UnivIS
Informationssystem der Friedrich-Alexander-Universität Erlangen-Nürnberg © Config eG 

Angewandte Software-Sicherheit und Penetrations-Tests (PenTest)

Dozentinnen/Dozenten
Prof. Dr.-Ing. Felix Freiling, Dr. Sebastian Schinzel

Angaben
Vorlesung
2 SWS, Sprache Deutsch
Zeit und Ort: jede 2. Woche Mo 16:00 - 17:30, 0.68 (außer Mo 21.1.2013, Di 22.1.2013); jede 2. Woche Di 9:00 - 10:30, Raum n.V.; Einzeltermine am 14.1.2013 16:00 - 17:30, Raum n.V.; 15.1.2013 9:00 - 10:30, Raum n.V.
bis zum 15.1.2013

Studienfächer / Studienrichtungen
WPF INF-BA-V-SEC ab 3 (ECTS-Credits: 2,5)
WF INF-MA ab 1 (ECTS-Credits: 2,5)

Voraussetzungen / Organisatorisches
Vorausgesetzt werden grundlegende Kenntnisse der IT-Sicherheit, Interesse an der defensiven Seite der IT-Sicherheit und gute Programmierkenntnisse.
WICHTIG: die Vorlesung am Dienstag morgen (9:00-10:30) findet im Seminarraum im 12. Stock des Hochhauses statt (Lehrstuhl i1).

Inhalt
Die Vorlesung betrachtet IT-Sicherheit aus der Sicht der Softwareentwicklung. Der Fokus liegt auf den Konzepten und Methoden zur Erstellung sicherer Softwareanwendungen in allen Phasen der Softwareentwicklung. Sie baut auf der einführenden Vorlesung "Angewandte IT-Sicherheit" auf und ergänzt das "Hackerpraktikum", das IT-Sicherheit aus der Angreifer-Sicht betrachtet.
Themen sind unter anderem: Threat Modeling, sicheres Software-Design, sichere Softwareimplementierung, methodische Sicherheits-Tests, sicherer Betrieb

Empfohlene Literatur
Auszug

  • Michael Howard, David LeBlanc and John Viega, 19 Deadly Sins of Software Security

  • Pratyusa K. Manadhata, Jeannette M. Wing, Mark A. Flynn, and Miles A. McQueen, Measuring the Attack Surfaces of Two FTP Daemons, http://www.cs.cmu.edu/~pratyus/qop.pdf

  • Bruce Schneier, Attack Trees, http://www.schneier.com/paper-attacktrees-ddj-ft.html

  • Source code scanner PMD http://pmd.sourceforge.net/pmd-5.0.0/ and Findbugs http://findbugs.sourceforge.net/

  • Daniel J. Bernstein, Some thoughts on security after ten years of qmail 1.0

  • strlcpy and strlcat— Consistent, Safe, String Copy and Concatenation, http://static.usenix.org/event/usenix99/full_papers/millert/millert.pdf

  • bound checking memory and string functions per ISO/IEC TR24731, http://safeclib.sourceforge.net/

  • Ross Anderson, Why Cryptosystems Fail

David Brumley and Dan Boneh: Remote timing attacks are practical

Zusätzliche Informationen
Erwartete Teilnehmerzahl: 30, Maximale Teilnehmerzahl: 30

Verwendung in folgenden UnivIS-Modulen
Startsemester WS 2012/2013:
Angewandte Software-Sicherheit und Penetrations-Tests (PenTest)

Institution: Lehrstuhl für Informatik 1 (IT-Sicherheitsinfrastrukturen)
UnivIS ist ein Produkt der Config eG, Buckenhof