Secure Coding wird in den Kalenderwochen 31 und 32 statt finden, also die ersten beiden Wochen im August. Diese Veranstaltung war vom Konzept ohnehin schon immer eine reine Online-Veranstaltung ohne jede Präsens, d.h. es gibt auch keine typische Klausur sondern ich bewerte die praktische Arbeit.
Es gibt drei Aufgaben:
(1) Ihr müsst eine sehr kleine REST-API schreiben.
(2) Ihr müsst eure eigene API auf die OWASP Top 10 prüfen und eine sehr kurze schriftliche Ausarbeitung dazu verfassen.
(3) Ihr erhaltet Zugang zu einer verwundbaren REST-API (GIT über OpenVPN) und müsst die existierenden Schwachstellen identifizieren und beheben. Dabei könnt ihr als Programmiersprache auswählen zwischen PHP, Java, Python, Perl, Go, Ruby und Node.js. Hierzu nutze ich als technische Ressource den „Secure Coding“-Kurs auf binsec-academy.com. Alle Accounts werden von mir dort später selbst angelegt und die binsec academy GmbH stellt die technischen Ressourcen natürlich kostenlos zur Verfügung – ich bin an der Unternehmensgruppe beteiligt.
Es zeigt sich immer wieder, dass sich Teilnehmer mit geringen oder schlechten Programmier-Kenntnissen sehr schwer tun. Wer also mit Programmierung auf Kriegsfuß steht, sollte von diesem Modul besser absehen oder eine steile Lernkurve einplanen! Ich gebe keine allgemeine Programmierhilfe.
Die Aufgaben 1 und 2 werde ich noch im Juli veröffentlichen, sodass daran vorher gearbeitet werden kann. Zur finalen Notenbewertung ziehe ich primär die Anzahl der gefundenen und geschlossenen Schwachstellen im Code aus der 3. Aufgabe heran.
Ich lege stets eine gewisse Hürde auf, um zugelassen zu werden: Ihr müsst mir ein Code-Snippet von einer der oben genannten Programmiersprachen zusenden (per E-Mail an patrick.sauer@mnd.thm.de), welche eine der OWASP Top 10 Schwachstellen enthält und einen korrekten Vorschlag zur Behebung geben. Das ganze bitte zwingend aes-verschlüsselt über OpenSSL mit dem Passwort 123456:
tar cz secure-coding-abgabe-zulassung/ | openssl aes-256-cbc -pbkdf2 -e > vorname.nachname.matrikelnummer.secure-coding-abgabe-zulassung.tar.gz.enc
zum Testen der Entschlüsselung: cat vorname.nachname.matrikelnummer.secure-coding-abgabe-zulassung.tar.gz.enc | openssl aes-256-cbc -pbkdf2 -d | tar xzv
In der Regel gibt es genug Plätze, ansonsten gilt first come, first serve.
