de it fr

183 Applikationssicherheit implementieren

Modul
Applikationssicherheit implementieren
Kompetenz
Applikationen sicher planen, entwickeln und in Betrieb nehmen.
Handlungsziele
1 Aktuelle Bedrohungen erkennen und erläutern können. Aktuelle Informationen zum Thema (Erkennung und Gegenmassnahmen) beschaffen und mögliche Auswirkungen aufzeigen und erklären können.
  Handlungsnotwendige Kenntnisse:
1 Kennt Informationsquellen zu aktuellen Bedrohungen.
2 Kennt Sicherheitslücken und mögliche Folgen von Angriffen.
 
2 Sicherheitslücken und ihre Ursachen in einer Applikation erkennen können. Gegenmassnahmen vorschlagen und implementieren können.
  Handlungsnotwendige Kenntnisse:
1 Kennt mögliche Ursachen von Sicherheitslücken in Applikationen.
2 Kennt ein Vorgehen zur Identifikation von Sicherheitslücken in Applikationen.
3 Kennt geeignete Gegenmassnahmen zu den verschiedenen Kategorien von Bedrohungen und wie diese implementiert werden.
 
3 Mechanismen für die Authentifizierung und Autorisierung umsetzen können.
  Handlungsnotwendige Kenntnisse:
1 Kennt Authentifizierungsmechanismen und deren Funktionsweise.
2 Kennt Verschlüsselungsmechanismen und deren Einbindung in der Applikation.
3 Kennt verschiedene Verfahren zur Zugriffssteuerung.
 
4 Sicherheitsrelevante Aspekte bei Entwurf, Implementierung und Inbetriebnahme berücksichtigen.
  Handlungsnotwendige Kenntnisse:
1 Kennt sicherheitsrelevante Aspekte beim Entwurf von Applikationen.
2 Kennt Techniken bei der Realisierung zur Vermeidung von Sicherheitslücken (z.B. Input/ Output Validierung, Defensives Programmieren, Session-Management, Error Handling).
3 Kennt ein Vorgehen für das sichere Deployment von Applikationen.
 
5 Informationen für Auditing und Logging generieren. Auswertungen und Alarme definieren und implementieren.
  Handlungsnotwendige Kenntnisse:
1 Kennt Sinn, Aufbau und Inhalt eines Logs.
2 Kennt Sinn, Aufbau und Inhalt eines Audit-Trails.
3 Kennt mögliche Formen der Alarmierung und Regeln für eine Alarmauslösung.
 
Kompetenzfeld
Application Engineering
Objekt
Web-Applikation mit Datenanbindung, Webservice
Niveau
4
Voraussetzung
Erfahrung im Entwickeln von Applikationen (Multi-User, Web, verteilte Applikationen)
Anzahl Lektionen
40
Anerkennung
Eidg. Fähigkeitszeugnis
Publiziert: 07.06.2014 17:15:41
Titel LBV Modul 183-1 - 2 Elemente - Praktische Umsetzungsarbeit, Mündliche Prüfung
Institution TBZ Technische Berufsschule Zürich
Übersicht Bekannte Sicherheitslücken und ihre Ursachen in Software-Applikationen erkennen können. Massnahmen zur Verbesserung der Sicherheit in den verschiedenen Phasen der Software-Erstellung planen und einführen. Das aktuelle Gefahrenpotential, desen die Sofware-Applikationen ausgesetzt sind, muss regelmässig neu eingeschätzt und bewertet werden können.
Ergänzung

Teil 1
Gewichtung 50%
Richtzeit (Empfehlung) 20
Element-Beschreibung Im Rahmen einer Projektarbeit soll eine bestehende Applikation einer Risikoanalyse unterzogen werden. Die erkannten Schwachstellen sollen analysiert und auf ihre Gefährlichkeit untersucht und bewertet werden. Danach sollen entsprechende Gegenmassnahmen entwickelt, implementiert und dokumentiert werden.
Die verbesserte Applikation muss nun mit geeigneten Testverfahren auf Sicherheit überprüft werden.
Die Bewertung wird mittels eines Beurteilungsraster vorgegeben. Die praktische Umsetzungsarbeit erfolgt als Gruppenarbeit.
Hilfsmittel Alle Ressourcen, die zum Projekterfolg beitragen.
Bewertung Der Beurteilungsraster orientiert sich an den fünf Handlungszielen und beschreibt die jeweiligen Indikatoren, die zur Note 4.0 führen. Ebenfalls beschrieben sind Indikatoren, die zu einer Verbesserung oder zu einem Abzug führen.
Praxisbezug B5: Qualität der Applikationen sicherstellen
B3: Applikationen unter Anwendung geeigneter Vorgehensmodelle und Einhalten der nötigen Sicherheitsanforderungen benutzergerecht entwickeln und dokumentieren
B1: Testkonzepte erstellen und Applikationen systematisch testen

Teil 2
Gewichtung 50%
Richtzeit (Empfehlung) 4
Element-Beschreibung mündliche Einzelprüfung; ein Fragenpool von 20 bis 40 Fragen wird den Lernenden ca. Mitte des Modules zur Verfügung gestellt (ohne Antworten). Die Durchführung der mündlichen Prüfung findet am Ende des Modules statt. Jeder Kandidat bekommt drei Fragen auf Papier, erhält ca. 5 Minuten Zeit, um die Antworten vorzubereiten und beantwortet die Fragen anschliessend in Form eines Fachggespräches. Zeitaufwand pro Person ca. 15 Minuten, inkl. Vorbereitung.
Es gibt eine Hauptfrage (zählt doppelt) und zwei Nebenfragen.
Hilfsmittel für die Vorbereitung: keine Einschränkung
für das Fachgespräch: nur die eigenen Notizen auf dem ausgehändigten Aufgabenblatt
Bewertung gemäss Bewertungsraster mit plus/minus-Angaben, dass bei den Fragen mit gedruckt wird, also auch dem Kandidaten zur Verfügung steht.
Ausgangsnote bei grundsätzlicher Beantwortung 4.0
Hauptfrage +/- 1.0
Nebenfrage je +0.5/-0.5
Gesamtnote mündliche Prüfung 2.0 bis 6.0
Praxisbezug B5: Qualität der Applikationen sicherstellen
B3: Applikationen unter Anwendung geeigneter Vorgehensmodelle und Einhalten der nötigen Sicherheitsanforderungen benutzergerecht entwickeln und dokumentieren
B1: Testkonzepte erstellen und Applikationen systematisch testen
Publiziert: 16.09.2016 10:28:46
Ablaufdatum: Kein Ablaufdatum
Titel LBV Modul 183-2 - 3 Elemente - Bearbeiten eines Projekts, Schriftliche Einzelprüfung / Schriftlicher Test, Praktische Umsetzungsarbeit
Institution gibb Gewerblich-Industrielle Berufsschule Bern
Übersicht Leistungsbeurteilung in drei Bereichen: Bearbeiten eines Projektes, schriftlicher Einzeltest zu konzeptionellen Aspekten, praktische Umsetzungsarbeit in der Gruppe.
Ergänzung

Teil 1
Gewichtung 40%
Richtzeit (Empfehlung) 1
Element-Beschreibung Ein vorgängig bearbeitetes und somit den Lernenden bekanntes Software-Projekt dient als Prüfungsobjekt. An diesem werden Schwachstellen identifiziert, ausgenützt und/oder behoben (Beispiel: Die Schwachstellen können im GUI benannt werden und der Lernende soll diese im Code identifizieren und beheben). Zum "Ausbalancieren" der praktischen Aufgaben kann die Lehrperson die LB optional mit einem schriftlichen Teil ergänzen. Es werden themenverwandte oder auf den Unterricht bezogene Fragen gestellt, welche nicht direkt mit dem zu bearbeitenden Projekt zusammenhängen müssen (z.B. zu Sicherheitslücken, deren Ursachen und Behebung). Dieser schriftliche Zusatz hat maximal 50% Gewicht an der LB1.
Hilfsmittel Die Lehrperson definiert und kommuniziert die erlaubten Hilfsmittel.
Bewertung Das Projekt weist mehrere Schwachstellen auf. Pro erfolgreich bearbeiteter Schwachstelle werden Punkte vergeben. Zusatzfragen mit maximal 50% Gewicht.
Praxisbezug Sicherheitslücken durch Codeinspektion auffinden. Sicherheitsrelevante Bereiche im Code auf Schwachstellen testen. Bekannte Sicherheitslücken im Code schliessen.

Teil 2
Gewichtung 40%
Richtzeit (Empfehlung) 1
Element-Beschreibung Schriftlicher Test zu den im Unterricht behandelten Technologie für Applikationssicherheit. Beispielsweise das Erkennen von Sicherheitslücken oder Angriffsvektoren und das Vorschlagen von Gegenmassnahmen.
Hilfsmittel Die Lehrperson definiert und kommuniziert die erlaubten Hilfsmittel.
Bewertung Es werden mindestens drei behandelte Themen aus dem Unterricht geprüft. Ein einzelnes Thema soll nicht mehr als 50% der Bewertung der LB2 ausmachen.
Praxisbezug Mit sicherheitsrelevantem Vokabular und Fachbegriffen umgehen. Performanz und Aufwand abschätzen (Bruteforce, Kryptografie, ...). Sicherheitsmassnahmen auf konzeptioneller Ebene verstehen, einordnen und bewerten.

Teil 3
Gewichtung 20%
Richtzeit (Empfehlung) 6
Element-Beschreibung Es wird eine minimale Applikation durch die Lernenden erstellt. Das Projekt kann als Gruppenarbeit (max. 4 Personen) umgesetzt werden. Die Lehrperson gibt die Anforderungen vor, welche einzuhalten ist (GUI, API, Persistenz, Session, ...). Das Projekt enthält mindestens vier verschiedene sicherheitsrelevante Aspekte, welche die Lernenden implementieren müssen (Beispiel: Login, Session, Input-Verarbeitung, Log-Meldungen, Passworthandling, SSL/TLS, Schutz vor DOS, ...). Verpflichtend zur Umsetzung sind: Login, Session und Logging. Die Sicherheit soll im Fokus der Implementation (und deren Bewertung) sein. Die Lernenden erstellen eine minimale Dokumentation zum Projekt. In der Dokumentation wird jedes implementierte Sicherheitsfeature "kurz & knackig" beschrieben/erläutert.
Hilfsmittel Offen (IT-Infrastruktur, Internet, Unterlagen, Eigene Notizen). Quellenangaben zu übernommenen Inhalten sind verpflichtend.
Bewertung Jedes vorgegebene Sicherheitsmerkmal wird einmal im Projekt als Code und einmal in der Dokumentation im Verhältnis 1:1 bewertet. Die Sicherheitsfeatures der Applikation müssen von der Lehrperson praktisch getestet werden. Das abgegebene Projekt muss dem Charakter einer selbstständig erstellten Arbeit genügen.
Praxisbezug Erlernte Konzepte und Techniken selbstständig praktisch anwenden.
Publiziert: 16.10.2017 08:09:45
Ablaufdatum: Kein Ablaufdatum
Titel LBV Modul 183-3 - 1 Elemente - Fallstudie
Institution Berufsfachschule BBB Baden
Übersicht Eine Fallstudie, in der Sicherheitslücken in einer gegebenen Applikation gesucht, analysiert und korrigiert werden müssen.
Ergänzung

Teil 1
Gewichtung 100%
Richtzeit (Empfehlung) 4
Element-Beschreibung In einer situierten Fallstudie wird von den Lernenden in Einzelarbeit oder Kleingruppen eine gegebene Applikation analysiert.

In der gegebenen Applikation sind einige sicherheitsrelevanten Probleme vorhanden. In einem ersten Teil der Fallstudie werden die Lernenden angewiesen zu prüfen, ob die Applikation sicherheitsrelevante Probleme enthält. Insbesondere soll die Applikationen Probleme in folgenden Bereichen beinhalten um ein genügend breites Spektrum abzudecken:
* Allgemeine Probleme, beispielsweise Information-Leakage, CSRF, Direct Access, ...
* Probleme, welche die Authentifizierung und/oder der Zugriffssteuerung betreffen, beispielsweise Passwort-Hashing, Session Fixation, Privilege-Escalation, ...
* Probleme, welche die Ein- und Ausgabevalidierung betreffen wie Cross-Site-Scripting, SQL-Injection, ...

Für jedes Problem wird Folgendes verlangt:
* Eine kurze Beschreibung des Problems
* Eine kurze Beschreibung der möglichen Folgen.
* Wenn die Applikation von dem Problem betroffen ist:
* Ein konkretes Beispiel, wie die Sicherheitslücke die aus dem Problem entsteht ausgenutzt werden kann.
* Eine Beschreibung, wie das Problem korrigiert werden kann.
* Die Korrektur im Quellcode.

In einem zweiten Teil der Fallstudie soll das Logging analysiert und korrekt implementiert werden. Dabei sollen sicherheitsrelevante Ereignisse identifiziert und nach Schweregrad priorisiert werden. Optional können Regeln für Alarme erfragt und/oder eine Implementierung verlangt werden.
Hilfsmittel Open-Book: Entweder alle oder nur vorgegebene Unterlagen (ausser alten Prüfungslösungen) erlaubt.
Mit oder ohne Internet.
Bewertung 0%-10%: Einhaltung der Prüfungsvorgaben.
15%-35%: Allgemeine Sicherheitsprobleme
15%-35%: Authentifizierung/Autorisierung
15%-35%: Ein-/Ausgabevalidierung
5%-25%: Logging
Praxisbezug B5: Qualität der Applikationen sicherstellen
B3: Applikationen unter Anwendung geeigneter Vorgehensmodelle und Einhalten der nötigen Sicherheitsanforderungen benutzergerecht entwickeln und dokumentieren
C2.4: Stellen Datensicherheit (Backup, Verfügbarkeit usw.) und Datenschutz (u.A. Zugriffsberechtigung) sicher.
Publiziert: 16.10.2017 08:09:55
Ablaufdatum: Kein Ablaufdatum
Zurück