a

Informationssicherheit/Ueb2/Ueb2.md

@@ -1,3 +1,42 @@
+- [[#Tabelle|Tabelle]]
+- [[#Intro|Intro]]
+	- [[#Intro#1|1]]
+	- [[#Intro#2|2]]
+	- [[#Intro#3|3]]
+	- [[#Intro#4|4]]
+	- [[#Intro#5|5]]
+	- [[#Intro#6|6]]
+	- [[#Intro#7|7]]
+	- [[#Intro#8|8]]
+	- [[#Intro#9|9]]
+- [[#Advanced|Advanced]]
+	- [[#Advanced#1|1]]
+	- [[#Advanced#2|2]]
+	- [[#Advanced#3|3]]
+- [[#Mitigation|Mitigation]]
+	- [[#Mitigation#1|1]]
+	- [[#Mitigation#2|2]]
+	- [[#Mitigation#3|3]]
+	- [[#Mitigation#4|4]]
+	- [[#Mitigation#5|5]]
+- [[#Aufgaben|Aufgaben]]
+	- [[#Aufgaben#a|a]]
+	- [[#Aufgaben#b|b]]
+	- [[#Aufgaben#c|c]]
+- [[#Cross Site Scripting|Cross Site Scripting]]
+	- [[#Cross Site Scripting#1|1]]
+	- [[#Cross Site Scripting#2|2]]
+	- [[#Cross Site Scripting#3|3]]
+	- [[#Cross Site Scripting#4|4]]
+	- [[#Cross Site Scripting#5|5]]
+- [[#Aufgaben|Aufgaben]]
+	- [[#Aufgaben#a|a]]
+	- [[#Aufgaben#b|b]]
+	- [[#Aufgaben#c|c]]
+	- [[#Aufgaben#d|d]]
+	- [[#Aufgaben#e|e]]
+
+
 
 # 2.1
 ## Tabelle
@@ -14,14 +53,18 @@
 ## Intro
 
 ###  1
+```
 SELECT department FROM employees WHERE first_name='Bob'
+```
 
 - SELECT: Wählt Spalte aus
 - FROM: Wählt Tabelle aus
 - WHERE: Anweisung zum suchen
 
 ### 2
+```
 UPDATE employees SET department = 'Sales' WHERE first_name = 'Tobi' AND last_name = 'Barnett'
+```
 
 - UPDATE: Updated exestierende Daten
 - SET: Wählt Spalte aus
@@ -29,14 +72,19 @@ UPDATE employees SET department = 'Sales' WHERE first_name = 'Tobi' AND last_nam
 - AND: Und für die Abfragen der WHERE Anweisung
 
 ### 3
+```
 ALTER TABLE employees ADD phone varchar(20);
+```
+
 
 - ALTER: Verändert die Struktur einer Datenbank
 - TABLE: Wählt Tabelle aus, die verändert werden soll
 - ADD: Fügt eine Spalte hinzu
 
 ### 4
+```
 GRANT SELECT ON grant_rights TO unauthorized_user;
+```
 
 - GRANT: Gibt einem Benutzer Rechte 
 - SELECT: Wählt Spalte aus
@@ -44,7 +92,9 @@ GRANT SELECT ON grant_rights TO unauthorized_user;
 - TO: Wählt Benutzer aus
 
 ### 5
+```
 SELECT * FROM user_data WHERE first_name = 'John' AND last_name = '' or '1' = '1
+```
 
 - Wird zu: SELECT * FROM user_data WHERE first_name = 'John' and last_name = 'Smith' or '1' = '1'
 -  '1' = '1'  ist immer wahr
@@ -114,7 +164,7 @@ def sql_injection_advance_5():
      password = ''  
   
      headers = {  
-        'Cookie': 'JSESSIONID=8f8OmDA8QEB8JwmEJtPbWkvVtAM_2AerEHJoWYFT',  
+        'Cookie': 'JSESSIONID=P9ImeJQVi_A20BBfojVn9ix_qaGR6PCKbRSI7395',  
      }  
   
      while True:  
@@ -232,7 +282,7 @@ def sql_injection_mitigation_10():
 	 index = 0  
   
 	 headers = {  
-		 'Cookie': 'JSESSIONID=8f8OmDA8QEB8JwmEJtPbWkvVtAM_2AerEHJoWYFT'  
+		 'Cookie': 'JSESSIONID=P9ImeJQVi_A20BBfojVn9ix_qaGR6PCKbRSI7395'  
 	 }  
   
 	 while True:  
@@ -430,8 +480,9 @@ DOM-based XSS findet auf der Client-Seite (im Browser) statt und resultiert aus
     
     - Sicherheits-Header: Es können Sicherheits-Header wie Content-Security-Policy (CSP) oder X-XSS-Protection verwendet werden, um sicherzustellen, dass nur vertrauenswürdige Ressourcen auf einer Seite geladen werden und um das Risiko von XSS-Angriffen zu verringern.
  
-- Content-Security-Policy:
+- Content-Security-Policy: ein HTTP-Antwortheader, den Webentwickler und Administratoren verwenden können, um die Sicherheit einer Webseite zu erhöhen. Mit CSP können sie festlegen, welche Inhalte (wie Skripte, Bilder, Stylesheets usw.) von welchen Quellen auf einer Webseite geladen werden dürfen.
  
-- HTTP-Only-Cookies:
+- HTTP-Only-Cookies: eine Sicherheitsfunktion, die bei der Verwendung von Cookies im Web eingesetzt wird. Durch das Setzen des HttpOnly-Flags in einem Cookie wird das Cookie so konfiguriert, dass es nur vom Server und nicht von clientseitigen Skripten, wie beispielsweise JavaScript, gelesen werden kann.
  
-- Bibliotheken etc. Aktualisieren:
+ 
+- Bibliotheken etc. Aktualisieren

Informationssicherheit/Ueb3/Ueb3.md

@@ -0,0 +1,76 @@
+# 3.1
+
+
+# 3.2
+
+
+# 3.3
+## a
+Um die Herkunft einer Phishing-E-Mail realistisch wirken zu lassen, könnten folgende Maßnahmen ergriffen werden:
+
+1. **Absenderadresse fälschen**: Die E-Mail-Adresse des Absenders könnte so gestaltet werden, dass sie einer offiziellen E-Mail-Adresse der Fachhochschule Dortmund ähnelt, z.B. "support@fh-dortmund.de" oder "noreply@portal-fhdortmund.de".
+2. **Authentisches Design**: Die Phishing-E-Mail sollte das Logo, die Farben und die Schriftarten der Fachhochschule Dortmund verwenden, um den Eindruck einer legitimen E-Mail zu erwecken.
+3. **Verwendung von persönlichen Informationen**: Die E-Mail könnte persönliche Informationen über den Empfänger enthalten, z.B. Name und Matrikelnummer, um Vertrauen aufzubauen.
+4. **Ansprechender Betreff**: Ein Betreff wie "Wichtige Sicherheitsinformationen für Ihr Studienportal-Konto" könnte die Aufmerksamkeit des Empfängers auf sich ziehen.
+5. **Glaubwürdiger Inhalt**: Der Text der E-Mail sollte professionell verfasst sein und eine plausible Geschichte erzählen, z.B. dass ein verdächtiger Loginversuch festgestellt wurde und die Benutzer ihre Anmeldedaten bestätigen müssen, um ihr Konto zu schützen.
+
+Mögliche Probleme:
+
+- Erfahrene Benutzer könnten die falsche Absenderadresse oder andere Anzeichen einer gefälschten E-Mail erkennen.
+- Technische Sicherheitsmaßnahmen könnten die Zustellung der Phishing-E-Mail verhindern oder sie als Spam kennzeichnen.
+
+## b
+Mechanismen zur Abwehr von Phishing bzw. Spam, die den Erfolg des fiktiven Angriffs gefährden könnten:
+
+1. **Spamfilter**: E-Mail-Systeme verfügen über integrierte Spamfilter, die verdächtige E-Mails herausfiltern und in einen Spam-Ordner verschieben.
+2. **Domainbasierte Nachrichtenauthentifizierung, Berichterstattung und Konformität (DMARC)**: DMARC ist eine E-Mail-Authentifizierungsmethode, die verhindert, dass gefälschte Absenderadressen verwendet werden.
+3. **Sicherheitsbewusstseinstraining**: Wenn Benutzer geschult sind, Phishing-E-Mails zu erkennen, ist die Wahrscheinlichkeit geringer, dass sie auf betrügerische Links klicken oder ihre Anmeldedaten preisgeben.
+
+## c
+E-Mail-Adresse und zugehöriges Passwort sind aus folgenden Gründen lohnenswerte Angriffsziele:
+
+- **Zugriff auf persönliche Informationen**: Angreifer können E-Mails und Anhänge einsehen, die persönliche Informationen wie Adressen, Telefonnummern oder Geburtsdaten enthalten.
+- **Identitätsdiebstahl**: Mit diesen Informationen können Angreifer die Identität des Opfers annehmen und z.B. Kredite aufnehmen oder Online-Käufe tätigen.
+- **Kontozugriff**: Viele Menschen verwenden dasselbe Passwort für mehrere Konten. Ein erfolgreiches Phishing kann dazu führen, dass Angreifer auch Zugriff auf andere Online-Konten erhalten, z.B. Soziale Medien, Online-Banking oder Online-Shopping-Konten.
+- **Weiterverkauf**: Gestohlene Anmeldedaten können auf dem Schwarzmarkt verkauft werden, wo sie von anderen Cyberkriminellen für verschiedene Zwecke verwendet werden können, z.B. für weitere Phishing-Angriffe, Betrug oder Spam.
+- **Spear-Phishing**: Mit den Informationen aus dem erfolgreich gekaperten E-Mail-Konto können Angreifer gezielte Spear-Phishing-Angriffe auf Freunde, Familie oder Kollegen des Opfers durchführen, indem sie persönliche Informationen verwenden, um noch überzeugendere Phishing-E-Mails zu erstellen.
+- **Ransomware**: Angreifer könnten auch Ransomware in das E-Mail-Konto einschleusen, um wichtige Dateien und Dokumente zu verschlüsseln und Lösegeld vom Opfer zu verlangen, um den Zugriff wiederherzustellen.
+
+Um die Sicherheit der Benutzer zu gewährleisten, sollten die Fachhochschule Dortmund und andere Organisationen Sicherheitsmaßnahmen ergreifen, wie z.B. regelmäßige Sicherheitsbewusstseinsschulungen, Zwei-Faktor-Authentifizierung und Sicherheitsrichtlinien für Passwörter. Diese Maßnahmen können dazu beitragen, die Wahrscheinlichkeit von erfolgreichen Phishing-Angriffen zu reduzieren.
+
+
+
+# 3.4
+## a/b
+## [Jordi Bolz, TUS Ampen - Leichtathletik-Datenbank.DE](https://www.leichtathletik-datenbank.de/vereine/deutscher-leichtathletik-verband/westdeutschland/fussball-und-leichtathletik-verband-westfalen/westfalen-mitte/soest/tus-ampen/athleten/48687-jordi-bolz)
+
+## [Bilder zur Stadtmeisterschaft - LAZ) Soest](http://www.lazsoest.de/index.php/item/201-erfolgreiche-stadtmeisterschaften)
+
+## [2. Soester Hochsprung-Meeting 2014, LAZ Soest (14.09.2014 ...](https://www.leichtathletik-datenbank.de/wettkaempfe/deutscher-leichtathletik-verband/westdeutschland/fussball-und-leichtathletik-verband-westfalen/westfalen-mitte/soest/laz-soest/wk/2-soester-hochsprung-meeting-2014)
+- Sport Events
+
+## c
+- Einladung zu Sport-Events (vor 10 Jahren)
+
+# 3.5
+
+Titel: "Passwörter sind wie Unterwäsche..."
+
+Plakat-Design:
+
+1.  Hintergrund: Hellblau, um eine freundliche Atmosphäre zu schaffen.
+2.  Schriftart: Verspielte, leicht lesbare Schriftart, die die humorvolle Botschaft betont.
+3.  Farben: Helle, fröhliche Farben (z.B. Gelb, Orange, Grün), um Aufmerksamkeit zu erregen.
+
+Layout:
+
+-   Im oberen Drittel des Plakats den Titel "Passwörter sind wie Unterwäsche..." platzieren.
+    
+-   Im mittleren Teil des Plakats vier humorvolle Vergleiche zwischen Passwörtern und Unterwäsche anbringen, die die Bedeutung von sicheren Passwörtern verdeutlichen: a) "Wechsle sie regelmäßig!" - Zeige eine lächelnde Cartoon-Figur, die frische Unterwäsche und ein neues Passwort hält. b) "Teile sie nicht mit anderen!" - Zeige zwei Cartoon-Figuren, die Unterwäsche austauschen und dann ein "Nein"-Symbol (ein roter Kreis mit einer diagonalen Linie) darüber legen. c) "Mache sie nicht zu einfach!" - Zeige eine Cartoon-Figur mit übertrieben einfacher Unterwäsche (z.B. ein Lendenschurz) und einem Passwort wie "1234" auf einem Bildschirm. d) "Keine persönlichen Informationen!" - Zeige eine Cartoon-Figur, die Unterwäsche mit ihrem Namen darauf trägt und ein Passwort, das aus ihrem Geburtsdatum besteht.
+    
+-   Im unteren Drittel des Plakats, unter den vier Vergleichen, platzieren Sie den Slogan "Schütze deine Privatsphäre - wähle sichere Passwörter!" in einer auffälligen Farbe.
+    
+
+Dieses humorvolle Plakat soll die Wichtigkeit von sicheren Passwörtern vermitteln und den Betrachtern ein Schmunzeln entlocken, während sie über ihre eigenen Passwortgewohnheiten nachdenken.
+
+