Hochschule Ansbach, Semester: SS 26 (Archiv)
Syllabus
Das Ziel dieser praxisorientierten Veranstaltung für fortgeschrittene Studierende ist es, IT-Sicherheitsherausforderungen in der Softwareentwicklung zu verstehen und zu lösen. Anhand von Codebeispielen lernen Sie, typische Sicherheitsrisiken und Schwachstellen zu identifizieren, zu bewerten und zu beheben. Zudem erwerben Sie theoretisches Wissen über gängige Schutzmaßnahmen entlang des Secure Software Development Lifecycle (SSDL).
Während des Kurses identifizieren Sie Schwachstellen in einer App und entwickeln gezielte Schutzmaßnahmen. Zu Hause bearbeiten Sie kleinere Assignments. Am Ende des Semesters präsentieren Sie einen tiefgehenden theoretischen Einblick ein nicht behandeltes Thema und demonstrieren anhand einer Demo-Implementierung die Auswirkungen der Schwachstelle sowie Schutzmaßnahmen.
Lernziele
- Verstehen und Anwenden des Secure Software Development Lifecycle
- Verstehen typischer Schwachstellen und Sicherheitsrisiken bei der Softwareentwicklung
- Analysieren und Beheben konkreter Schwachstellen (z. B. SQL Injection, XSS, SSRF)
Voraussetzungen
- Kenntnisse in Java und Spaß am Programmieren
- Basiswissen zu Datenbanken und Web-Technologien
- Interesse an IT-Sicherheit und Spaß am Experimentieren
Inhalte
| Datum | Themen | Assignment | Abgabefrist (23:59 Uhr) |
|---|---|---|---|
| 19. März | Setup & Technologien | Bootiful Spring (A1) | - |
| 26. März | Secure Software Dev. Lifecycle | - | A1 |
| 2. April | — Feiertag — | - | - |
| 9. April | Cryptographic Failures | The Argonaut (A2) | - |
| 16. April | Broken Access Control | - | A2 |
| 23. April | SQL Injection | SQL Blind Date (A3) | - |
| 30. April | Command Injection | - | A3 |
| 7. Mai | XSS | XSStravaganza (A4) | - |
| 14. Mai | — Feiertag — | - | A4 |
| 21. Mai | — Blockwoche — | - | - |
| 28. Mai | SSRF | - | - |
| 4. Juni | — Feiertag — | - | - |
| 11. Juni | Path Traversal | DotDotPwn (A5) | - |
| 18. Juni | SCA (Dependency Check) | Lord of the Libs (A6) | A5 |
| 25. Juni | Präsentationen | - | A6 |
| 2. Juli | Präsentationen | - | - |
Bewertung
- 6 Assignments: 30 % (je 5 % pro Assignment)
- Abgabe der PwnMeme-App mit den behobenen Schwachstellen (2er-Gruppen): 20 %
- Deep Dive zu einem nicht behandelten, vorgegebenen Thema (2er-Gruppen): 50 %
- Präsentation
- Entwicklung einer Spring Boot-App, die die Schwachstelle demonstriert
Impressum
Michael Netter
Hochschule Ansbach
Postfach 1963
91510 Ansbach
Kontakt:
E-Mail: michael.netter@hs-ansbach.de
Tel.: +49 (0) 981 / 4877 227