Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- modul:m183:learningunits:lu02:05 [2025/09/18 10:30] – [2. Notenrelevante Teile] vdemir
+++ modul:m183:learningunits:lu02:05 [2025/10/19 09:46] (aktuell) – [5. Lieferumfang] vdemir
@@ Zeile 1: / Zeile 1: @@
-====== LU02e - LB2 - Inhalt ======
+====== LU02e - LB2 - Projektauftrag ======
-===== 1. Ablauf =====
+===== 1. Projektauftrag =====
+Ihr Auftrag besteht darin eine vulnerable Applikation zu programmieren und diese anschliessend mit geeigneten pogrammiertechnischen Massnahmen zu schützen.
+==== Teil 1====
+Programmieren Sie eine Applikation, die mit den nachfolgenden Techniken angreifbar ist (vulnerable). Der Angriffsvektor kann entweder über eine Front-End-Schnittstelle oder über ein Backend-Script/File erfolgen.
+**Teil 2**
+Programmieren Sie die gleiche Applikation als sichere Version (secured), in der Sie die definierten Sicherheitsmassnahmen programmiertechnisch umsetzen.
+===== 2. Metaziele =====
+Die Arbeit ist, gmäss Unterrichts-Input, bezüglich der CIA-Triad auszurichten. Idealerweise können Sie gegen alle 3 Meta-Ziele (Verfügbarkeit, Vertraulichkeit, Integrität) angreifen.
+Selbstverständlich erstellen Sie die Sicherheitsmassnahmen so aus, dass diese Angriffe im 2. Teilauftrag nicht mehr möglich sind.
+===== 3. Ablauf =====
   * Es werden zufällig Teams zu je 2 Personen gebildet
   * Die Lehrersperson kommuniziert:
-    - den Auftrag und den Umfang (Was ist zu liefern)
+    * den Auftrag und den Umfang (Was ist zu liefern)
-    - die Themen
+    * die Themen
-    - die Zuteilung der Team zu den Themen
+    * die Zuteilung der Team zu den Themen
   * Die Arbeitsaufteilung muss klar ersichtlich sein: Sie arbeiten am gleichen Projekt, jedoch an unterschiedlichen Teilen: Angriff VS. Verteidigung
   * Die Leistungsüberprüfung geschieht durch ein Video-aufgezeichnetes Fachgespräch.
   * Jedes Mitglied kann Auskunft über alle Codeteile geben, d.h. Wissenstransfer liegt in der Verantwortung der Lernenden
   * Bewertet wird nach einem vorher definierten Bewertungsraster
-  * Je 2 Teams erhalten den gleichen Auftrag, das Team mit der besten Leistung erhält einen Bonus von 0.25 Notenpunkten
+  * Je 2 Teams erhalten den gleichen Auftrag, das Team mit der besten Leistung erhält einen Bonus von 0.25 Notenpunkte
+===== 4. Themen =====
-===== 3. Themen =====
 Die nachfolgenden Themen stehen zur Verfügung:
@@ Zeile 20: / Zeile 35: @@
   - SQLi
   - BruteForce
-  - DDoS
-===== 4. Vorgehensvorschläge =====
-==== 3.1 SQLi =====
-**Vorarbeiten**
-  * Sie wählen ein Themenschwerpunkt passend zur Aufgabenstellung (Adressdatenbank, Kundendatenbank, ....)
-  * Sie erstellen mindestens 10 UseCases fachlich korrekt und passend zum gewählten Schwerpunkt
-  * Basierend auf den UseCases erstellen Sie ein ERD in der Krähnenfuss-Notation, welche die UsesCases abdeckt
-  * Sie setzten das ERD in einer Datenbank wie beispielweise MySQL um
-  * Sie füllen die Tabellen mit einer represantivive Menge an Daten
-==== 3.2 BruteForce =====
-==== 3.3 DDoS =====
-=====
-===== E. Digitale Zertifikate =====
+==== 5. Lieferumfang =====
+    * 1. Präsentionsschicht: Frontend oder Simulation
+      * Script für den Angriff
+      * Kann auch mit Postman o.ä. simuliert werden
+    * 2. Logikschicht: Businesslokig/Server
+      * Script mit der unsicheren Variante
+      * Script mit der sicheren Variante (ungesetzte Sicherheitsmassnahmen)
+    * 3. Datenschicht: Persistente Datenhaltung
+      * Datenbank-Instanz
+      * Wörderbücher
+      * etc
+===== 6. Erlaubte Technologien =====
+Die nachfolgenden Technologien stehen Ihnen zur Verfügung.
+  * HTML-CSS
+  * Programmiersprachen:
+    * JavaScript
+    * Python
+    * Shell/BASH
+  * Node.js Laufzeitumgebung (Analog andere  Programmiersprachen)
+  * CodeEditor Visual Studio Code, Webstorm oder Pycharm
+  * Postman Frontend-Simulation
 ----
 [[https://creativecommons.org/licenses/by-nc-sa/4.0/|{{https://i.creativecommons.org/l/by-nc-sa/4.0/88x31.png}}]] Volkan Demir