Practicumopdracht 2

Inleiding

Lees deze pagina volledig en zorgvuldig door voor je aan de opdracht begint, zodat je weet wat er van je verwacht wordt.

In deze practicumopdracht zul je de rol van een Web Security Advisor moeten vervullen. Het is de bedoeling om de kennis over security die in dit vak (en elders) opgedaan is/wordt in de praktijk te brengen. Je zult dit doen door het analyseren van een aantal pagina's van de (fictieve) site van de UU, bestaande uit zowel stukken code als live websites. De practicumopdracht gaat er vanuit dat je de technieken zoals ze in het hoorcollege aan bod komen/zijn geweest kent en begrijpt. Daarnaast moet je een beetje van puzzelen houden :-). Maar wees niet bang, de meeste onderdelen zijn niet heel moeilijk.

Het uiteindelijke in te leveren product moet een kort verslag zijn met je bevindingen. Het gaat bij dit practicum om het getoonde security-inzicht, dus met name om het hoe & waarom van het oplossen en exploiteren van de beveiligingslekken. Laat zien dat je dit begrijpt in je antwoorden, dus maak deze niet tè kort.

Vooraf

Deze practicumopdracht dient weer in tweetallen gemaakt te worden, bij voorkeur met dezelfde practicumpartner als bij de eerste opdracht. Mocht je practicumpartner onverhoopt afhaken of afgehaakt zijn, dan mag je de opdracht alleen afronden. Je kunt ook op zoek gaan naar een andere deelnemer die in dezelfde situatie zit en samen met die deelnemer deze opdracht maken; dit hoef je verder niet te melden (we zien dit vanzelf aan het ingeleverde werk).

Om de opdrachten te kunnen zien heb je een gebruikersnaam en wachtwoord nodig om in te loggen in je persoonlijke zandbak. Wanneer je de URL aanklikt voor de desbetreffende opdracht zul je eerst moeten inloggen met je studentnummer als gebruikersnaam en het wachtwoord dat je op diezelfde pagina kunt aanvragen. Je komt dan in je eigen "versie" van de pagina uit de opdracht, en als je dus de beveiliging weet te omzeilen en onderdelen stuk maakt hebben je medestudenten hier geen last van, je kunt dus naar hartelust proberen!

Gebruik dus NIET je Solis-wachtwoord! De website is niet met HTTPS beveiligd en iedereen kan het afluisteren. En wie zegt dat wij niet alle wachtwoorden loggen?

De zandbak login pagina is geen onderdeel van de opdracht zelf maar dient er enkel voor om te zorgen dat elke student zijn eigen "speelruimte" krijgt. Deze pagina hoef je dus ook niet te inspecteren. Alle overige login pagina's zijn onderdeel van de websites die je moet inspecteren, en daar is het dus wel van belang om goed te kijken naar de mogelijkheden...

Als je problemen ervaart met het inloggen in je persoonlijk zandbak, of andere technische vragen hebt over de opdracht, neem dan contact op met één van de practicumleiders, Arne Hillebrand of Nico Naus.

Opdrachten

De verschillende opdrachten zijn op de volgende pagina's te vinden:

Afsluitende woorden

Alhoewel het in eerste instantie een grote practicumopdracht kan lijken, is het belangrijk om te beseffen dat we niet vragen om alle problemen echt op te lossen. Voor 2.3, 2.5 en 2.6 hoef je alleen het probleem te beschrijven en hoe dit opgelost zou kunnen worden. Voor 2.1, 2.2 en 2.4 moet je met concrete oplossingen komen met eventueel een korte uitleg. De meest belangrijke beveiligingslekken komen in deze opdracht aan bod, dus als je deze opdracht af hebt gerond, zou je veilige websites moeten kunnen maken! Tenminste, als je een voldoende haalt... :-)

We wensen je veel puzzelplezier!

Inleveren

Je verslag moet in PDF (.pdf) formaat ingeleverd worden. Het is de bedoeling om de antwoorden kort en bondig op te schrijven, dus schrijf geen heel boekwerk. Als richtlijn hanteren we een maximum van 5 pagina's A4 in een makkelijk leesbare lettergrootte.

Vergeet in je verslag niet te vermelden:

Het verslag lever je in met behulp van het submit systeem. De maximale omvang van het bestand is 20MB, dat zou meer dan genoeg moeten zijn. Zie de practicum pagina voor de deadline. De genoemde deadline wordt afgedwongen door het submit systeem en is hard. Wacht niet met inleveren tot de laatste minuut. Inleveringen per e-mail worden niet in behandeling genomen.

Tips & tricks

Wat algemene tips voor deze opdracht:


l.herlaar@uu.nl