Web Application Security

Das Modul „Web Application Security“ hat zum Ziel, den Teilnehmenden rechtliche Grundlagen der Computersicherheit, mit besonderem Fokus auf Web-Applikationen, sowie die wichtigsten Sicherheitsprobleme und deren Lösungen zu vermitteln. Die Teilnehmenden erlernen dabei zuerst den rechtlichen Rahmen der IT-Sicherheit (§202 StGB, §303 StGB) sowie einschlägige Datenschutzrichtlinien wie die DSVGO. Nachdem der rechtliche Rahmen geschaffen wurde, erlernen die Teilnehmenden Fähigkeiten zur Absicherung von Webapplikationen. Dazu diskutiert der Kurs zuerst die Evolution des WWW und anschließend grundlegende Technologien wie JavaScript. Mit diesem Wissen werden dann Angriffsklassen wie Cross-Site Scripting besprochen. Schwerpunktmäßig lernen die Teilnehmenden dabei, Schwachstellen zu erkennen, selbständig Proof-of-Concept-Exploits zu entwickeln und insbesondere auch zu beheben. Daneben lernen die Teilnehmenden „Defense-in-depth“-Mechanismen wie Content Security Policy kennen, um so Applikationen holistisch abzusichern 

An wen richtet sich das Zertifikat?

Das Modul richtet sich an Personen, die ein solides Grundverständnis der Sicherheit von Web-Applikationen benötigen. Es richtet sich insbesondere an angehende Web-Entwicklerinnen und -Entwickler, die ihre Applikationen von Grund auf sicher gestalten wollen, sowie an Betreiberinnen und Betreiber von bestehenden Web-Applikationen, die nachträglich Sicherheitsmechanismen ausrollen möchten. 

Zulassungsvoraussetzungen

Es werden keine spezifischen Zulassungsvoraussetzungen gefordert. Allerdings ist ein grundlegendes Verständnis von IT-Sicherheit und bekannten Schutzzielen (z.B. Integrität, Vertraulichkeit) notwendig. Zudem sind Python-Grundkenntnisse hilfreich, da Übungsaufgaben primär in Python gestaltet sind.  

Studienziele und Berufsfelder

Das Modul "Web Application Security" vermittelt grundlegende Kenntnisse in Computersicherheit mit Fokus auf Web-Applikationen. Es behandelt wichtige Sicherheitsprobleme sowie Lösungsansätze und deckt auch rechtliche Aspekte wie strafrechtliche und zivilrechtliche Rahmenbedingungen ab. Zudem werden Organisationsanforderungen für Web Security Compliance vorgestellt. Die Teilnehmenden erwerben Fähigkeiten zur Absicherung von Webapplikationen. Sie lernen, Schwachstellen zu erkennen, Exploits zu entwickeln und 'Defense-in-depth'-Mechanismen anzuwenden. 

Wozu berechtigt ein Zertifikat?

Nach erfolgreichem Abschluss des Moduls wird ein Hochschul-Zertifikat ausgehändigt und die Teilnehmenden verfügen über folgende Kompetenzen: 

  • Die Teilnehmenden kennen die rechtlichen Grundlagen in Bezug auf Web-Applikations-Sicherheit. Konkret sind sie sowohl mit den strafrechtlichen Aspekten der Computersicherheit sowie den Datenschutzaspekten von Webapplikationen im Speziellen vertraut. 
  • Die Studierenden kennen alle relevanten Angriffsklassen gegen client- und server-seitige Web Applikationen. Sie können anhand von Code-Stücken Verwundbarkeiten erkennen und beschreiben und kennen zudem die notwendigen Gegenmaßnahmen. 
  • Sie können bestehende Verwundbarkeiten beheben sowie in der Entwicklung neuer Applikationen von vornherein diese unterbinden.  
  • Sie kennen zudem für Sicherheitsmechanismen wie CSP solche Funktionalität, die einem Deployment im Wege steht. 
  • Durch eigenständiges Bearbeiten der Übungen sind sie außerdem in der Lage, kurze Proof-of-Concept-Exploits zu entwickeln sowie die notwendigen Patches an bestehenden Applikationen durchzuführen. 

Studienaufbau/Studiendauer/Studienaufwand 

Die Dauer des Moduls erstreckt sich über 1 Semester und umfasst 5 Credit Points.  

Inhalt des Zertifikats/Modulzertfikats 

Im Modul werden zunächst die rechtlichen Grundlagen der Computersicherheit behandelt. Dabei werden strafrechtliche, haftungsrechtliche und datenschutzrechtliche Aspekte sowie Web-Security-Compliance berücksichtigt. Anschließend werden verschiedene Angreifermodelle beleuchtet, darunter Web-, Netzwerk-, Remote- und Social-Engineering-Angreifer. Begleitet wird dies von einem historischen Überblick über HTTP/HTML. 

Ein weiterer Schwerpunkt liegt auf den grundlegenden Technologien und Sicherheitskonzepten im Web. Es werden Themen wie Session-Management mit Cookies, JavaScript mit Syntax, Scoping und DOM-Manipulation sowie die Same-Origin Policy und Domain Relaxation ausführlich behandelt. Auch die Thematik der Cross-Origin Kommunikation wird ausführlich behandelt, einschließlich Konzepte wie JSONP, Cross-Origin Resource Sharing (CORS) und DNS Rebinding. 

Ein weiteres wichtiges Thema ist Cross-Site Scripting (XSS). Es umfasst verschiedene Arten wie Server-seitiges reflektiertes XSS, Server-seitiges persistierendes XSS, Client-seitiges reflektiertes XSS und Client-seitiges persistierendes XSS. Es werden nicht nur die Angriffsszenarien erläutert, sondern auch Präventionsmaßnahmen wie die Content Security Policy diskutiert. 

Weitere Themen umfassen Cross-Origin-Angriffe wie Cross-Site Request Forgery (CSRF) und Cross-Site Script Inclusion (XSSI) sowie entsprechende Präventionsstrategien, einschließlich Subresource Integrity, iFrame-Sandboxing und Gegenmaßnahmen gegen Clickjacking. 

Abschließend werden Grundlagen zur Sicherheit der Infrastruktur vermittelt, einschließlich TLS/HTTPS mit Konzepten wie Perfect Forward Secrecy, Certificate Authorities, OCSP & Stapling sowie Certificate Transparency. 

Welche Studienform wird angeboten?

Das Modul besteht aus regelmäßigen Onlineterminen, einem Präsenz-Wochenende und praktischen Aufgaben, die die Teilnehmenden eigenständig lösen müssen. Zu jeder Einheit existiert ein Vorlesungsvideo, welches die Teilnehmenden vor dem Onlinetermin studieren müssen („Flipped Classroom“). 

Prüfungen 

Die Prüfungsleistung setzt sich aus Übungsaufgaben zusammen. Diese sollen eigenständig erfolgreich gelöst werden. Jede erfolgreich gelöste Übungsaufgabe gilt als ein Punkt. Das Modul gilt als bestanden, wenn 50% der verfügbaren Punkte aller Übungsaufgaben erreicht wurden. 

Wer ist für das Zertifikat verantwortlich? 

Dr.-Ing. Ben Stock ist seit 1.1.2022 Tenured Faculty am CISPA Helmholtzzentrum für Informationssicherheit. Zuvor war er seit 2018 als Tenure-Track Faculty am CISPA angestellt. Neben seiner Tätigkeit in der Forschung im Bereich der Websicherheit, benutzbaren Sicherheit und generellen Netzwerksicherheit hält er an der Universität des Saarlandes die Vorlesungen „Foundations of Cybersecurity 1“ sowie „Foundations of Web Security“. Für beide Vorlesungen erhielt er in der Vergangenheit den „Busy Beaver Award“ der Fachschaft Informatik für herausragende Lehre. Das Modul „Web Application Security“ ist dabei eng an die universitäre „Foundations of Web Security“ angelehnt. Außerdem mag er die Herausforderungen, die Capture the Flag-Wettbewerbe bieten, und versucht, mehr Schüler:innen/Student:innen für diese Wettbewerbe zu begeistern (insbesondere für das lokale Team saarsec). 

Registrierungsverfahren und Bewerbung 

  • Sie schreiben eine Mail mit Name, Adresse und Kontaktdaten an cecsaar@uni-saarland.de
  • Sie erhalten von uns die Zahlungsinformationen. 
  • Sie überweisen die Gebühren. 
  • Wir überprüfen den Geldeingang. 
  • Wir versenden einen Zulassungsbescheid nach erfolgreichem Geldeingang. 
  • Die Interessenten melden sich in SIM an, laden dort den Zulassungsbescheid hoch und können sich registrieren.  

Welche Bewerbungsfristen sind zu beachten? 

15.04.2024 

Kosten und Gebühren 

Die Gebühren für das Zertifikat betragen 1999.- €. 

Kontakt 

Christiane Stein 

M: christiane.steinuni-saarland.NJU8#7TZF7de 

T: 0681 302 4799 

Postanschrift
CEC Saar
Universität des Saarlandes
Campus, Geb. A4 4
66123 Saarbrücken