htw saar QR-encoded URL
Zurück zur Hauptseite Version des Moduls auswählen:
Lernziele hervorheben XML-Code

Sichere Webserver

Modulbezeichnung:
Bezeichnung des Moduls innerhalb des Studiengangs. Sie soll eine präzise und verständliche Überschrift des Modulinhalts darstellen.
Sichere Webserver
Studiengang:
Studiengang mit Beginn der Gültigkeit der betreffenden ASPO-Anlage/Studienordnung des Studiengangs, in dem dieses Modul zum Studienprogramm gehört (=Start der ersten Erstsemester-Kohorte, die nach dieser Ordnung studiert).
Wirtschaftsinformatik, Bachelor, ASPO 01.10.2021
Code: DBWINFO-240
SAP-Submodul-Nr.:
Die Prüfungsverwaltung mittels SAP-SLCM vergibt für jede Prüfungsart in einem Modul eine SAP-Submodul-Nr (= P-Nummer). Gleiche Module in unterschiedlichen Studiengängen haben bei gleicher Prüfungsart die gleiche SAP-Submodul-Nr..
P730-0013
SWS/Lehrform:
Die Anzahl der Semesterwochenstunden (SWS) wird als Zusammensetzung von Vorlesungsstunden (V), Übungsstunden (U), Praktikumsstunden (P) oder Projektarbeitsstunden (PA) angegeben. Beispielsweise besteht eine Veranstaltung der Form 2V+2U aus 2 Vorlesungsstunden und 2 Übungsstunden pro Woche.
-
ECTS-Punkte:
Die Anzahl der Punkte nach ECTS (Leistungspunkte, Kreditpunkte), die dem Studierenden bei erfolgreicher Ableistung des Moduls gutgeschrieben werden. Die ECTS-Punkte entscheiden über die Gewichtung des Fachs bei der Berechnung der Durchschnittsnote im Abschlusszeugnis. Jedem ECTS-Punkt entsprechen 30 studentische Arbeitsstunden (Anwesenheit, Vor- und Nachbereitung, Prüfungsvorbereitung, ggfs. Zeit zur Bearbeitung eines Projekts), verteilt über die gesamte Zeit des Semesters (26 Wochen).
5
Studienjahr: 2
Pflichtfach: ja
Arbeitssprache:
Deutsch
Prüfungsart:
Klausur (120 Minuten, davon je 60 Minuten für Linux und für Webprotokolle und Websicherheit)
Pro Bearbeitungsminute ist ein Punkt zu vergeben.

[letzte Änderung 06.10.2021]
Verwendbarkeit / Zuordnung zum Curriculum:
Alle Studienprogramme, die das Modul enthalten mit Jahresangabe der entsprechenden Studienordnung / ASPO-Anlage.

DBWINFO-240 (P730-0013) Wirtschaftsinformatik, Bachelor, ASPO 01.10.2021 , 2. Studienjahr, Pflichtfach
Arbeitsaufwand:
Der Arbeitsaufwand des Studierenden, der für das erfolgreiche Absolvieren eines Moduls notwendig ist, ergibt sich aus den ECTS-Punkten. Jeder ECTS-Punkt steht in der Regel für 30 Arbeitsstunden. Die Arbeitsstunden umfassen Präsenzzeit (in den Vorlesungswochen), Vor- und Nachbereitung der Vorlesung, ggfs. Abfassung einer Projektarbeit und die Vorbereitung auf die Prüfung.

Die ECTS beziehen sich auf die gesamte formale Semesterdauer (01.04.-30.09. im Sommersemester, 01.10.-31.03. im Wintersemester).
Der Gesamtaufwand des Moduls beträgt 150 Arbeitsstunden.
Empfohlene Voraussetzungen (Module):
Keine.
Als Vorkenntnis empfohlen für Module:
Modulverantwortung:
Prof. Dr. Dieter Hofbauer
Dozent/innen: Prof. Dr. Dieter Hofbauer

[letzte Änderung 01.09.2021]
Lernziele:
Linux:
 
Die Studierenden haben die Grundvoraussetzungen für die Arbeit mit Linux-basierten Systemen
erworben. Sie kennen das Potential des Betriebssystems GNU/Linux und können Einsatzfelder und
Anwendungsbereiche aufzeigen. Sie sind in der Lage, eine Linux-Installation vorzubereiten und
durchzuführen und sie können grundlegende administrative Aufgaben übernehmen, insbesondere
die Administration von Benutzern und Benutzergruppen sowie die Administration von Ressourcen,
Festplatten und sonstigen Hardwarekomponenten. Die Studierenden bewegen sich sicher im Linux-Dateisystem und sind in der Lage, typische Softwareinstallationen durchzuführen. Sie sind mit der
Arbeitsweise und Konfiguration einer Shell vertraut, und sie kennen eine Vielzahl grundlegender
Kommandos und Werkzeuge, die sie effektiv anwenden und zur Bewältigung komplexerer Aufgaben auch geeignet verknüpfen können. Auch sind sie in der Lage, grundlegende Shell-Skripte zu
erstellen. Die Studierenden können einen Linux-Rechner in ein bestehendes TCP/IP-Netzwerk aufnehmen. Die erworbenen Fähigkeiten sind unabhängig von einer bestimmten Distribution.
 
Webprotokolle und Websicherheit:
 
Die Studierenden sind mit dem Einsatz des Apache Webservers unter Linux vertraut. Sie kennen
die Funktionsweise des aktuellen HTTP-Protokolls und dessen Zusammenspiel mit Proxy-Servern.
Sie können die Vor- und Nachteile des HTTP-Protokolls in den unterschiedlichen Versionen
erklären und die Authentifizierungsmöglichkeiten innerhalb des Protokolls aufzeigen. Die
Studierenden beherrschen die Einbindung von CGI-Programmen, die Einbindung virtueller Hosts
(IP-basiert, namensbasiert) und die Verwendung und Auswertung von Logdateien. Sie kennen das
SSL-Protokoll und dessen Einsatz bei einem Secure Web Server, und sie sind in der Lage,
Zertifikate zu beantragen und zu erstellen sowie den Ablauf einer gesicherten Kommunikation via
HTTPS zu erklären. Die Studierenden kennen aktuelle Angriffsszenarien, die die Sicherheit eines
Webservers gefährden können, sowie entsprechende Abwehrmaßnahmen.

[letzte Änderung 06.10.2021]
Inhalt:
Linux:
 
1. Einführung: Entstehungsgeschichte; Installation; Struktur
2. Erste Schritte: Anmeldung; Kommandozeile (Shell); Hilfe
3. Benutzerverwaltung
  3.1. Systemverwalter
  3.2. Benutzerkonto; Benutzerumgebung; Benutzerkommunikation
 
4. Dateisystem
  4.1. Partitionen
  4.2. Dateisystemtypen
 
5. Verzeichnisstruktur 41
  5.1. Inhalt des Wurzelverzeichnisses
  5.2. Adressierung von Dateien und Verzeichnissen
 
6. Dateiverwaltung
  6.1. Dateitypen
  6.2. Zugriffsberechtigungen
 
7. Kommandoverarbeitung
  7.1. Kommandoarten
  7.2. Verknüpfen von Kommandos
  7.3. Bedingte Ausführung von Kommandos
  7.4. Kommandosubstitution
  7.5. Umlenkung der Ein- und Ausgabe
 
8. Prozessverarbeitung
  8.1. Der Init-Prozess
  8.2. Vorder- und Hintergrundprozesse
  8.3. Prozessüberwachung; Prozesse ansprechen und beenden
 
9. Shellprogrammierung
  9.1. Genereller Aufbau
  9.2. Bedingte Ausführung; for- und while-Schleifen
 
Webprotokolle und Websicherheit:
 
1. Historische Entwicklung; Internet; World Wide Web
2. Hypertext Transfer Protocol (HTTP): Ablauf HTTP-Verbindung; Cookies; Proxy Server
3. Authentifizierung: Basic Authentication; Digest Authentication
4. Kontrolle von Server: Verzeichnisse und Dateien schützen; Verzeichnisoptionen
5. Einführung in die Kryptologie: Ausgewählte Verschlüsselungsverfahren
6. Secure Web Server
  6.1. Problembeschreibung
  6.2. Secure Socket Layer
  6.3. Zertifikate
  6.4. Fehler beim Aufbau einer HTTPS-Verbindung
 
7. Common Gateway Interface (CGI)
8. Log-Dateien
9. Webserver-Sicherheit
  9.1. Problembeschreibung
  9.2. Angriffsszenarien
  9.3. Abwehrmaßnahmen
  9.4. Web Application Firewall
 
10. Integrierte Projektarbeit
  10.1. Webserver: Server-Reaktionen kontrollieren; Umsetzung auf eigenem Webserver;
        Verhalten beobachten
  10.2. Secure Webserver: Pro Kleingruppe übernimmt ein Teilnehmer die Rolle einer CA
        (Certificate Authority); die anderen Teilnehmer erstellen einen CSR (Certificate Signing Request) für ihre
        Webserver und übergeben diese an die CA zur Zertifikatserstellung; CA unterschreibt CSR und gibt das Zertifikat
        zurück, das die anderen Gruppenmitglieder in ihren Webserver einbinden und testen.
  10.3. Angriffe auf Webserver: Sicherheitslücken mit Hilfe des WebGoat-Projekts finden und ausnutzen

[letzte Änderung 06.10.2021]
Weitere Lehrmethoden und Medien:
Vorlesung mit integrierten praktischen Übungen.

[letzte Änderung 06.10.2021]
Literatur:
Linux:
 
• Kofler, Michael: Linux – Das umfassende Handbuch; Rheinwerk Computing; Bonn
• Kofler, Michael: Linux Kommandoreferenz – Shell-Befehle von A bis Z; Rheinwerk Computing; Bonn
• Ward, Brian: How Linux works – What every superuser should know; No Starch Press; San Francisco
• Maaßen, Harald: LPIC-1 – Sicher zur erfolgreichen Linux-Zertifizierung; Rheinwerk Computing; Bonn
• Wolf, Jürgen/Wolf, Klaus-Jürgen: Linux-Unix-Programmierung – Das umfassende Handbuch; Rheinwerk Computing; Bonn
 
Webprotokolle und Websicherheit:
 
• Eckert, Claudia: IT-Sicherheit – Konzepte, Verfahren, Protokolle; De Gruyter Oldenbourg; Berlin/Boston
• Eilers, Carsten: You’ve been hacked! Alles über Exploits gegen Webanwendungen; Rheinwerk Computing; Bonn
• Rohr, Matthias: Sicherheit von Webanwendungen in der Praxis; Springer Vieweg; Wiesbaden
• Schäfers, Tim Philipp: Hacking im Web; Franzis; Haar bei München
• Ziegler, Manuel: Web Hacking – Sicherheitslücken in Webanwendungen; Carl Hanser; München

[letzte Änderung 06.10.2021]
[Sat Jan  4 23:47:51 CET 2025, CKEY=asw, BKEY=aswwinf, CID=DBWINFO-240, LANGUAGE=de, DATE=04.01.2025]