Defatsch, Sven and Steinhäusl, Patrick (2018) Emil on Streroids. Bachelor thesis, HSR Hochschule für Technik Rapperswil.
FS 2018-BA-EP-Steinhäusl-Defatsch-Emil on Steroids.pdf - Supplemental Material
Download (5MB) | Preview
Abstract
Die HSR nutzt das Hacking-Lab, eine Plattform mit diversen Security
Challenges, für die praxisbezogene Ausbildung im Themengebiet der
Informationssicherheit (Modul InfSi3, Challenge Projekt und CAS Frontend
Engineering). Eine für mehrere Challenges genutzte Applikation ist der sogenannte
"Glockenshop". Dieser fiktive Webshop beinhaltet verschiedenste Sicherheitslücken,
welche in diversen Aufgaben gefunden und ausgenutzt werden müssen. Zudem sind
die Studenten angehalten, Empfehlungen für die Vermeidung der Fehler abzugeben.
Der in die Jahre gekommene Webshop wurde im Rahmen
einer Studienarbeit neu aufgebaut. Der eingesetzte Technologie Stack basiert auf
MongoDB, Express, AngularJS und Node.js, auch "MEAN" Stack genannt. Mit der
aktuellen Arbeit wurde dieses Grundgerüst überarbeitet, Fehler behoben und die
Anwenderfreundlichkeit verbessert. Des Weiteren wurden sehr viele
Sicherheitslücken in die Applikation eingebaut. Die gewählten Schwachstellen
gehören zu den aktuellsten und häufigsten (OWASP Top 10), um möglichst
realistische Szenarien darzustellen. Nebst den bekannten Angriffsvektoren
"Cross-Site Scripting (XSS)", "NoSQL Injection" oder "Remote Code Execution
(RCE)" sind auch weniger geläufige wie "Cross-Site WebSocket Hijacking (CSWSH)"
und De-Serialisierungs-Probleme implementiert worden.
Als Voraussetzung galt die Auslieferung der Anwendung als fertiges
Docker Image. Dies garantiert die Lauffähigkeit auf Fremdsystemen und die
Reibungslose Integration in die bestehende Umgebung des Hacking-Lab. Mittels
Docker kann jeder Benutzer seine private Instanz der Applikation starten. Das
Ausutzen der Schwachstellen hat somit keine Seiteneffekte für andere Anwender der
Plattform. Der zweite grosse Aspekt der Arbeit war die Formulierung der Aufgabenstellungen.
Für jede Lücke musste ein realistisches Szenario ausgedacht werden, für welches
wiederum eine Aufgabenstellung inklusive Musterlösung erstellt wurde. Diese
Aufgaben gilt es im Rahmen der praktischen Übungen zu lösen.
Item Type: | Thesis (Bachelor) |
---|---|
Subjects: | Topics > Software > Refactoring Topics > Software > Optimization Topics > Security Technologies > Programming Languages > Java Script Technologies > Databases > mongoDB Technologies > Protocols > HTTP/S |
Divisions: | Bachelor of Science FHO in Informatik > Bachelor Thesis |
Depositing User: | OST Deposit User |
Contributors: | Contribution Name Email Thesis advisor Brunschwiler, Cyrill UNSPECIFIED |
Date Deposited: | 31 Jan 2019 11:50 |
Last Modified: | 31 Jan 2019 11:50 |
URI: | https://eprints.ost.ch/id/eprint/696 |