Die Studierenden führen einen strukturierten Sicherheitstest (Penetrationstest) gegen ein IT-Produkt durch. Dafür erforschen sie das Umfeld des Produkts, suchen und exploiten Schwachstellen, schreiben eine qualitativ hochwertige Dokumentation über die Ergebnisse und kommunizieren ggf. die Ergebnisse an den Hersteller des untersuchten Produkts. Weiterhin sind sie in der Lage, die Risiken einer Schwachstelle abzuschätzen und die Wirksamkeit verschiedener Gegenmaßnahmen zu diskutieren.
Inhalte
- Durchführen von strukturierten Sicherheitstests (Penetrationtests) unter Beachtung gesetzlicher Rahmenbedingungen
- Sammeln von Informationen über Angriffsziele (Reconaissance)
- Schwachstellenforschung: Buffer Overflows, Integer Overflows, Format String-Schwachstellen, SQL-, XML-, Command-Injection-Angriffe, Cross Site Scripting, Cross Site Request Forgery, Clickjacking, Padding Oracles
- Ausnutzung von Schwachstellen, Erstellen von Exploits
- Risikobewertung von Schwachstellen
- Dokumentation der Ergebnisse des Sicherheitstests
- Diskussion und verständliche Dokumentation von Gegenmaßnahmen zur Schließung der Schwachstellen
- Responsible Disclosure der Ergebnisse