Penetration Testing

Ankündigung

Die Vorlesung findet im SS19 immer freitags um 14:15 Uhr im statt – nicht um 17:45 Uhr!

14:15 – 15:45 Vorlesung in D14/1.11

15:45 – 19.00 Uhr Praktikum in D14/1.11 (ab 03. Mai 2019)

Lehrinhalt

In der Lehrveranstaltung „Penetration Testing“ werden die Studenten mit der Durchführung eines Penetrationstests für ein fiktives Unternehmen beauftragt. Bei der Sicherheitsanalyse von den IT-Systemen wenden sie dieselben technischen Verfahren wie ein bösartiger Angreifer an:

Die Dubius Payment Ltd. ist ein vor kurzem gegründeter Zahlungsdienstleister. Da sie Kreditkarteninformationen in ihren Systemen verarbeiten, unterliegen sie somit dem Sicherheitsstandard der Kreditkartenindustrie, dem PCI DSS (Payment Card Industry Data Security Standard). Für eine PCI Zertifizierung sind sie dazu verpflichtet jährlich oder nach jeder signifikanten Änderung einen Penetrationstest ihrer IT-Systeme zu veranlassen. Hierfür haben sie den Studenten als ihren Penetrationstester auserkoren.

Anschließend werden die identifizierten Schwachstellen der Zielsysteme von den Studenten nach ihrem Risiko priorisiert und in einem strukturierten Bericht für den Auftraggeber festgehalten.

Nähere Informationen zur Lehrveranstaltung können Sie aus der Modulbeschreibung entnehmen.

Agenda (Materialien in verschlüsselter Form)

05.04.2019 Organisation

12.04.2019 Klassifikation

26.04.2019 Standards und Vorgehensweise

03.05.2019 Hacking I

10.05.2019 Hacking_II

17.05.2019 Hacking_III + Hacking_IV und anschließend ein Hackingmarathon (Open End)

24.05.2019 Risikobewertung von identifizierten Schwachstellen

31.05.2019 Aufbau Dokumentation und Berichterstellung

07.06.2019 Exploit Development

14.06.2019 Reverse Engineering (Gastvorlesung von Niklas Bessler)

21.06.2019 Klausurvorbereitung und Berichtabgabe bis 23:59 Uhr

28.06.2019 Social Engineering (Gastvorlesung von Protiviti GmbH) und Feedbackrunde zu Berichten

05.07.2019 Klausur

Auswertungsbericht der Lehrveranstaltungsevaluation

Tool-Liste (Praktikum):

  • nmap
  • dig
  • netcat
  • ssh
  • proxychains
  • wpscan
  • sqlmap
  • Burp Suite (Community Edition)
  • dirb
  • hydra
  • hashcat
  • nikto
  • gcc
  • msfvenom
  • objdump
  • smbclient
  • ftp

Bewertungsmaßstab für den abschließenden Bericht (50% der Gesamtnote)