Hochschule Ansbach, Semester: SS 25
Syllabus
Das Ziel dieser praxisorientierten Veranstaltung für fortgeschrittene Studierende ist es, IT-Sicherheitsherausforderungen in der Softwareentwicklung zu verstehen und zu lösen. Anhand von Codebeispielen lernen Sie, typische Sicherheitsrisiken und Schwachstellen zu identifizieren, zu bewerten und zu beheben. Zudem erwerben Sie theoretisches Wissen über gängige Schutzmaßnahmen entlang des Secure Software Development Lifecycle (SSDL).
Während des Kurses identifizieren Sie Schwachstellen in einer App und entwickeln gezielte Schutzmaßnahmen. Zu Hause bearbeiten Sie kleinere Assignments. Am Ende des Semesters präsentieren Sie einen tiefgehenden theoretischen Einblick in eines der behandelten Themen – der über die in der Veranstaltung vermittelten Inhalte hinausgeht – und demonstrieren anhand Ihrer Implementierung, wie Sie die diesbezüglichen Schwachstellen der App ausgenutzt und erfolgreich behoben haben.
Lernziele
- Verstehen und Anwenden des Secure Software Development Lifecycle
- Verstehen typischer Schwachstellen und Sicherheitsrisiken bei der Softwareentwicklung
- Analysieren und Beheben konkreter Schwachstellen (z. B. SQL Injection, XSS, SSRF)
Voraussetzungen
- Kenntnisse in Java und Spaß am Programmieren
- Basiswissen zu Datenbanken und Web-Technologien
- Interesse an IT-Sicherheit und Spaß am Experimentieren
Inhalte
| Datum | Themen | Assignment | Abgabefrist (23:59 Uhr) |
|---|---|---|---|
| 20. März | Setup & Technologien | Bootiful Spring (A1) | - |
| 27. März | Secure Software Dev. Lifecycle | - | A1 |
| 3. April | Cryptographic Failures | The Argonaut (A2) | - |
| 10. April | Broken Access Control | - | A2 |
| 17. April | — Feiertag — | - | - |
| 24. April | SQL Injection | SQL Blind Date (A3) | - |
| 1. Mai | — Feiertag — | - | A3 |
| 8. Mai | Command Injection | - | - |
| 15. Mai | XSS | XSStravaganza (A4) | |
| 22. Mai | (SSRF) & Path Traversal | DotDotPwn (A5) | A4 |
| 29. Mai | — Feiertag — | - | A5 |
| 5. Juni | — Blockwoche — | - | - |
| 12. Juni | SCA (Dependency Check) | Lord of the Libs (A6) | - |
| 19. Juni | — Feiertag — | - | A6 |
| 26. Juni | Präsentationen | - | - |
Bewertung
- 6 Assignments: 30 % (je 5 % pro Assignment)
- Abschluss-Präsentation: 70 % (40 % Deep Dive zu einem der obigen Themen + 30 % Vorstellung der Schwachstelle und deren Behebung in der App)
Impressum
Michael Netter
Hochschule Ansbach
Postfach 1963
91510 Ansbach
Kontakt:
E-Mail: michael.netter@hs-ansbach.de
Tel.: +49 (0) 981 / 4877 227