05 Fakultät Informatik, Elektrotechnik und Informationstechnik

Permanent URI for this collectionhttps://elib.uni-stuttgart.de/handle/11682/6

Browse

Filters

2018 - 2019122020 - 202424

Settings

Institute: search.filters.UBSInstitut.Institut für InformationssicherheitPublication Type: search.filters.UBSTyp.Abschlussarbeit (Bachelor)

Search Results

Now showing 1 - 10 of 36
  • Thumbnail Image
    ItemOpen Access
    Comparison and analysis of web vulnerability scanners
    (2019) Lis, Alexander
    Within the last years the commercial relevance of web applications increased steadily. They developed from simple information sharing platforms to serious business applications like online-banking, e-commerce and social media platforms. Unlike most other technologies, web-based applications are accessible from around the world continuously. Additionally, they are very susceptible for vulnerabilities as there are various technologies interacting. These factors render web applications to very attractive targets for criminals because they are often easy to attack, globally accessible and yield valuable exploits. As a consequence, much effort was put into research to prevent, detect and eliminate web application vulnerabilities. However manual security audits are time-consuming, costly and demand expertknowledge. Web vulnerability scanners tackle this problem. They are programs that test web applications for the existence of vulnerabilities. Additionally they categorize and report them. Because these tools work automatically, faster as humans and reduce the necessary knowledge in network security, they became an interesting supplementation to traditional security audits. On the other side web vulnerability scanners also have their limits. They can not test for the absence of vulnerabilities and thus produce false positives or miss weaknesses. Furthermore previous research has shown that there are also vulnerability classes that are especially intricate to detect like stored SQL injections or stored cross-site scripting vulnerabilities. Nonetheless web vulnerability scanners show very much potential and there is a growing interest into automatic web application testing. This is reflected in the increasing diversity of commercial web vulnerability scanners that can be found online. Thus this thesis compares and examines three web vulnerability scanners, namely Acunetix, Arachni and w3af. Focus is set on delineating the current capabilities and limits of state-of-the-art vulnerability scanners.
  • Thumbnail Image
    ItemOpen Access
    Informelle Sicherheitsanalyse der Sequent Tech Identitäts- und Zugriffsmanagementkomponente
    (2022) Vatic, Amel
    Die IAM-Komponente wurde von Sequent Tech Inc. für ihre E-Voting-Anwendung entwickelt und anschließend als eigenständige Software-Komponente veröffentlicht. Sie bietet Funktionalität zur Authentifizierung und Autorisierung von Benutzern in einem Anwendungssystem. In dieser Arbeit wird eine informelle Sicherheitsanalyse der IAM-Komponente und der in der Komponente definierten Authentifizierungsprotokolle angefertigt. Die Authentifizierungsprotokolle legen dabei jeweils fest, wie sich die Benutzer bei der IAM-Komponente authentisieren müssen. Die Grundlage dieser Analyse bildet dabei eine ausführliche Beschreibung dieser Komponente und ihrer Authentifizierungsprotokolle, die im Rahmen dieser Arbeit ebenfalls angefertigt wird. Von besonderer Interesse ist dabei das Single-Sign-On Authentifizierungsprotokoll SmartLink. Nachdem wir die Beschreibung angefertigt haben, werden die IAM-Komponente und ihre Authentifizierungsprotokolle informell analysiert. Dabei beginnen wir mit der Identifikation der Annahmen und der Angreifermodelle, die für die Sicherheitsanalyse zu Grunde gelegt werden. Die drei Sicherheitsziele, die in von der IAM-Komponente erfüllt werden müssen sind dabei Authentifizierung, Autorisierung und Session Integrity. In der darauffolgenden Sicherheitsanalyse werden die Komponente und die Authentifizierungsprotokolle bezüglich allen Sicherheitsdefinitionen überprüft.
  • Thumbnail Image
    ItemOpen Access
    Beschreibung und Analyse der W3C Browser Push APIs
    (2024) Lüers, Alina
    Die W3C Push API bietet die Möglichkeit der asynchronen Kommunikation zwischen einem Browser und einem Anwendungsserver. Der Anwendungsserver kann Push Nachrichten an einen Push Service senden. Der Push Service speichert die Nachricht bis der Browser erreichbar ist oder die Nachricht verfällt. Wenn der Browser die Push Nachricht erhält, wird die Push Nachricht an den Service Worker weitergeleitet, der die Nachricht verarbeitet und gegebenenfalls dem Nutzer anzeigt. In dieser Arbeit wird die W3C Push API zunächst abstrakt beschrieben und darauf aufbauend eine informelle Sicherheitsanalyse durchgeführt. Dafür werden zunächst die der Analyse zu Grunde liegenden Angreifermodelle und Annahmen definiert. Anschließend werden die Sicherheitsziele Vertraulichkeit, Privacy, Verfügbarkeit, Authentifizierung, Autorisierung und Session Integrität untersucht. In der Analyse konnten dabei keine neuen, gravierenden Sicherheitsprobleme festgestellt werden. Anschließend wird die Implementierung der Push API in Firefox näher betrachtet. Dabei wird der Push Service autopush beschrieben und es werden die zusätzlichen Sicherheitsmaßnahmen aufgezählt.
  • Thumbnail Image
    ItemOpen Access
    XSS in issue tracking systems
    (2021) Hildebrand, Moritz
    Today, virtually every software project, especially in a collaborative and distributed setting, is managed through an issue tracking system (ITS). As developers rely heavily on ITSs, the risk of cyberattacks and their associated impact increases. An interesting particularity of ITSs is that, compared to conventional web applications, the attack surface is extended through additional input interfaces such as email or version control systems (VCSs).This bachelor thesis develops a methodology to test ITSs for Cross-site scripting (XSS) vulnerabilities via these ITS-specific input interfaces. Exemplarily, we implement the developed methodology for the input interfaces email and Git and test it on the three open-source ITSs Redmine, MantisBT, and Trac.
  • Thumbnail Image
    ItemOpen Access
    Disinformation campaigns in social media
    (2020) Sliwa, Robin
    In an increasingly digitally connected world, social networks have become a large factor in news consumption, discussion and staying connected to friends. This thesis aims to give an overview over how this new platform has been a vector for the conduction of disinformation campaigns. Beyond the prime example - possible Russian disinformation in the U.S. from 2015 to 2017 - and its efficacy, further candidates as well as the historical context, technical aspects and the public response are touched upon. The U.S. election of 2016 is evidently a well-documented example of an election targeted by a large-scale disinformation campaign conducted through social media. Indications exist that campaigns are also being conducted in other political contexts (France, 2017) and with contexts extending into economics. This thesis also finds that more research is needed to systematically detect and investigate disinformation campaigns, especially in order to measure and contain their real-world impact.
  • Thumbnail Image
    ItemOpen Access
    A formal analysis of hashgraph and its accountability properties
    (2022) Flinspach, Marcel
    The Hashgraph algorithm is a distributed ledger technology (DLT) consensus algorithm that is an alternative to conventional blockchains. Generally, a distributed ledger can be seen as a database of transactions that is replicated across serveral locations, typically run by multiple parties. In order to reach an agreement on the validity and order of transactions, DLTs typically rely on consensus protocols as a key component. Participants of the Hashgraph algorithm locally manage a hashgraph. This is a directed acyclic graph of events. All events include, among other (meta)data, mainly transactions that were submitted by clients. In order to reach a consens, Hashgraph utilizes so-called virtual voting so that parties with different hashgraphs assign all events the same position in the total order of events. We call this desirable property consistency, which allows different participants to calculate and agree on the same order of transactions. Accountability is a well-known concept in distributed systems and cryptography but new to blockchains and DLTs in general. With this concept, misbehaving parties violating predefined security goals can be identified and held accountable with undeniable cryptographic evidence to incentivize participants to behave honestly. In this work, we put forward a rigorous proof that Hashgraph does achieve accountability w.r.t. consistency. That is, participants that misbehave by calculating a different order of transactions, by not following the Hashgraph protocol, can always be identified and rightfully blamed. To achieve this, we construct an iUC model of the hashgraph protocol with the necessary additions to hold dishonest participants accountable. In particular, we prove under relatively mild assumptions that honest participants, following the Hashgraph algorithm, will always assign events in their hashgraph the same order. That is, honest participants can reach a consens on the total order of events and transactions. Due to the real-world applications of Hashgraph, we believe this result is of independent interest.
  • Thumbnail Image
    ItemOpen Access
    Implementierung und Sicherheitsanalyse von High Mountain Range Options auf einer Blockchain
    (2018) Bechtold, Marvin
    Kryptowährungen auf Basis von Blockchaintechnologie haben in den letzten Jahren immer mehr an Bedeutung und Verbreitung gewonnen. In vielen unterschiedlichen Geschäftsfeldern forschen und arbeiten Unternehmen am Einsatz dieser Technologie, um neue oder disruptive Prozesse oder gar Geschäftsmodelle zu entwickeln. Voraussetzung ist die Nutzung der richtigen Blockchain und die Entwicklung entsprechender Smart Contracts. Die Smart Contracts sollen einfache, aber auch zunehmend komplexe Sachverhalte abbilden und dabei die herkömmliche Vertrauensinstanz durch die Blockchain ersetzen. Die Anforderung an Smart Contracts ist hierbei nicht nur die korrekte Abwicklung des Sachverhalts, sondern auch, ein hohes Maß an Sicherheit zu gewährleisten. In dieser Arbeit werden eine komplexe Aktienoption aus der Gruppe der High-Mountain-Range-Optionen und ihre Prozesse wie Erstellung, Kauf und Auszahlung durch Smart Contracts abgebildet. Als Blockchainframework wurde Hyperledger Fabric verwendet. Um die Arbeit verständlicher zu machen, wurde der fachliche Hintergrund von Aktienoptionen erörtert und die Funktionsweise der Blockchain dargestellt. Durch die Implementierung einer komplexen High Mountain Range Option wurde aufgezeigt, dass beliebige Aktienoptionen, von einfachen Aktienoptionen bis hin zum komplexen Finanzderivat, mittels Smart Contracts und Blockchain abgebildet werden können. Zusätzlich wurde die Sicherheit der implementierten Smart Contracts analysiert. Dabei wurde das Analysetool Chaincode Scanner verwendet. Die Ergebnisse geben Hinweise auf mögliche Schwachstellen, die bei der Implementierung von Smart Contracts berücksichtigt werden sollten.
  • Thumbnail Image
    ItemOpen Access
    Enhancement of a tool for comprehensive security scanning
    (2020) Hauck, Fabian
    The demand for web applications is rapidly increasing worldwide. Since the world wide web is accessible to everyone with a connection to the internet, web-based systems are especially vulnerable to attacks. This is why cybersecurity is getting increased attention. While it is difficult to defend a system from sophisticated attacks it is rather easy to find and fix insecure system configurations. Since web applications and their infrastructure are rapidly changing, it is hard to manually detect security breaches. Therefore advanced testing software is needed to detect security leaks automatically. The present work describes several extensions of an automated security scanning tool called yesses. The yesses tool was originally designed to scan web servers for basic security properties like open ports, insecure HTTP methods and missing cookie security features. The tool is accessible open-source on GitHub. Within the scope of this work, the yesses tool was extended by seven modules. Hereby the following three main topics were investigated: Transportation Layer Security (TLS), Domain Name System Security Extensions (DNSSEC) and information leakages. Within the TLS topic, TLS scans of the TLS settings of a server are performed and the differences compared to a Mozilla TLS profile were analyzed. Among other things this gives important insights into possible insecure encryption algorithms. In the scope of DNSSEC, the DNSSEC configuration of a domain name was scanned. Hereby the tool can detect possible misconfigurations, e.g. a missing signature for a DNS resource record. Concerning information leakages, the yesses tool was extended in such a way, that it detects sensitive data exposures which are very useful for potential adversaries. The described extensions do not only make the yesses tool more powerful, they also enable it to detect security leaks that could not have been detected beforehand.
  • Thumbnail Image
    ItemOpen Access
    PKIs based on Blockchains
    (2019) Ravlija, Damir
    Cryptographic protocols such as TLS rely on Public Key Infrastructure (PKI) to provide privacy to the users on the web. In traditional PKI a certain number of Certificate Authorities (CA) issue certificates which affirm that the CA verified the public key binding. However, since CAs in numerous cases behaved maliciously and issued unauthorized certificates, alternatives to traditional PKI model are being researched. Promising alternative is a blockchain technology which seems to be suitable for the implementation of PKIs: A blockchain is decentralized usually with only a few trust anchors. Data has to pass a consensus procedure before it becomes part of the state of the blockchain. Hence, blockchain offers a decentralized alternative to current CA-based PKI model. In this thesis we survey the current state of research into PKIs based on blockchains. Firstly, we present PKI and blockchain, two integral parts of such systems. There we concentrate on PKI models and blockchain platforms that are relevant for the existing blockchain-based PKI proposals. We then introduce, classify, and present PKI systems based on blockchains. In the following chapter we discuss security properties, prospects for adoption, underlying blockchains, and distinctive features of blockchain-based PKI systems which are in the course of this compared to each other, to conventional PKIs, and its extensions. In the end, we introduce TKI, a PKI system developed on permissionless Ethereum blockchain that extends CA-based PKI and combines it with a Web of Trust architecture.
  • Thumbnail Image
    ItemOpen Access
    Übersicht über das Hacker-Ökosystem
    (2018) Geyer, Simon
    In einer zunehmend vernetzten Welt nimmt Informationstechnologie eine zentrale Rolle in der Gesellschaft ein. Daher haben Hacker, als Angreifer auf IT-Systeme, einen starken und teils gefährlichen Einfluss auf die Gesellschaft. Diese Arbeit verfolgt das Ziel, anhand von Technologien und existierender Literatur einen Überblick über das Hacker-Ökosystem zu erstellen. Dabei wird zunächst auf Angreifer selbst und eine mögliche Klassifikation eingegangen. Daraufhin werden relevante Aktivitäten von Angreifern thematisiert. Davon ausgehend werden wirtschaftliche Aspekte wie der Handel auf Untergrundmärkten zwischen Hackern erläutert. Dazu wird auf Kryptowährungen wie Bitcoin und deren technische Funktionsweise eingegangen. Ferner werden die Auswirkungen von Angriffen auf IT-Systeme diskutiert. Zum Abschluss wird auf Darknets sowie Anonymisierungstechnologien eingegangen. In diesem Kontext wird die Funktionsweise der beiden Technologien Tor und I2P näher erläutert.