Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Daniel Franke Tim Benedict Jagla Matthias Thimm.

Veröffentlicht von:Gundula Lauritzen Geändert vor über 9 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "Daniel Franke Tim Benedict Jagla Matthias Thimm."—  Präsentation transkript:

1

2 Daniel Franke Tim Benedict Jagla Matthias Thimm

3

4  Cross Site Scripting Einschleusen von Schadcode um Browserausgabe zu manipulieren  Folge: Manipulation HTML-Formulare Cookies URL‘s  Zugang Clientseitige Sprachen Z.B. JavaScript VBScript Flash 4

5

6 6

7 7

8 8

9  Gefahren CookieCatcher Link obfuscating „Nice to know“ Auch in tag kann eine HTTP GET Request eingebettet werden 9

10

11 11

12 12

13 13

14 14

15  MySpace Oktober 2005 „Samy Worm“ by Samy Kamkar OZ: “but most of all, Samy is my hero“ In 20 Stunden über eine Million “Infizierungen” 15

16

17 17

18  Twitter Anfang 2011 (function(g){ var a=location.href.split("#!")[1]; if(a){ g.location=g.HBR=a; } })(window); http://twitter.com/#!javascript: alert(document.domain); 18

19

20  Was ist CSRF? Unterschieben eines URL-Aufrufes Automatisches authentifizieren & ausführen 20

21  Vorgehen 21

22  Gefahr Jede Serverseitige Aktion ist anfällig Ja: JEDE !!! Bsp: http://www.example.com/Logout 22

23  Ursache Zustandslosigkeit Automatische Authentifikation (Cookies) 23

24  ING-Direct Sept. 2008 U.a. Überweisungen möglich Automatische Authentifikation (Cookies)  Google Mail 2007 Filteränderungen und Umleitungen möglich 24

25  Aspekte Authentizität Integrität (Verfügbarkeit) (Vertraulichkeit) 25

26

27  Clientseitig Session IDs Erweiterungen wie NoScript Cookies verbieten  Serverseitig Tokens HTML Entities verwenden URL Encode verwenden 27

28  Beispiel Anfrage in Formularfeld: alert('XSS') Anfrage in HTML Entities: <script>alert('XSS')</scri pt> Anfrage in URL Encode: %3Cscript%3Ealert%28%27XSS%27%29%3C% 2Fscript%3E JavaScript Interpreter: „?“ 28

29  Funktion Serverseitig werden HTTP Requests (bis auf POST) eingeschränkt Token werden verwendet  Nachteile Server muss Token verwalten Token muss Formularfeld zugeordnet sein Abgelaufene Token müssen ungültig gemacht werden  DoS 29 [T1]

30  Funktion Braucht keine serverseitigen Zustände mehr Zwei Tokens Einer im Cookie Einer im Request  Vorteile „Same-Origin-Policy“ für Cookies Sind die Tokens identisch kommen Cookie und Request von derselben Ressource  Nachteile Modifikationen im Applikation Code 30

31  Funktion Serverseitig Proxy („Gatekeeper“) validiert Token Whitelist für Einstiegspunkte in Applikation ohne Token (Bilder, JavaScript, CSS) „Gatekeeper“ fügt jedem ausgehenden HTML eine JavaScript Library hinzu  HTTP Request Möglichkeiten Requests durch Interaktion mit DOM Implizite Requests durch HTML tags Requests von JavaScripts XMLHttpRequest Weiterleitungen seitens des Servers 31

32  Validierung via location.host DOM des übergeordneten Fensters  Token wird geliefert sofern der Frame validiert wurde 32

33  [SJW07] A. Wiegenstein, Dr. M. Schuhmacher, X. Jia, F. Weidemann, „The Cross Site Scripting Threat“  [Kurtz10] A. Kurtz, „Bedrohung Cross-Site Request-Forgery – Grenzüberschreitung: Die „andere“ Schwachstelle in Web-Applikationen  [LTJ12] S. Lekies, W. Tighzert, M. Johns, „Towards stateless, client-side driven Cross-Site Request Forgery protection für Web applications“  [ST12] L. K. Shar, H. B. K. Tan, „Defending against Cross-Site Scripting Attacks“  [Klein05] A. Klein, “DOM Based Cross Site Scripting or XSS of the Third Kind”  [ZF08] W. Zeller, E. W. Felten, “Cross- Site Request Forgeries: Exploitation and Prevention”  [T1] http://wp.dynaperl.de/2008/1 1/29/tcp-syn-dos/ 33

34

35 Vielen Dank für die Aufmerksamkeit

Herunterladen ppt "Daniel Franke Tim Benedict Jagla Matthias Thimm."

Ähnliche Präsentationen

Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.

Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.
GWT - google Web Toolkit

GWT - google Web Toolkit
Inhalt – Technische Grundlagen

Inhalt – Technische Grundlagen
Aufbau des Internets Überblick Prof. Dr. T. Hildebrandt

Aufbau des Internets Überblick Prof. Dr. T. Hildebrandt
Basis-Architekturen für Web-Anwendungen

Basis-Architekturen für Web-Anwendungen
Kurze Einführung in ASP

Kurze Einführung in ASP
Sebastian Peters TIB-Workshop zur DOI-Registrierung 3. November 2011 DataCite Technik Vertiefung.

Sebastian Peters TIB-Workshop zur DOI-Registrierung 3. November 2011 DataCite Technik Vertiefung.
Vs9.61 9.6 Das World-Wide Web ist ursprüglich keine Middleware, sondern ein Internet-Dienst zur Beschaffung von Dokumenten (downloading) aus entfernten.

Vs Das World-Wide Web ist ursprüglich keine Middleware, sondern ein Internet-Dienst zur Beschaffung von Dokumenten (downloading) aus entfernten.
NATURAL Web-Integration 1 / 27/28-Feb-98 TST NATURAL Web-Integration Arbeitskreis NATURAL Süd Theo Straeten SAG Systemhaus GmbH Technologieberater Stuttgart.

NATURAL Web-Integration 1 / 27/28-Feb-98 TST NATURAL Web-Integration Arbeitskreis NATURAL Süd Theo Straeten SAG Systemhaus GmbH Technologieberater Stuttgart.
Stefanie Selzer - Pascal Busch - Michael Kropiwoda

Stefanie Selzer - Pascal Busch - Michael Kropiwoda
Rechneraufbau & Rechnerstrukturen, Folie 14.1 © W. Oberschelp, G. Vossen W. Oberschelp G. Vossen Kapitel 14.

Rechneraufbau & Rechnerstrukturen, Folie 14.1 © W. Oberschelp, G. Vossen W. Oberschelp G. Vossen Kapitel 14.
Grundkurs Theoretische Informatik, Folie 2.1 © 2006 G. Vossen,K.-U. Witt Grundkurs Theoretische Informatik Kapitel 2 Gottfried Vossen Kurt-Ulrich Witt.

Grundkurs Theoretische Informatik, Folie 2.1 © 2006 G. Vossen,K.-U. Witt Grundkurs Theoretische Informatik Kapitel 2 Gottfried Vossen Kurt-Ulrich Witt.
Oracle PL/SQL Server Pages (PSP). © Prof. T. Kudraß, HTWK Leipzig Grundidee: PSP – Internet-Seiten mit dynamischer Präsentation von Inhalten durch Einsatz.

Oracle PL/SQL Server Pages (PSP). © Prof. T. Kudraß, HTWK Leipzig Grundidee: PSP – Internet-Seiten mit dynamischer Präsentation von Inhalten durch Einsatz.
Spezielle Aspekte der Anbindung von Datenbanken im Web.

Spezielle Aspekte der Anbindung von Datenbanken im Web.
ROUTINGVERFAHREN ZUR LASTVERTEILUNG IN CONTENT-DELIVERY-NETWORKS

ROUTINGVERFAHREN ZUR LASTVERTEILUNG IN CONTENT-DELIVERY-NETWORKS
Zukunft des Webs? Dennis Beer Christian Blinde

Zukunft des Webs? Dennis Beer Christian Blinde
Seite 0 02.11.2005 Common Gateway Interface. Konzepte. Übersicht 1Einleitung 2Was ist CGI? 3Wozu wird CGI verwendet? 4Geschichtlicher Überblick 5Grundvoraussetzungen.

Seite Common Gateway Interface. Konzepte. Übersicht 1Einleitung 2Was ist CGI? 3Wozu wird CGI verwendet? 4Geschichtlicher Überblick 5Grundvoraussetzungen.
Ralf KüstersDagstuhl 2008/11/30 2 Ralf KüstersDagstuhl 2008/11/30 3.

Ralf KüstersDagstuhl 2008/11/30 2 Ralf KüstersDagstuhl 2008/11/30 3.
Welche Funktion hat die php.ini? -Beinhaltet wichtige Einstellungen für PHP. Genannt seien hier u.a. der Speicherort von Cookies, Parameter der Kompilierung,

Welche Funktion hat die php.ini? -Beinhaltet wichtige Einstellungen für PHP. Genannt seien hier u.a. der Speicherort von Cookies, Parameter der Kompilierung,
Bild 1.1 Copyright © Alfred Mertins | Signaltheorie, 2. Auflage Vieweg+Teubner PLUS Zusatzmaterialien Vieweg+Teubner Verlag | Wiesbaden.

Bild 1.1 Copyright © Alfred Mertins | Signaltheorie, 2. Auflage Vieweg+Teubner PLUS Zusatzmaterialien Vieweg+Teubner Verlag | Wiesbaden.

Ähnliche Präsentationen

Google-Anzeigen