Common Security Flaws in JavaScript based Applications

Seminare	2 SWS / 5,0 ECTS (Kursbeschreibung)
Veranstalter:	Paul Muntean
Zeit und Ort:	Mo, 08:00 – 09:30 Uhr, 01.08.013 (Seminar)
Beginn:	2018-04-30

The lecture is given in german and english / Die Veranstaltung wird in Deutsch und Englisch gehalten

Das Material steht in Deutsch zur Verfuegung

Die Pr?ung ist auf Deutsch

Aktuelles

Die Vorbesprechung findet am 29.01.2018 um 14:30 Uhr im Raum 01.08.033 statt.

Die Teilnahme an der Vorbesprechung ist verpflichtend.

Inhalt

Dieses Seminar beschäftigt sich mit den gängingen Sicherheitlücken, die in C/C++ und JavaScript/PHP Anwendungen weit verbreitet auftreten. Die Ausnutzbarkeit der Sicherheitlücken und mögliche Gegenmaßnahmen werden behandelt. Inhalte sind verschiedene Software- und Webanwendung-Schwachstellen.

Material

tba.

Anmeldung / Abmeldung in TUMonline

Die Anmeldung in TUMonline wird durch die Betreuer durchgeführt.
Eine Abmeldung vom Seminar ist per E-Mail bis zum 15.4.2018 möglich.
Schreiben Sie dazu eine Email an den Betreuer.
Freie Plätze können durch Nachrücker besetzt werden.

Voraussetzungen

Grundlegende Programmierkenntnisse
Verfassen eines Motivationschreibens
TUM-Notentranskript (oder eine Liste) mit allen belegten Vorlesungen, Seminaren, etc.
Abgabe bis 03.03.2018 per Verschlüsselte E-Mail an den Betreuer
Eine DIN A4 Seite
- Warum möchten Sie teilnehmen?
- Welches Thema möchten Sie warum bearbeiten?

Was wird erwartet

Grundlegende Programmierkenntnisse in C/C++ und/oder JavaScript.
Jedes Thema wird einzeln bearbeitet.
Literaturrecherche.
Erstellung einer Ausarbeitung in LaTeX (LNCS Format Template).
Allgemeine Hilfestellungen zum wissenschaftlichen Schreiben und LaTeX finden Sie auf unserer Webseite Hilfestellungen zu Seminaren.
Jeder Bericht sollte zwischen 12 (ohne Referenzen) und max. 20 Seiten sein (Deckblatt und Inhaltsverzeichnis nicht inbegriffen).
Präsentation des Themas (PowerPoint etc.)
Die Präsentation sollte 30 Min. und die Diskussion 15 Min. dauern.
Aktive Mitarbeit und Diskussion is erwünscht.

Vorträge

Thema

ReferentenInnen

Termin

Der erfolgreiche Seminarvortrag

P. Muntean

30.04.18

1. RockJIT: Securing Just-In-Time Compilation Using Modular Control-Flow Integrity

2. Finding and Preventing Bugs in JavaScript Bindings

P. Pandi

D. Fomin

07.05.18

3. Implementation-level Analysis of the JavaScript Helios Voting Client

4. The Spy in the Sandbox: Practical Cache Attacks in JavaScript and their Implications

F. Fischer

F. Westermann

14.05.18

5. The Unexpected Dangers of Dynamic JavaScript

6. JaTE: Transparent and Efficient JavaScript Confinement

A. Reinecke

F. Hautmann

28.05.18

7. J-Force: Forced Execution on JavaScript

8. Jshield: towards real-time and vulnerability-based detection of polluted drive-by download attacks

R. Stiller

S. Farag

04.06.18

9. TypeDevil: Dynamic Type Inconsistency Analysis for JavaScript

10. Exploiting and Protecting Dynamic Code Generation

N. Fechtner

J. Hagg

11.06.18

11. Riding out DOMsday: Toward Detecting and Preventing DOM Cross-Site Scripting

12. JITScope: Protecting Web Users from Control-Flow Hijacking Attacks

T. Lin

S. Kappes

18.06.18

13. Thou Shalt Not Depend on Me: Analysing the Use of Outdated JavaScript Libraries on the Web

14. Inlined Information Flow Monitoring for JavaScript

P. Neu

F. Gregurevic

25.06.18

Literatur

Riding out DOMsday: Toward Detecting and Preventing DOM Cross-Site Scripting (NDSS'18)
JaTE: Transparent and Efficient JavaScript Confinement (ACSAC'15)
The Unexpected Dangers of Dynamic JavaScript.(Usenix Sec.'15)
Thou Shalt Not Depend on Me: Analysing the Use of Outdated JavaScript Libraries on the Web (NDSS'17)
Finding and Preventing Bugs in JavaScript Bindings (S&P'17)
Precisely and Scalably Vetting JavaScript Bridge in Android Hybrid Apps (RAID'17)
Exploiting and Protecting Dynamic Code Generation (NDSS'15)
JaTE: Transparent and Efficient JavaScript Confinement (ACSAC'15)
JITScope: Protecting Web Users from Control-Flow Hijacking Attacks (INFOCOM'15)
RockJIT: Securing Just-In-Time Compilation Using Modular Control-Flow Integrity (CCS'14)
Inlined Information Flow Monitoring for JavaScript (CCS'15)
The Spy in the Sandbox: Practical Cache Attacks in JavaScript and their Implications (CCS'15)
J-Force: Forced Execution on JavaScript (WWW'17)
Jshield: towards real-time and vulnerability-based detection of polluted drive-by download attacks (ACSAC'14)
TypeDevil: Dynamic Type Inconsistency Analysis for JavaScript (ICSE'14)
Implementation-level analysis of the JavaScript helios voting client (SAC'16)