{"id":3434,"date":"2022-06-20T11:50:08","date_gmt":"2022-06-20T09:50:08","guid":{"rendered":"https:\/\/security.sauer.ninja\/?p=3434"},"modified":"2022-06-20T13:09:17","modified_gmt":"2022-06-20T11:09:17","slug":"veranstaltung-an-der-thm-secure-coding-ss2022-termine-belegung-und-ablauf","status":"publish","type":"post","link":"https:\/\/security.sauer.ninja\/de\/vorlesung\/thm\/veranstaltung-an-der-thm-secure-coding-ss2022-termine-belegung-und-ablauf\/","title":{"rendered":"Veranstaltung an der THM: Secure Coding – SS2022 – Termine, Belegung und Ablauf"},"content":{"rendered":"\n

Secure Coding wird in den Kalenderwochen  31 und 32 statt finden, also die ersten beiden Wochen im August. Diese Veranstaltung war vom Konzept ohnehin schon immer eine reine Online-Veranstaltung ohne jede Pr\u00e4sens, d.h. es gibt auch keine typische Klausur sondern ich bewerte die praktische Arbeit.<\/p>\n\n\n\n

Es gibt drei Aufgaben:<\/p>\n\n\n\n

(1) Ihr m\u00fcsst eine sehr kleine REST-API schreiben.<\/p>\n\n\n\n

(2) Ihr m\u00fcsst eure eigene API auf die OWASP Top 10 pr\u00fcfen und eine sehr kurze schriftliche Ausarbeitung dazu verfassen.<\/p>\n\n\n\n

(3) Ihr erhaltet Zugang zu einer verwundbaren REST-API (GIT \u00fcber OpenVPN) und m\u00fcsst die existierenden Schwachstellen identifizieren und beheben. Dabei k\u00f6nnt ihr als Programmiersprache ausw\u00e4hlen zwischen PHP, Java, Python, Perl, Go, Ruby und Node.js. Hierzu nutze ich als technische Ressource den „Secure Coding“-Kurs auf binsec-academy.com. Alle Accounts werden von mir dort sp\u00e4ter selbst angelegt und die binsec academy GmbH stellt die technischen Ressourcen nat\u00fcrlich kostenlos zur Verf\u00fcgung – ich bin an der Unternehmensgruppe beteiligt.<\/p>\n\n\n\n

Es zeigt sich immer wieder, dass sich Teilnehmer mit geringen oder schlechten Programmier-Kenntnissen sehr schwer tun. Wer also mit Programmierung auf Kriegsfu\u00df steht, sollte von diesem Modul besser absehen oder eine steile Lernkurve einplanen! Ich gebe keine allgemeine Programmierhilfe.<\/p>\n\n\n\n

Die Aufgaben 1 und 2 werde ich noch im Juli ver\u00f6ffentlichen, sodass daran vorher gearbeitet werden kann. Zur finalen Notenbewertung ziehe ich prim\u00e4r die Anzahl der gefundenen und geschlossenen Schwachstellen im Code aus der 3. Aufgabe heran.<\/p>\n\n\n\n

Ich lege stets eine gewisse H\u00fcrde auf, um zugelassen zu werden: Ihr m\u00fcsst mir ein Code-Snippet von einer der oben genannten Programmiersprachen zusenden (per E-Mail an patrick.sauer@mnd.thm.de), welche eine der OWASP Top 10 Schwachstellen enth\u00e4lt und einen korrekten Vorschlag zur Behebung geben. Das ganze bitte zwingend aes-verschl\u00fcsselt \u00fcber OpenSSL mit dem Passwort 123456:<\/p>\n\n\n\n

tar cz secure-coding-abgabe-zulassung\/ | openssl aes-256-cbc -pbkdf2 -e > vorname.nachname.matrikelnummer.secure-coding-abgabe-zulassung.tar.gz.enc<\/p>\n\n\n\n

zum Testen der Entschl\u00fcsselung: cat vorname.nachname.matrikelnummer.secure-coding-abgabe-zulassung.tar.gz.enc | openssl aes-256-cbc -pbkdf2 -d | tar xzv<\/p>\n\n\n\n

In der Regel gibt es genug Pl\u00e4tze, ansonsten gilt first come, first serve.<\/p>\n","protected":false},"excerpt":{"rendered":"

Secure Coding wird in den Kalenderwochen  31 und 32 statt finden, also die ersten beiden Wochen im August. Diese Veranstaltung war vom Konzept ohnehin schon immer eine reine Online-Veranstaltung ohne jede Pr\u00e4sens, d.h. es gibt auch keine typische Klausur sondern ich bewerte die praktische Arbeit. Es gibt drei Aufgaben: (1) Ihr m\u00fcsst eine sehr kleine … [Read more…]<\/a><\/span><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[282],"tags":[],"class_list":{"0":"entry","1":"post","2":"publish","3":"author-psauer","4":"post-3434","6":"format-standard","7":"category-thm"},"_links":{"self":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts\/3434","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/comments?post=3434"}],"version-history":[{"count":2,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts\/3434\/revisions"}],"predecessor-version":[{"id":3436,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts\/3434\/revisions\/3436"}],"wp:attachment":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/media?parent=3434"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/categories?post=3434"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/tags?post=3434"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}