Umsetzung von Injection-Angriffen für eine online IT-Sicherheits-Lernplattform

Jan Heinemann

Kurzfassung

Die Anzahl der böswilligen Angriffe auf Unternehmen sowie die Kosten eines solchen Angriffes sind ansteigend. Durch die Schulung der Mitarbeiter eines Unternehmens können die Kosten, welche durch Schäden bei einem Angriff entstehen, gesenkt werden. Ein Ansatz zur Schulung der Mitarbeiter sind kompakte Kurse, welche den Benutzern Themen, welche für die IT-Sicherheit relevant sind, kurz und interaktiv nahelegen. Im Rahmen des Projektes „hacking4“ werden Kurse zur Schulung der Mitarbeiter über verschiedene Themen der IT- Sicherheit auf einer Plattform angeboten. Ein Großteil des Kurses sollen die Benutzer sich dabei selber in den Angreifer sowie den Verteidiger hineinversetzen. Dafür werden Anwendungen zur Verfügung gestellt, welche absichtlich angreifbar sind. Die Benutzer bekommen sowohl für den Angriff als auch die Verteidigung Tipps sowie Feedback, wie weit er bereits fortgeschritten ist.

Schlagwörter: Communication system security, Computer security, Learning systems, Programming

Abstract

The number of malicious attacks targeting companies, as well as the associated costs, are going up. Training the employees of a company can lower the costs associated with an attack. One training approach are short and compact courses that introduce fundamental topics to the user in order to bolster IT-security. The goal of the project called “hacking4“ is to offer such courses with various different IT-security topics to the employees of companies. There is a big emphasis on putting the users into the shoes of a potential attacker as well as an administrator trying to keep the attackers out. To achieve this the platform offers environments that are purposefully built to be vulnerable. The user will get tips and feedback for the attack as well as the defense.

Keywords: Communication system security, Computer security, Learning systems, Programming