künstliche Intelligenz Web-Sicherheit • Gründe für erfolgreiche Angriffe oftmals fehlerhafte](https://reader033.vdocuments.site/reader033/viewer/2022053122/60a92df447028843f55fe639/html5/thumbnails/2.jpg)
Fakultät InformatikLehrstuhl für Künstliche Intelligenz
Vorstellung• Dipl.-Inf. Christian Bockermann
• WiMi am Lehrstuhl 8
• Forschungsgebiete
• Web-Sicherheit durch intelligente Methoden (Data-Mining, KI)
• Data-Mining in verteilten Umgebungen
2
![Page 3: Sicherheit in Web-Anwendungen - TU Dortmund · Fakultät Informatik Lehrstuhl für Künstliche Intelligenz Web-Sicherheit • Gründe für erfolgreiche Angriffe oftmals fehlerhafte](https://reader033.vdocuments.site/reader033/viewer/2022053122/60a92df447028843f55fe639/html5/thumbnails/3.jpg)
Fakultät InformatikLehrstuhl für Künstliche Intelligenz
Überblick• Warum ein Proseminar zum Thema
„Sicherheit in Web-Anwendungen“ ?
• Ziele des Proseminars
• Erwartungen an das Proseminar
• Themenvorstellung und Vergabe
• Vorführung: WebGoat
3
![Page 4: Sicherheit in Web-Anwendungen - TU Dortmund · Fakultät Informatik Lehrstuhl für Künstliche Intelligenz Web-Sicherheit • Gründe für erfolgreiche Angriffe oftmals fehlerhafte](https://reader033.vdocuments.site/reader033/viewer/2022053122/60a92df447028843f55fe639/html5/thumbnails/4.jpg)
Fakultät InformatikLehrstuhl für Künstliche Intelligenz
Web-Sicherheit• Immer mehr Dienste werden im Web
verfügbar gemacht
• Web-Anwendungen leicht angreifbar (z.B. mit Browser)
• Zahl der Angriffe im Web steigt
• Experten: ca. 2500 erfolgreiche Angriffen pro Stunde aus
Quelle: h-zone
4
![Page 5: Sicherheit in Web-Anwendungen - TU Dortmund · Fakultät Informatik Lehrstuhl für Künstliche Intelligenz Web-Sicherheit • Gründe für erfolgreiche Angriffe oftmals fehlerhafte](https://reader033.vdocuments.site/reader033/viewer/2022053122/60a92df447028843f55fe639/html5/thumbnails/5.jpg)
Fakultät InformatikLehrstuhl für Künstliche Intelligenz
Web-Sicherheit• Gründe für erfolgreiche Angriffe
oftmals fehlerhafte Anwendungen
• Zeit-/Kostendruck führt zu Einsparungen in der Entwicklung
• Validierung von Software bzw. Code-Reviews oft sehr aufwendig
• Gefahr von Angriffen den Entwicklern oft nicht „bewusst“
5
![Page 6: Sicherheit in Web-Anwendungen - TU Dortmund · Fakultät Informatik Lehrstuhl für Künstliche Intelligenz Web-Sicherheit • Gründe für erfolgreiche Angriffe oftmals fehlerhafte](https://reader033.vdocuments.site/reader033/viewer/2022053122/60a92df447028843f55fe639/html5/thumbnails/6.jpg)
Fakultät InformatikLehrstuhl für Künstliche Intelligenz
• Strukturiertes, selbstständiges Arbeiten
• Erlernen von Literatur-Recherche
• Exkurs zur Uni-Bibliothek
• Bibliographieren
• Präsentationstechnik
• Erlernen von Sachwissen im Bereich Web-Sicherheit
Proseminar
6
![Page 7: Sicherheit in Web-Anwendungen - TU Dortmund · Fakultät Informatik Lehrstuhl für Künstliche Intelligenz Web-Sicherheit • Gründe für erfolgreiche Angriffe oftmals fehlerhafte](https://reader033.vdocuments.site/reader033/viewer/2022053122/60a92df447028843f55fe639/html5/thumbnails/7.jpg)
Fakultät InformatikLehrstuhl für Künstliche Intelligenz
• Strukturen und Schwachstellen von Anwendungen aufzeigen
• Wissen über Angriffe erforderlich für wirksame Sicherheitsmaßnahmen
• Das Proseminar ist KEIN Hacker-Kurs!
Proseminar
7
![Page 8: Sicherheit in Web-Anwendungen - TU Dortmund · Fakultät Informatik Lehrstuhl für Künstliche Intelligenz Web-Sicherheit • Gründe für erfolgreiche Angriffe oftmals fehlerhafte](https://reader033.vdocuments.site/reader033/viewer/2022053122/60a92df447028843f55fe639/html5/thumbnails/8.jpg)
Fakultät InformatikLehrstuhl für Künstliche Intelligenz
• Anwesenheitspflicht!
• Jeder Teilnehmer hält Vortrag:
• Umfang ca. 60-75 Minuten
• Anschliessende Diskussion
• kurze Feedback-Runde zum Präsentationsstil
• fachliche Diskussion,Moderation durch „Paten“
Proseminar
8
![Page 9: Sicherheit in Web-Anwendungen - TU Dortmund · Fakultät Informatik Lehrstuhl für Künstliche Intelligenz Web-Sicherheit • Gründe für erfolgreiche Angriffe oftmals fehlerhafte](https://reader033.vdocuments.site/reader033/viewer/2022053122/60a92df447028843f55fe639/html5/thumbnails/9.jpg)
Fakultät InformatikLehrstuhl für Künstliche Intelligenz
Vortrag• Vortragender sollte das Thema
verstanden haben
• Wahl des Abstraktionsgrades
• So viel Detail, wie für Verständnis der Zuhörer notwendig
• Klare Strukturierung, „roter Faden“ sollte immer erkennbar sein
• Aussagekräftige Folien
9
![Page 10: Sicherheit in Web-Anwendungen - TU Dortmund · Fakultät Informatik Lehrstuhl für Künstliche Intelligenz Web-Sicherheit • Gründe für erfolgreiche Angriffe oftmals fehlerhafte](https://reader033.vdocuments.site/reader033/viewer/2022053122/60a92df447028843f55fe639/html5/thumbnails/10.jpg)
Fakultät InformatikLehrstuhl für Künstliche Intelligenz
Vortrag• Zeiteinteilung
• Gebt vorher an, wie lange ihr benötigt
• Probevortrag vor Paten?
• 3 Wochen vor Vortragstermin Folien an den Betreuer
10
![Page 11: Sicherheit in Web-Anwendungen - TU Dortmund · Fakultät Informatik Lehrstuhl für Künstliche Intelligenz Web-Sicherheit • Gründe für erfolgreiche Angriffe oftmals fehlerhafte](https://reader033.vdocuments.site/reader033/viewer/2022053122/60a92df447028843f55fe639/html5/thumbnails/11.jpg)
Fakultät InformatikLehrstuhl für Künstliche Intelligenz
• Ausarbeitung zum Vortrag
• ca. 4-6 Seiten
• Abgabe bis 2 Wochen nach Vortragstermin
• Bewertung des Vortrags -> Note
• durch Seminarteilnehmer
• durch Seminarbetreuer (endgültige Note)
Proseminar
11
![Page 12: Sicherheit in Web-Anwendungen - TU Dortmund · Fakultät Informatik Lehrstuhl für Künstliche Intelligenz Web-Sicherheit • Gründe für erfolgreiche Angriffe oftmals fehlerhafte](https://reader033.vdocuments.site/reader033/viewer/2022053122/60a92df447028843f55fe639/html5/thumbnails/12.jpg)
Fakultät InformatikLehrstuhl für Künstliche Intelligenz
• Fragen zur Vortragsstruktur, inhaltliche Fragen, ...
• Sprechstunde
• prinzipiell von 10 - 18 Uhr erreichbar
• Tel.: 755-6487
• GB4 / Raum 119
Hilfe
12
![Page 13: Sicherheit in Web-Anwendungen - TU Dortmund · Fakultät Informatik Lehrstuhl für Künstliche Intelligenz Web-Sicherheit • Gründe für erfolgreiche Angriffe oftmals fehlerhafte](https://reader033.vdocuments.site/reader033/viewer/2022053122/60a92df447028843f55fe639/html5/thumbnails/13.jpg)
Fakultät InformatikLehrstuhl für Künstliche Intelligenz
Vorstellungsrunde
13
![Page 14: Sicherheit in Web-Anwendungen - TU Dortmund · Fakultät Informatik Lehrstuhl für Künstliche Intelligenz Web-Sicherheit • Gründe für erfolgreiche Angriffe oftmals fehlerhafte](https://reader033.vdocuments.site/reader033/viewer/2022053122/60a92df447028843f55fe639/html5/thumbnails/14.jpg)
Fakultät InformatikLehrstuhl für Künstliche Intelligenz
Seminar-Themen
14
![Page 15: Sicherheit in Web-Anwendungen - TU Dortmund · Fakultät Informatik Lehrstuhl für Künstliche Intelligenz Web-Sicherheit • Gründe für erfolgreiche Angriffe oftmals fehlerhafte](https://reader033.vdocuments.site/reader033/viewer/2022053122/60a92df447028843f55fe639/html5/thumbnails/15.jpg)
Fakultät InformatikLehrstuhl für Künstliche Intelligenz
• Aufteilung in drei Abschnitte:
• Struktur und Aufbauvon Web-Anwendungen
• Sicherheitsproblematikund Angriffe
• Sicherheitsmaßnahmen in Web-Umgebungen
Themenblöcke
15
![Page 16: Sicherheit in Web-Anwendungen - TU Dortmund · Fakultät Informatik Lehrstuhl für Künstliche Intelligenz Web-Sicherheit • Gründe für erfolgreiche Angriffe oftmals fehlerhafte](https://reader033.vdocuments.site/reader033/viewer/2022053122/60a92df447028843f55fe639/html5/thumbnails/16.jpg)
Fakultät InformatikLehrstuhl für Künstliche Intelligenz
• Struktur und Aufbau• Das HTTP Protokoll
• SSL und HTTPS (2)
• Common Gateway Interface (CGI)
• PHP als Web-Sprache
• Web-Anwendungen mit Java: JSP und Servlets
• JavaScript / AJAX
• Web-Services
Themen
16
![Page 17: Sicherheit in Web-Anwendungen - TU Dortmund · Fakultät Informatik Lehrstuhl für Künstliche Intelligenz Web-Sicherheit • Gründe für erfolgreiche Angriffe oftmals fehlerhafte](https://reader033.vdocuments.site/reader033/viewer/2022053122/60a92df447028843f55fe639/html5/thumbnails/17.jpg)
Fakultät InformatikLehrstuhl für Künstliche Intelligenz
Themen• Angriffe
• Form-Tampering/SQL-Injection/Blind SQL-Injection
• Path-Traversal und Remote-File Inclusion
• Session-Fixation undSession-Hijacking
• XSS und Cross-Site Request Forgery
17
![Page 18: Sicherheit in Web-Anwendungen - TU Dortmund · Fakultät Informatik Lehrstuhl für Künstliche Intelligenz Web-Sicherheit • Gründe für erfolgreiche Angriffe oftmals fehlerhafte](https://reader033.vdocuments.site/reader033/viewer/2022053122/60a92df447028843f55fe639/html5/thumbnails/18.jpg)
Fakultät InformatikLehrstuhl für Künstliche Intelligenz
Themen• Sicherheitsmaßnahmen
• Security-Scanner
• Web Application Firewalls (ModSecurity)
• „Abstracting Web Application Security“ (Paper)
• Anomalie-Erkennung in Web-Anwendungen (2)
18
![Page 19: Sicherheit in Web-Anwendungen - TU Dortmund · Fakultät Informatik Lehrstuhl für Künstliche Intelligenz Web-Sicherheit • Gründe für erfolgreiche Angriffe oftmals fehlerhafte](https://reader033.vdocuments.site/reader033/viewer/2022053122/60a92df447028843f55fe639/html5/thumbnails/19.jpg)
Fakultät InformatikLehrstuhl für Künstliche Intelligenz
• Open Web-Application Security Project (OWASP)
• WebGoat Anwendung zum Lernen/Verstehen von Angriffen
• Vielzahl von Dokumenten, Präsentation zu Web-Sicherheit
• Google, CiteSeer, RFC
• Einige (wenige) Paper zum Thema IDS und Web-Sicherheit
Ansatzpunkte
19