Moses - Software-Sicherheits Praktikum

Zur Modulseite PDF generieren

Modul / Version
#41240 / #2

Gültigkeit
Seit SoSe 2025

Verfügbare Sprache(n)
Englisch

Titel des Moduls
Software Security Lab
Software-Sicherheits Praktikum

Leistungspunkte
6

Modulverantwortliche*r
Seifert, Jean-Pierre

Benotung
Benotet

Prüfungsform
Portfolioprüfung

Lehrsprache(n)
Englisch

Zugehörigkeit

Fakultät
Fakultät IV

Institut
Institut für Softwaretechnik und Theoretische Informatik

Fachgebiet
34355100 FG S-Professur Security in Telecommunications (SecT)

Prüfungsausschuss
Keine Angabe

Kontakt

Sekretariat
E 5

Ansprechpartner*in
Beier, Julian

E-Mail-Adresse
lehre@sect.tu-berlin.de

Webseite

https://tu.berlin/sect

Diese Modulbeschreibung ist nicht oder nicht vollständig auf deutsch hinterlegt.

Es wird auf Wunsch trotzdem der Inhalt der unvollständigen Spracheversion angezeigt.

Lernergebnisse

1. Verständnis von Analysen von Binärprogrammen 2. Verstehen von Schwachstellen in speicherunsicheren Sprachen 3. Praktische Erfahrung im Ausnutzen dieser Schwachstellen 4. Verständnis von Verteidigungsmechanismen gegen die in der Vorlesung skizzierten Angriffe 5. Eine fundierte Bewertung der Sicherheit in Software

Lehrinhalte

Das Software Security Lab bietet Studenten die Möglichkeit, die Sicherheit von Linux-Programmen zu analysieren. Es behandelt Angriffe und die Mechanismen, die zur Verhinderung dieser Angriffe eingesetzt werden. In diesem Labor werden zunächst ältere Angriffe gelehrt, um dann zu moderneren Angriffen und Verteidigungsmaßnahmen überzugehen. Dieser Kurs konzentriert sich auf praktisch relevante Details und praktische Erfahrungen, anstatt tiefgehende theoretische Informationen zu vermitteln. Die Teilnehmer müssen mehrere Aufgaben lösen, bei denen ein Programm analysiert und dann angegriffen werden muss. Zu den behandelten Themen gehören: * x86-Assembler * Reverse Engineering * Standard-Verteidigungsmechanismen gegen Buffer Overflows * Return-/Jump-orientierte Programmierung, SigROP * Formatstring-Angriffe * RelRO * Ausnutzung von Dateistrukturen * Ausnutzung von Heap-Strukturen und Allokatoren * Use-after-free * Pointer-Mangling * TCache-Angriffe * Angriff auf den unsorted-bin

Modulbestandteile

Pflichtbereich

Die folgenden Veranstaltungen sind für das Modul obligatorisch:

Lehrveranstaltungen	Art	Nummer	Turnus	Sprache	SWS	ISIS	VVZ
Software Security	PR		SoSe	en	4

ISIS-Kurssuche nach Veranstaltungen des Moduls

Arbeitsaufwand und Leistungspunkte

Software Security (PR):

Aufwandbeschreibung	Multiplikator	Stunden	Gesamt
Hausaufgaben	8.0	15.0h	120.0h
Präsenzzeit	15.0	2.0h	30.0h
Vor- und Nachbearbeitung	15.0	2.0h	30.0h
			180.0h(~6 LP)

Der Aufwand des Moduls summiert sich zu 180.0 Stunden. Damit umfasst das Modul 6 Leistungspunkte.

Beschreibung der Lehr- und Lernformen

Dieses Modul ist ein praktischer Kurs.

Voraussetzungen für die Teilnahme / Prüfung

Wünschenswerte Voraussetzungen für die Teilnahme an den Lehrveranstaltungen:

Wünschenswerte Voraussetzungen für die Teilnahme an den Kursen: Voraussetzungen: - Vertrautheit mit den Primitiven des Unix/Linux-Betriebssystems (z. B. Verwendung einer Kommandozeile) Empfohlene Zusatzkenntnisse: * Grundlegende Linux-Kenntnisse * C-Programmierkenntnisse * SysProg/Rorg Um die Aufgaben zu bearbeiten, benötigt jeder Teilnehmer mindestens einen Computer mit Administratorrechten (d.h. es reicht nicht aus, sich bei Universitätsrechnern anmelden zu können), auf dem vorzugsweise Linux läuft. Es ist möglich, die Aufgaben auch unter Windows oder MacOS zu bearbeiten, aber das Lehrpersonal kann keine Anleitung zu diesen Betriebssystemen geben.

Verpflichtende Voraussetzungen für die Modulprüfungsanmeldung:

Dieses Modul hat keine Prüfungsvoraussetzungen.

Abschluss des Moduls

Benotung

Benotet

Prüfungsform

Portfolioprüfung

Art der Portfolioprüfung

100 Punkte pro Element

Sprache(n)

Deutsch, Englisch

Prüfungselemente

Name	Gewicht	Kategorie	Dauer/Umfang
(Ergebnisprüfung) ROP chain	1	praktisch	Keine Angabe
(Ergebnisprüfung) Formatstring Angriff	1	praktisch	Keine Angabe
(Ergebnisprüfung) Angriff auf die File-Struktur	1	praktisch	Keine Angabe
(Ergebnisprüfung) unlink Angriff	1	praktisch	Keine Angabe
(Ergebnisprüfung) Angriff auf den unsorted bin	1	praktisch	Keine Angabe
(Ergebnisprüfung) Angriff auf den tcache 1	1	praktisch	Keine Angabe
(Ergebnisprüfung) Angriff auf den tcache 2	1	praktisch	Keine Angabe
(Ergebnisprüfung) Angriff auf den tcache 3	1	praktisch	Keine Angabe

Notenschlüssel

Notenschlüssel »Notenschlüssel 2: Fak IV (2)«

Gesamtpunktzahl	1.0	1.3	1.7	2.0	2.3	2.7	3.0	3.3	3.7	4.0
100.0pt	95.0pt	90.0pt	85.0pt	80.0pt	75.0pt	70.0pt	65.0pt	60.0pt	55.0pt	50.0pt

Prüfungsbeschreibung (Abschluss des Moduls)

Praktischer Kurs: 8 Hausaufgaben. Alle Hausaufgaben werden uniform bewertet.

Dauer des Moduls

Für Belegung und Abschluss des Moduls ist folgende Semesteranzahl veranschlagt:
1 Semester.

Dieses Modul kann in folgenden Semestern begonnen werden:
Sommersemester.

Maximale teilnehmende Personen

Die maximale Teilnehmerzahl beträgt 40.

Anmeldeformalitäten

Falls es zu viele Bewerbungen gibt, wird ein Anmeldeverfahren gemäß AllgStuPO durchgeführt. Details dazu werden ggf über ISIS und die regelmäßigen Treffen bekannt gegeben.

Literaturhinweise, Skripte

Skript in Papierform

Verfügbarkeit: nicht verfügbar

Skript in elektronischer Form

Verfügbarkeit: nicht verfügbar

Literatur

Empfohlene Literatur
Keine empfohlene Literatur angegeben

Zugeordnete Studiengänge

Semester:

Zeige auch ausgelaufene Studiengänge und StuPOs

Diese Modulversion wird in folgenden Studiengängen verwendet:

Studiengang / StuPO	StuPOs	Verwendungen	Erste Verwendung	Letzte Verwendung
Computer Engineering (M. Sc.)	1	6	SoSe 2025	SoSe 2025
Computer Science (Informatik) (M. Sc.)	1	6	SoSe 2025	SoSe 2025
Elektrotechnik (M. Sc.)	1	3	SoSe 2025	SoSe 2025

Sonstiges

Keine Angabe