Common Security Flaws in JavaScript based Applications
Common Security Flaws in JavaScript based Applications
Seminare | 2 SWS / 5,0 ECTS (Kursbeschreibung) |
Veranstalter: | Paul Muntean |
Zeit und Ort: | Mo, 08:00 – 09:30 Uhr, 01.08.013 (Seminar) |
Beginn: | 2018-04-30 |
Aktuelles
Die Vorbesprechung findet am 29.01.2018 um 14:30 Uhr im Raum 01.08.033 statt.
Die Teilnahme an der Vorbesprechung ist verpflichtend.
Inhalt
Dieses Seminar beschäftigt sich mit den gängingen Sicherheitlücken, die in C/C++ und JavaScript/PHP Anwendungen weit verbreitet auftreten. Die Ausnutzbarkeit der Sicherheitlücken und mögliche Gegenmaßnahmen werden behandelt. Inhalte sind verschiedene Software- und Webanwendung-Schwachstellen.
Material
- tba.
Anmeldung / Abmeldung in TUMonline
- Die Anmeldung in TUMonline wird durch die Betreuer durchgeführt.
- Eine Abmeldung vom Seminar ist per E-Mail bis zum 15.4.2018 möglich.
- Schreiben Sie dazu eine Email an den Betreuer.
- Freie Plätze können durch Nachrücker besetzt werden.
Voraussetzungen
- Grundlegende Programmierkenntnisse
- Verfassen eines Motivationschreibens
- TUM-Notentranskript (oder eine Liste) mit allen belegten Vorlesungen, Seminaren, etc.
- Abgabe bis 03.03.2018 per Verschlüsselte E-Mail an den Betreuer
- Eine DIN A4 Seite
- Warum möchten Sie teilnehmen?
- Welches Thema möchten Sie warum bearbeiten?
Was wird erwartet
- Grundlegende Programmierkenntnisse in C/C++ und/oder JavaScript.
- Jedes Thema wird einzeln bearbeitet.
- Literaturrecherche.
- Erstellung einer Ausarbeitung in LaTeX (LNCS Format Template).
- Allgemeine Hilfestellungen zum wissenschaftlichen Schreiben und LaTeX finden Sie auf unserer Webseite Hilfestellungen zu Seminaren.
- Jeder Bericht sollte zwischen 12 (ohne Referenzen) und max. 20 Seiten sein (Deckblatt und Inhaltsverzeichnis nicht inbegriffen).
- Präsentation des Themas (PowerPoint etc.)
- Die Präsentation sollte 30 Min. und die Diskussion 15 Min. dauern.
- Aktive Mitarbeit und Diskussion is erwünscht.
Vorträge
Thema | ReferentenInnen |
Termin |
Der erfolgreiche Seminarvortrag | P. Muntean | 30.04.18 |
1. RockJIT: Securing Just-In-Time Compilation Using Modular Control-Flow Integrity 2. Finding and Preventing Bugs in JavaScript Bindings |
P. Pandi D. Fomin |
07.05.18 |
3. Implementation-level Analysis of the JavaScript Helios Voting Client 4. The Spy in the Sandbox: Practical Cache Attacks in JavaScript and their Implications |
F. Fischer F. Westermann |
14.05.18 |
5. The Unexpected Dangers of Dynamic JavaScript 6. JaTE: Transparent and Efficient JavaScript Confinement |
A. Reinecke F. Hautmann |
28.05.18 |
7. J-Force: Forced Execution on JavaScript 8. Jshield: towards real-time and vulnerability-based detection of polluted drive-by download attacks |
R. Stiller S. Farag |
04.06.18 |
9. TypeDevil: Dynamic Type Inconsistency Analysis for JavaScript 10. Exploiting and Protecting Dynamic Code Generation |
N. Fechtner J. Hagg |
11.06.18 |
11. Riding out DOMsday: Toward Detecting and Preventing DOM Cross-Site Scripting 12. JITScope: Protecting Web Users from Control-Flow Hijacking Attacks |
T. Lin S. Kappes |
18.06.18 |
13. Thou Shalt Not Depend on Me: Analysing the Use of Outdated JavaScript Libraries on the Web 14. Inlined Information Flow Monitoring for JavaScript |
P. Neu F. Gregurevic |
25.06.18 |
Literatur
- Riding out DOMsday: Toward Detecting and Preventing DOM Cross-Site Scripting (NDSS'18)
- JaTE: Transparent and Efficient JavaScript Confinement (ACSAC'15)
- The Unexpected Dangers of Dynamic JavaScript.(Usenix Sec.'15)
- Thou Shalt Not Depend on Me: Analysing the Use of Outdated JavaScript Libraries on the Web (NDSS'17)
- Finding and Preventing Bugs in JavaScript Bindings (S&P'17)
- Precisely and Scalably Vetting JavaScript Bridge in Android Hybrid Apps (RAID'17)
- Exploiting and Protecting Dynamic Code Generation (NDSS'15)
- JaTE: Transparent and Efficient JavaScript Confinement (ACSAC'15)
- JITScope: Protecting Web Users from Control-Flow Hijacking Attacks (INFOCOM'15)
- RockJIT: Securing Just-In-Time Compilation Using Modular Control-Flow Integrity (CCS'14)
- Inlined Information Flow Monitoring for JavaScript (CCS'15)
- The Spy in the Sandbox: Practical Cache Attacks in JavaScript and their Implications (CCS'15)
- J-Force: Forced Execution on JavaScript (WWW'17)
- Jshield: towards real-time and vulnerability-based detection of polluted drive-by download attacks (ACSAC'14)
- TypeDevil: Dynamic Type Inconsistency Analysis for JavaScript (ICSE'14)
- Implementation-level analysis of the JavaScript helios voting client (SAC'16)