TUM Logo

Common Security Flaws in JavaScript based Applications

Common Security Flaws in JavaScript based Applications  

Seminare 2 SWS / 5,0 ECTS (Kursbeschreibung)
Veranstalter: Paul Muntean
Zeit und Ort:

Mo, 08:00 – 09:30 Uhr, 01.08.013 (Seminar)

Beginn: 2018-04-30

The lecture is given in german and english / Die Veranstaltung wird in Deutsch und Englisch gehalten
Das Material steht in Deutsch zur Verfuegung
Die Pr?ung ist auf Deutsch

 

Aktuelles

Die Vorbesprechung findet am 29.01.2018 um 14:30 Uhr im Raum 01.08.033 statt.

Die Teilnahme an der Vorbesprechung ist verpflichtend.

Inhalt

Dieses Seminar beschäftigt sich mit den gängingen Sicherheitlücken, die in C/C++ und JavaScript/PHP Anwendungen weit verbreitet auftreten. Die Ausnutzbarkeit der Sicherheitlücken und mögliche Gegenmaßnahmen werden behandelt. Inhalte sind verschiedene Software- und Webanwendung-Schwachstellen.

Material

  • tba.

Anmeldung / Abmeldung in TUMonline

  • Die Anmeldung in TUMonline wird durch die Betreuer durchgeführt.
  • Eine Abmeldung vom Seminar ist per E-Mail bis zum 15.4.2018 möglich.
  • Schreiben Sie dazu eine Email an den Betreuer.
  • Freie Plätze können durch Nachrücker besetzt werden.

Voraussetzungen

  • Grundlegende Programmierkenntnisse
  • Verfassen eines Motivationschreibens
  • TUM-Notentranskript (oder eine Liste) mit allen belegten Vorlesungen, Seminaren, etc.
  • Abgabe bis 03.03.2018 per Verschlüsselte E-Mail an den Betreuer
  • Eine DIN A4 Seite
    • Warum möchten Sie teilnehmen?
    • Welches Thema möchten Sie warum bearbeiten?

Was wird erwartet

  • Grundlegende Programmierkenntnisse in C/C++ und/oder JavaScript.
  • Jedes Thema wird einzeln bearbeitet.
  • Literaturrecherche.
  • Erstellung einer Ausarbeitung in LaTeX (LNCS Format Template).
  • Allgemeine Hilfestellungen zum wissenschaftlichen Schreiben und LaTeX finden Sie auf unserer Webseite Hilfestellungen zu Seminaren.
  • Jeder Bericht sollte zwischen 12 (ohne Referenzen) und max. 20 Seiten sein (Deckblatt und Inhaltsverzeichnis nicht inbegriffen).
  • Präsentation des Themas (PowerPoint etc.)
  • Die Präsentation sollte 30 Min. und die Diskussion 15 Min. dauern.
  • Aktive Mitarbeit und Diskussion is erwünscht.

Vorträge

Thema ReferentenInnen
Termin
Der erfolgreiche Seminarvortrag P. Muntean 30.04.18

1. RockJIT: Securing Just-In-Time Compilation Using Modular Control-Flow Integrity

2. Finding and Preventing Bugs in JavaScript Bindings

P. Pandi

D. Fomin

07.05.18

3. Implementation-level Analysis of the JavaScript Helios Voting Client

4. The Spy in the Sandbox: Practical Cache Attacks in JavaScript and their Implications

F. Fischer

F. Westermann

14.05.18

5. The Unexpected Dangers of Dynamic JavaScript

6. JaTE: Transparent and Efficient JavaScript Confinement

A. Reinecke

F. Hautmann

28.05.18

7. J-Force: Forced Execution on JavaScript

8. Jshield: towards real-time and vulnerability-based detection of polluted drive-by download attacks

R. Stiller

S. Farag

04.06.18

9. TypeDevil: Dynamic Type Inconsistency Analysis for JavaScript

10. Exploiting and Protecting Dynamic Code Generation

N. Fechtner

J. Hagg

11.06.18

11. Riding out DOMsday: Toward Detecting and Preventing DOM Cross-Site Scripting

12. JITScope: Protecting Web Users from Control-Flow Hijacking Attacks

T. Lin

S. Kappes

18.06.18

13. Thou Shalt Not Depend on Me: Analysing the Use of Outdated JavaScript Libraries on the Web

14. Inlined Information Flow Monitoring for JavaScript

P. Neu

F. Gregurevic

25.06.18

Literatur

  1. Riding out DOMsday: Toward Detecting and Preventing DOM Cross-Site Scripting (NDSS'18)
  2. JaTE: Transparent and Efficient JavaScript Confinement (ACSAC'15)
  3. The Unexpected Dangers of Dynamic JavaScript.(Usenix Sec.'15)
  4. Thou Shalt Not Depend on Me: Analysing the Use of Outdated JavaScript Libraries on the Web (NDSS'17)
  5. Finding and Preventing Bugs in JavaScript Bindings (S&P'17)
  6. Precisely and Scalably Vetting JavaScript Bridge in Android Hybrid Apps (RAID'17)
  7. Exploiting and Protecting Dynamic Code Generation (NDSS'15)
  8. JaTE: Transparent and Efficient JavaScript Confinement (ACSAC'15)
  9. JITScope: Protecting Web Users from Control-Flow Hijacking Attacks (INFOCOM'15)
  10. RockJIT: Securing Just-In-Time Compilation Using Modular Control-Flow Integrity (CCS'14)
  11. Inlined Information Flow Monitoring for JavaScript (CCS'15)
  12. The Spy in the Sandbox: Practical Cache Attacks in JavaScript and their Implications (CCS'15)
  13. J-Force: Forced Execution on JavaScript (WWW'17)
  14. Jshield: towards real-time and vulnerability-based detection of polluted drive-by download attacks (ACSAC'14)
  15. TypeDevil: Dynamic Type Inconsistency Analysis for JavaScript (ICSE'14)
  16. Implementation-level analysis of the JavaScript helios voting client (SAC'16)