TUM Logo

Common Security Flaws

Common Security Flaws  

Seminare 2sws / 5,0ects
Veranstalter: Paul Muntean
Zeit und Ort:

08:00 - 09:30 Uhr; 01.08.033

Beginn: 2017-10-16


 

Aktuelles

  • Es sind noch einige Proseminar Plätze  frei! Bitte über Email an mich: paul@sec.in.tum.de bewerben.

Termine

Vorbesprechung: 04.07.2017 - 11:00 Uhr in Raum 01.08.033

Inhalt

Dieses Proseminar beschäftigt sich mit den gängingen Sicherheitlücken, die in C/C++ und JavaScript/PHP Anwendungen weit verbreitet auftreten. Die Ausnutzbarkeit der Sicherheitlücken und mögliche Gegenmaßnahmen werden behandelt. Inhalte sind verschiedene Software- und Webanwendung-Schwachstellen.

Voraussetzungen für die Teilnahme

  • Grundlegende Programmierkenntnisse
  • Verfassen eines Motivationschreibens
  • TUM-Notentranskript (oder eine Liste) mit allen belegten Vorlesungen, Seminaren, etc.
  • Abgabe bis 11 Juli per Verschlüsselte E-Mail an den Betreuer, E-Mail: paul@sec.in.tum.de
  • Eine DIN A4 Seite
    • Warum möchten Sie teilnehmen?
    • Welches Thema möchten Sie warum bearbeiten?

 

Anmeldung / Abmeldung in TUM Online 

  • Die Anmeldung in TUM Online wird vom Seminarbetreuer durchgeführt.

Was wird erwartet

  • Grundlegende Programmierkenntnisse in C/C++ und/oder JavaScript.
  • Jedes Thema wird einzeln bearbeitet.
  • Literaturrecherche.
  • Erstellung einer Ausarbeitung in LaTeX (LNCS Format Template).
  • Allgemeine Hilfestellungen zum wissenschaftlichen Schreiben und LaTeX finden Sie auf unserer Webseite Hilfestellungen zu Seminaren.
  • Jeder Bericht sollte zwischen 10 und 15 Seiten sein (Deckblatt und Inhaltsverzeichnis nicht inbegriffen).
  • Präsentation des Themas (PowerPoint etc.)
  • Die Präsentation sollte 30 Min. und die Diskussion danach sollte 15 Min. dauern.
  • Aktive Mitarbeit und Diskussion is erwünscht.

Termine und Themen

Title Speaker Date
Kick-off Meeting Paul M. 04.07.2017
Prepare the literature research and report outline all students 16.10.2017
Introduction of the runtime attacks and defenses  Paul M. 23.10.2017
Deliver via Email the literature research and report outline  all students 30.10.2017

Topic 1, Book 1. Buffer Overruns e.g., reference paper 

Topic 2, Book 1. Format Strings Flaws e.g., reference paper 

tba

Jonathan Kaleve

06.11.2017

Topic 3, Book 1. Integer Security Flaws e.g., reference paper

Topic 4, Book 1. Pointer Subterfuge Flaws e.g., reference paper 

Daniel Felber

Alex Todoran

13.11.2017

Topic 5, Book 1. Uncaught Exception Flaws e.g., reference paper 

Topic 6, Book 1. File I/O Flaws e.g., reference paper

tba.

tba

20.11.2017

Topic 7, Book 1. Formatted Output Flaws e.g., reference paper 

Topic 8, Book 1. Concurrency Flaws e.g., reference paper

Leonhard Kurthen

Jonas Donhauser

27.11.2017

Topic 9, Book 1. Dynamic Memory Management e.g., reference paper in ch. 4 

Topic 10, Book 1. Good Practices against Flaws e.g., reference paper 

Benedikt Mörtl

tba

04.12.2017

Topic 11, Book 2. Website Injection Flaws e.g., reference paper 

Topic 12, Book 2. Cross-Site Scripting (XSS) e.g., reference paper 

Richard Viehöver

Alexander Ambos 

11.12.2017

Topic 13, Book 2. Cross-Site Request Forgery (CSRF) e.g., reference paper 

Topic 14, Book 2. Clickjacking Flaws e.g., reference paper 

Maximilian Jelinek

Oğuz Gültepe

18.12.2017
End of presentation phase and delivery of the first version report to me (one pdf file/email) all students 08.01.2018
Distribution of the review topics; one email; 2 reports/student  all students 15.01.2018

Delivery of the reviews to me over email, two pdf files

1. Add comments directly to the pdf file. 2. More than 20 comments per report review are indicated.

all students 22.01.2018
Return of the reviews to the students (email format, one pdf file) all students 29.01.2018
Final report delivery with email format in one pdf file  all students 05.02.2018


Ergänzende Literatur

Die folgenden Bücher sind relevant für alle Themen dieses Proseminar und daher eine Empfehlung für alle Seminarteilnehmer:

Secure Coding in C and C++

C/C++ Sicherheitsthemen:

Book 1: Secure Coding in C and C++
Robert C. Seacord
Addison Wesley
ISBN-13: 978-0-321-82213-0

Web Security A WhiteHat Perspective

Web Sicherheitsthemen:

Book 2: Web Security A WhiteHat Perspective
CRC Press
Hanqing Wu and Liz Zhao
ISBN-13: 978-1466592612

Empfehlenswerte Links

Weitere Leseempfehlungen

24 Deadly Sins of Software Security 24 Deadly Sins of Software Security
Michael Howard, David LeBlanc and John Viega
McGraw-Hill Education
ISBN-13: 978-0071626750
Modern Operating Systems Modern Operating Systems
Andrew S. Tanenbaum
Prentice Hall International
ISBN: 978-0130926418

SEI Cert C Security Standards SEI Cert C Security Standards
Software Eng. Institute
SEI CMU
ISBN: -
Writing Secure Code: Practical Strategies and Proven Techniques  for Building Secure Applications in a Networked World

Writing Secure Code: Practical Strategies and Proven Techniques

for Building Secure Applications in a Networked World

Michael Howard, David LeBlanc
Microsoft Press
ISBN-13: 978-0735617223

Geekonomics: The Real Cost of Insecure Software Geekonomics: The Real Cost of Insecure Software
David Rice
Addison-Wesley Professional
ISBN-13: 978-0321735973
Hacking: The Art of Exploitation Hacking: The Art of Exploitation
Jon Erickson
No Starch Press
ISBN-13: 978-1593271442