Ziel ist es, Studierende praktisch mit typischen Sicherheitslücken im Web und möglichen Angriffen über diese vertraut zu machen. Dazu können sie anhand eines vorgegebenen Angriffs Schritt für Schritt Zugriff auf die vermeintlichen Fragen der Abschlussprüfung des Kurses erlangen und letztlich sogar eigene hinzufügen. (In unserem Falle finden sich geeignete Fragen auch wirklich in der Prüfung wieder.)
Es wird nur ein Apache-Webserver mit PHP-Unterstützung (und php5-sqlite) benötigt, allerdings müssen einige Details angepasst werden:
-
Der Pfad zum
AuthUserFilein der Dateidokumente/.htaccessmuss absolut sein und entsprechend bearbeitet werden. -
Die Dateien
hall_of_fame.csvunddokumente/klausurfragen.txtund die Verzeichnisseassets/sessionsundfoodlog/imagesmüssen schreibbar sein. -
Die Passwörter in
admin/index.phpund.htpasswdsollten geändert werden (letzteres per crypt(3), bspw. durchopenssl passwd -crypt passw0rt). -
Das Muster in
foodlog/index.php(/^s0[0-9]{6}\.jpg\.js$/) matcht Matrikelnummern der HTW Berlin und müsste gegebenenfalls angepasst werden. -
Die Anleitung für die Studierenden findet sich in der Datei
Websec.md. Ändern Sie hier alle URLs mit der Domainfiw-com.f4.htw-berlin.deentsprechend Ihrer eigenen Konfiguration. Zudem muss die Email-Adresseprof-heronimus@lists.htw-berlin.deauf eine eigene Adresse geändert werden. -
Die Datei
kekse/keksdose.phpmuss von den Studierenden im Web bereitgestellt werden – hierfür muss eine Möglichkeit geschaffen und der Hinweistext entsprechend umgeschrieben werden.
Bei Fragen oder Hinweisen können Sie eine E-Mail an maximilian.beier@htw-berlin.de schicken. Bei Fehlern oder Ergänzungen legen Sie bitte ein Issue oder Pull Requests an.