Common Security Flaws

Proseminare	2 SWS / 4,0 ECTS (Kursbeschreibung)
Veranstalter:	Paul Muntean
Zeit und Ort:	Di, 08:00 – 09:30 Uhr, 01.08.013 (Proseminar)
Beginn:	2017-04-25

Die Veranstaltung wird in Deutsch gehalten

Das Material steht in Deutsch zur Verfuegung

Die Pr?ung ist auf Deutsch

Aktuelles

Drei Wochen vor der Präsentation muss jeder Studierende mir sein Bericht als PDF-Dokument gesendet haben.

Das TUM-Matching Verfahren ist am 14 Feb. für die Proseminarbetreuer vorüber. Sie werden danach eine Mitteilung erhalten ob Sie zum Proseminar angenommen wurden oder nicht.

Die Vorbesprechung findet am 07.02.2017 im Raum 01.08.033 um 10:00 Uhr statt.

Inhalt

Dieses Proseminar beschäftigt sich mit den gängingen Sicherheitlücken, die in C/C++ und JavaScript/PHP Anwendungen weit verbreitet auftreten. Die Ausnutzbarkeit der Sicherheitlücken und mögliche Gegenmaßnahmen werden behandelt. Inhalte sind verschiedene Software- und Webanwendung-Schwachstellen.

Material

07.02.2012 Folien Vorbesprechung

Anmeldung / Abmeldung in TUMonline

Die Anmeldung in TUMonline wird durch die Betreuer durchgeführt.
Eine Abmeldung vom Proseminar ist per E-Mail bis zum 15.4.2017 möglich.
Schreiben Sie dazu eine Email an den Betreuer.
Freie Plätze können durch Nachrücker besetzt werden.

Voraussetzungen

Grundlegende Programmierkenntnisse
Verfassen eines Motivationschreibens
TUM-Notentranskript (oder eine Liste) mit allen belegten Vorlesungen, Seminaren, etc.
Abgabe bis 03.03.2017 per Verschlüsselte E-Mail an den Betreuer
Eine DIN A4 Seite
- Warum möchten Sie teilnehmen?
- Welches Thema möchten Sie warum bearbeiten?

Was wird erwartet

Grundlegende Programmierkenntnisse in C/C++ und/oder JavaScript.
Jedes Thema wird einzeln bearbeitet.
Literaturrecherche.
Erstellung einer Ausarbeitung in LaTeX (LNCS Format Template).
Allgemeine Hilfestellungen zum wissenschaftlichen Schreiben und LaTeX finden Sie auf unserer Webseite Hilfestellungen zu Seminaren.
Jeder Bericht sollte zwischen 10 und 15 Seiten sein (Deckblatt und Inhaltsverzeichnis nicht inbegriffen).
Präsentation des Themas (PowerPoint etc.)
Die Präsentation sollte 30 Min. und die Diskussion 15 Min. dauern.
Aktive Mitarbeit und Diskussion is erwünscht.

Vorträge

Thema

ReferentenInnen

Termin

Der erfolgreiche Seminarvortrag

P. Muntean

25.04.17

1. Buffer Overruns

2. Format Strings Flaws

T. Kilian

L. Karnowski

02.05.17

3. Integer Security Flaws

4. Pointer Subterfuge Flaws

J. Fietz

M. Tschirschnitz

09.05.17

5. Uncaught Exception Flaws

6. Dynamic Memory Management

L. Kirchmair

L. Eichhorn

16.05.17

7. Formatted Output Flaws

8. Concurrency Flaws

A. Pesch

F. Kilger

23.05.17

9. File I/O Flaws

10. Good Practices against Flaws

Y. Onay

M. Schmitz

30.05.17

11. Website Injection Flaws

12. Cross-Site Scripting (XSS)

M. Wabro

A. Stark

13.06.17

13. Cross-Site Request Forgery (CSRF)

14. Clickjacking Flaws

L. Heddendorp

L. Johnen

20.06.17

Ergänzende Literatur

Die folgenden Bücher sind relevant für alle Themen dieses Proseminar und daher eine Empfehlung für alle Seminarteilnehmer:

C/C++ Sicherheitsthemen:

Secure Coding in C and C++
Robert C. Seacord
Addison Wesley
ISBN-13: 978-0-321-82213-0

Web Sicherheitsthemen:

Web Security A WhiteHat Perspective
CRC Press
Hanqing Wu and Liz Zhao
ISBN-13: 978-1466592612

Empfehlenswerte Links

isocpp.org (C++ Programmierstandard)
C++ Programmierstandard (Programmierstandard Bericht)
C++ Core Guideline GitHub Repo. (C++ Porgrammierrichtlinien Git Repo.)
securecoding.cert.org (CERT C/C++ Programmierstandard)
IT-Grundschutz (Webanwendungen)
DBLP (Literaturrecherche)
Google Scholar (Literaturrecherche)
NVD (Allgemeine Schwachstellen-Datenbank)
OWASP (Web Schwachstellen-Datenbank)

Weitere Leseempfehlungen

	24 Deadly Sins of Software Security Michael Howard, David LeBlanc and John Viega McGraw-Hill Education ISBN-13: 978-0071626750
	Modern Operating Systems Andrew S. Tanenbaum Prentice Hall International ISBN: 978-0130926418
	SEI Cert C Security Standards Software Eng. Institute SEI CMU ISBN: -
	Writing Secure Code: Practical Strategies and Proven Techniques for Building Secure Applications in a Networked World Michael Howard, David LeBlanc Microsoft Press ISBN-13: 978-0735617223
	Geekonomics: The Real Cost of Insecure Software David Rice Addison-Wesley Professional ISBN-13: 978-0321735973
	Hacking: The Art of Exploitation Jon Erickson No Starch Press ISBN-13: 978-1593271442