Moses - Software-Sicherheits Praktikum

Zur Modulseite PDF generieren

Modul / Version
#41240 / #3

Gültigkeit
Seit SoSe 2026

Verfügbare Sprache(n)
Deutsch, Englisch

Titel des Moduls
Software Security Lab
Software-Sicherheits Praktikum

Leistungspunkte
6

Modulverantwortliche*r
Seifert, Jean-Pierre

Benotung
Benotet

Prüfungsform
Portfolioprüfung

Lehrsprache(n)
Englisch

Zugehörigkeit

Fakultät
Fakultät IV

Institut
Institut für Softwaretechnik und Theoretische Informatik

Fachgebiet
34355100 FG S-Professur Security in Telecommunications (SecT)

Prüfungsausschuss
Keine Angabe

Kontakt

Sekretariat
E 5

Ansprechpartner*in
Beier, Julian

E-Mail-Adresse
lehre@sect.tu-berlin.de

Webseite

https://tu.berlin/sect

Lernergebnisse

1. Verständnis von Analysen von Binärprogrammen 2. Verstehen von Schwachstellen in speicherunsicheren Sprachen 3. Praktische Erfahrung im Ausnutzen dieser Schwachstellen 4. Verständnis von Verteidigungsmechanismen gegen die in der Vorlesung skizzierten Angriffe 5. Eine fundierte Bewertung der Sicherheit in Software

Lehrinhalte

Das Software Security Lab bietet Studenten die Möglichkeit, die Sicherheit von Linux-Programmen zu analysieren. Es behandelt Angriffe und die Mechanismen, die zur Verhinderung dieser Angriffe eingesetzt werden. In diesem Labor werden zunächst ältere Angriffe gelehrt, um dann zu moderneren Angriffen und Verteidigungsmaßnahmen überzugehen. Dieser Kurs konzentriert sich auf praktisch relevante Details und praktische Erfahrungen, anstatt tiefgehende theoretische Informationen zu vermitteln. Die Teilnehmer müssen mehrere Aufgaben lösen, bei denen ein Programm analysiert und dann angegriffen werden muss. Zu den behandelten Themen gehören: * x86-Assembler * Reverse Engineering * Standard-Verteidigungsmechanismen gegen Buffer Overflows * Return-/Jump-orientierte Programmierung, SigROP * Formatstring-Angriffe * RelRO * Ausnutzung von Dateistrukturen * Ausnutzung von Heap-Strukturen und Allokatoren * Use-after-free * Pointer-Mangling * Angriffe auf die verschiedenen speicher des libc Allokators * TCache-Angriffe

Modulbestandteile

Compulsory area

Die folgenden Veranstaltungen sind für das Modul obligatorisch:

Lehrveranstaltungen	Art	Nummer	Turnus	Sprache	SWS	ISIS	VVZ
Software Security	PR		SoSe	en	4

ISIS-Kurssuche nach Veranstaltungen des Moduls

Arbeitsaufwand und Leistungspunkte

Software Security (PR):

Aufwandbeschreibung	Multiplikator	Stunden	Gesamt
Hausaufgaben	14.0	10.0h	140.0h
Präsenzzeit	10.0	2.0h	20.0h
Vor- und Nachbearbeitung	10.0	2.0h	20.0h
			180.0h(~6 LP)

Der Aufwand des Moduls summiert sich zu 180.0 Stunden. Damit umfasst das Modul 6 Leistungspunkte.

Beschreibung der Lehr- und Lernformen

Dieses Modul ist ein praktischer Kurs.

Voraussetzungen für die Teilnahme / Prüfung

Wünschenswerte Voraussetzungen für die Teilnahme an den Lehrveranstaltungen:

Wünschenswerte Voraussetzungen für die Teilnahme an den Kursen: Voraussetzungen: - Vertrautheit mit den Primitiven des Unix/Linux-Betriebssystems (z. B. Verwendung einer Kommandozeile) Empfohlene Zusatzkenntnisse: * Grundlegende Linux-Kenntnisse * C-Programmierkenntnisse * SysProg/Rorg Um die Aufgaben zu bearbeiten, benötigt jeder Teilnehmer mindestens einen Computer mit Administratorrechten (d.h. es reicht nicht aus, sich bei Universitätsrechnern anmelden zu können), auf dem vorzugsweise Linux läuft. Es ist möglich, die Aufgaben auch unter Windows oder MacOS zu bearbeiten, aber das Lehrpersonal kann keine Anleitung zu diesen Betriebssystemen geben.

Verpflichtende Voraussetzungen für die Modulprüfungsanmeldung:

Dieses Modul hat keine Prüfungsvoraussetzungen.

Abschluss des Moduls

Benotung

Benotet

Prüfungsform

Portfolioprüfung

Art der Portfolioprüfung

100 Punkte pro Element

Sprache(n)

Deutsch, Englisch

Prüfungselemente

Name	Gewicht	Kategorie	Dauer/Umfang
(Deliverable assessment) Reverse Engineering	1	praktisch	1 Woche
(Deliverable assessment) Sicherheitslücken ausnutzen	1	praktisch	1 Woche
(Deliverable assessment) ROP Angriff	1	praktisch	1 Woche
(Deliverable assessment) Printf Angriff	1	praktisch	1 Woche
(Deliverable assessment) Angriff auf File Struktur	2	praktisch	2 Wochen
(Deliverable assessment) Angriff auf den unsorted bin	2	praktisch	2 Wochen
(Deliverable assessment) Angriff auf den Fast bin	2	praktisch	2 Wochen
(Deliverable assessment) Angriff auf TCache 1	2	praktisch	2 Wochen
(Deliverable assessment) Angriff auf TCache 2	2	praktisch	2 Wochen

Notenschlüssel

Notenschlüssel »Notenschlüssel 2: Fak IV (2)«

Gesamtpunktzahl	1.0	1.3	1.7	2.0	2.3	2.7	3.0	3.3	3.7	4.0
100.0pt	95.0pt	90.0pt	85.0pt	80.0pt	75.0pt	70.0pt	65.0pt	60.0pt	55.0pt	50.0pt

Prüfungsbeschreibung (Abschluss des Moduls)

Praktischer Kurs: 9 Hausaufgaben. Alle Hausaufgaben werden uniform bewertet.

Dauer des Moduls

Für Belegung und Abschluss des Moduls ist folgende Semesteranzahl veranschlagt:
1 Semester.

Dieses Modul kann in folgenden Semestern begonnen werden:
Sommersemester.

Maximale teilnehmende Personen

Die maximale Teilnehmerzahl beträgt 50.

Anmeldeformalitäten

Falls es zu viele Bewerbungen gibt, wird ein Anmeldeverfahren gemäß AllgStuPO durchgeführt. Details dazu werden ggf über ISIS und die regelmäßigen Treffen bekannt gegeben.

Literaturhinweise, Skripte

Skript in Papierform

Verfügbarkeit: nicht verfügbar

Skript in elektronischer Form

Verfügbarkeit: nicht verfügbar

Literatur

Empfohlene Literatur
Keine empfohlene Literatur angegeben

Zugeordnete Studiengänge

Semester:

Zeige auch ausgelaufene Studiengänge und StuPOs

Diese Modulversion wird in folgenden Studiengängen verwendet:

Studiengang / StuPO	StuPOs	Verwendungen	Erste Verwendung	Letzte Verwendung
Computer Engineering (M. Sc.)	1	6	SoSe 2026	SoSe 2026
Computer Science (Informatik) (M. Sc.)	1	6	SoSe 2026	SoSe 2026
Elektrotechnik (M. Sc.)	1	3	SoSe 2026	SoSe 2026
Information Systems Management (Wirtschaftsinformatik) (M. Sc.)	1	2	SoSe 2026	SoSe 2026

Sonstiges

Keine Angabe