TU Wien:Introduction to Security UE (Maffei)
- Introduction to Security UE (Squarcina) (TU Wien, 0 Materialien)
- Introduction to Security VU (Maffei) (TU Wien, 13 Materialien)
- Introduction to Security VU (Schanes) (TU Wien, 0 Materialien)
- Introduction to Security VU (Tempesta) (TU Wien, 0 Materialien)
- Introduction to Security UE (Maffei) (TU Wien, veraltet, 0 Materialien)
- Introduction to Security VU (Brem) (TU Wien, veraltet, 14 Materialien)
- Introduction to Security VU (Mairhofer) (TU Wien, veraltet, 4 Materialien)
- Introduction to Security VU (Weippl) (TU Wien, veraltet, 14 Materialien)
Daten[Bearbeiten | Quelltext bearbeiten]
| Vortragende | Marco Squarcina, Matteo Maffei, Martina Lindorfer |
|---|---|
| ECTS | 3 |
| Sprache | English |
| Links | tiss:192082 |
| Bachelorstudium Medieninformatik und Visual Computing | |
| Bachelorstudium Medizinische Informatik | |
| Bachelorstudium Software & Information Engineering | |
| Bachelorstudium Technische Informatik |
Mattermost: Channel "introduction-to-security" • Register • Mattermost-Infos
Inhalt[Bearbeiten | Quelltext bearbeiten]
Der Kurs ist vertiefend zur VU, die Challenges sind dementsprechend auch schwieriger.
- 2020S
- Stack canary circumvention
- Return-oriented programming
- SQL Injection
- NoSQL Injection
- Content Security Policy
Ablauf[Bearbeiten | Quelltext bearbeiten]
Die Challenges werden wie bei der VU auf einem CTForge veröffentlicht. Man muss bis zur challenge deadline den Flag finden und ein write up einreichen.
Empfehlenswerte Vorkenntnisse[Bearbeiten | Quelltext bearbeiten]
- Introduction to Security VU - es ist ratsam die VU vorher oder gleichzeitig zu machen
Vortrag[Bearbeiten | Quelltext bearbeiten]
Der Vortrag (die Tutorials) sind meist sehr hilfreich, um mit den Übungen zu beginnen. In den Tutorials wird meist die grundlegende Idee erklärt, die in den Challenges angewandt werden sollte.
Übungen[Bearbeiten | Quelltext bearbeiten]
Es gibt insgesamt 6 Übungen, bei denen man unter Nutzung verschiedenster Sicherheitslücken ein Flag ergattern muss. Zusätzlich dazu muss ein Writeup geschrieben werden, welches aus 4 Punkten besteht: Overview (Allgemeine Beschreibung worum es geht), Vulnerability (Sicherheitslücke nennen und erklären), Exploitation (Wie man an das Flag gekommen ist), Solution (Wie man die Schwachstelle beheben würde). Jeder dieser Abschnitte ist 0.25 Punkte, man kann also 1 Punkt pro Aufgabe bekommen und die Note hängt komplett vom Writeup ab. Für die Übungen hat man 2 Wochen Zeit und für technische Fragen/Problemen sind Ansprechpersonen im Mattermost Channel vorhanden.
Prüfung, Benotung[Bearbeiten | Quelltext bearbeiten]
Benotet werden die Writeups, das Flag alleine ist noch keine Punkte wert. Das Writeup hat 4 Abschnitte zu je 0.25 Punkten.
Meinung 2020s: Die Benotung war sehr problematisch. Man bekommt die 0.25 Punkte für einen Abschnitt entweder, oder man bekommt sie nicht, es werden keine Teilpunkte gegeben. Wo man also bei anderen LVAs für einen Fehler vielleicht 10% der Punkte verlieren würde, verliert man hier 25%. Hat man in 2 Abschnitten Fehler ist man schnell mal auf 50%. So kann es sehr leicht passieren, dass man bei einer Aufgabe, in der man viel Zeit investiert hat und die man auch großteils verstanden hat (sonst hätte man den Exploit ja nicht durchführen können und wäre nicht an das Flag gekommen) nur die Hälfte der Punkte (also Quasi eine 5) erhält.
Dauer der Zeugnisausstellung[Bearbeiten | Quelltext bearbeiten]
noch offen
Zeitaufwand[Bearbeiten | Quelltext bearbeiten]
noch offen
Unterlagen[Bearbeiten | Quelltext bearbeiten]
noch offen
Tipps[Bearbeiten | Quelltext bearbeiten]
noch offen
Verbesserungsvorschläge / Kritik[Bearbeiten | Quelltext bearbeiten]
noch offen