Daniel Franke Tim Benedict Jagla Matthias Thimm

Slides:

Advertisements

Ähnliche Präsentationen

Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.

Advertisements

GWT - google Web Toolkit

How many of these flags do you recognise? Work with your partner to see if you know many – write them down - some will crop up shortly!

Inhalt – Technische Grundlagen

Aufbau des Internets Überblick Prof. Dr. T. Hildebrandt

Basis-Architekturen für Web-Anwendungen

Kurze Einführung in ASP

NATURAL Web-Integration 1 / 27/28-Feb-98 TST NATURAL Web-Integration Arbeitskreis NATURAL Süd Theo Straeten SAG Systemhaus GmbH Technologieberater Stuttgart.

Stefanie Selzer - Pascal Busch - Michael Kropiwoda

Rechneraufbau & Rechnerstrukturen, Folie 14.1 © W. Oberschelp, G. Vossen W. Oberschelp G. Vossen Kapitel 14.

Oracle PL/SQL Server Pages (PSP). © Prof. T. Kudraß, HTWK Leipzig Grundidee: PSP – Internet-Seiten mit dynamischer Präsentation von Inhalten durch Einsatz.

Spezielle Aspekte der Anbindung von Datenbanken im Web.

ROUTINGVERFAHREN ZUR LASTVERTEILUNG IN CONTENT-DELIVERY-NETWORKS

Zukunft des Webs? Dennis Beer Christian Blinde

Seite Common Gateway Interface. Konzepte. Übersicht 1Einleitung 2Was ist CGI? 3Wozu wird CGI verwendet? 4Geschichtlicher Überblick 5Grundvoraussetzungen.

Ralf KüstersDagstuhl 2008/11/30 2 Ralf KüstersDagstuhl 2008/11/30 3.

01 Installation / Support. © beas group 2011 / Page 2 This documentation and training is provided to you by beas group AG. The documents are neither approved.

Welche Funktion hat die php.ini? -Beinhaltet wichtige Einstellungen für PHP. Genannt seien hier u.a. der Speicherort von Cookies, Parameter der Kompilierung,

Einführung Servlets/JSPs

8. Workshop - Internetarchivierung 3.1. Erfassung/Bewertung/Transfer Sabine Widmaier, Friedrich-Ebert-Stiftung, Bonn 1 Problembereiche bei der.

Internet: Funktionsweise und Dienste

...ich seh´es kommen !.

PHP und MYSQL am Organisatorisches Der komplette Kurs im Schnelldurchgang Bewertung von wichtig und unwichtig Historisch Kulturwissenschaftliche.

UNIVERSITÄT ZU KÖLN HISTORISCH-KULTURWISSENSCHAFTLICHE INFORMATIONSVERARBEITUNG REUSABLE - CONTENT SS 2013 MARIA WAGNER ReST.

Allgemeine Technologien I Sitzung am Mailserver

Bedeutung von Internet-Technologien

RATEME 2.0 Pirmin Schürmann, Thomas Junghans, HSZ-T.

RATEME Suchen und Bewerten von Ausgangsorten. Inhalt RateMe - Pirmin Schürmann, Thomas Junghans - Hochschule für Technik Zürich 2 Unser Ziel.

Clientseitig Session IDs Erweiterungen wie NoScript Cookies verbieten Serverseitig Tokens HTML Entities verwenden 1.

Daniel Walzenbach Developer Evangelist Microsoft Deutschland GmbH.

Entwicklung verteilter Anwendungen II, SS 13 Prof. Dr. Herrad Schmidt SS 13 Kapitel 4 Folie 2 REST Web Services (1)

Entwicklung verteilter Anwendungen II, SS 13 Prof. Dr. Herrad Schmidt SS 2013 Kapitel 6 Folie 2 WCF Data Services (1) s.a.

Präsentation läuft auch vollautomatisch ab … wie du möchtest

Auslegung eines Vorschubantriebes

Folgendes kann missbraucht werden: formulare unverschlüsselte login-informationen ungeschützte includes SQL-injection reto ambühler

Anwendungen Servlet II Formular Auswertung Zähler

1 DMS EXPO 2009 Keynote Angst und Gier Dr. Ulrich Kampffmeyer PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17.

IF YOU KNOW THE WORDS AND PHRASES, IT’S EASY

RATEME Suchen und Bewerten von Ausgangsorten. Inhalt RateMe - Pirmin Schürmann, Thomas Junghans - Hochschule für Technik Zürich 2 Unser Ziel.

ANDREAS LOHR, OLONDA S.R.O. Einfach anfangen mit HTML.

Das Internet Von Stefan Pfleger Stefan Pfleger.

Wie man Webanwendungen vor Angriffen schützen kann

Oliver Spritzendorfer Thomas Fekete

Analyseprodukte numerischer Modelle

Web 2.0 & AJAX (A)sysnchrones (J)avaScript (A)nd (X)ML

Hacking InfoPoint Jörg Wüthrich Infopoint - Hacking - Jörg Wüthrich 2/26 Inhalte Rund um das Thema Hacking Angriffs-Techniken Session.

Mag. Andreas Starzer weloveIT – EDV Dienstleistungen

2014 Januar 2014 So Mo Di Mi Do Fr Sa So

RATEME Suchen und Bewerten von Ausgangsorten. Inhalt RateMe - Pirmin Schürmann, Thomas Junghans - Hochschule für Technik Zürich 2 Unser Ziel.

HTTP IT-Zertifikat Universität zu Köln Allgemeine Technologien II

IT Security Cross Protocol Scripting & NAT Pinning Emanuel Klein.

MSDN TechTalk Anwendungen integrieren in Microsoft Dynamics CRM 4.0.

Daniel Franke Tim Benedict Jagla Matthias Thimm.

Wie funktionieren Internetseiten? Html und Co – Teil 2 Heimo Reiter.

Der Erotik Kalender 2005.

W W W - World Wide Web. Das World Wide Web kommt aus dem Englischen und bedeutet ‚Weltweites Netz‘ ist ein über das Internet abrufbares Hypertext-System.

© Fink/Spengler/AINF-Lehrgang 2003 – Folie 1 AINF/3. Jahrgang Netzwerke Anwendungen (Clientseitig) Karl Brenner, Andreas Fink, Gerhard Jüngling, Albert.

Tutorium zur LV Forschungspraktikum II (Higher Education) Ein Computerprogramm tut, was Du schreibst, nicht was Du willst.

Ajax und Webentwicklung mit Prototype

prof. dr. dieter steinmannfachhochschule trier © prof. dr. dieter steinmann Folie 1 vom Montag, 30. März 2015.

->Prinzip ->Systeme ->Peer – to – Peer

Exploiting Web Applications

Datenbanken im Web 1.

Rechen- und Kommunikationszentrum (RZ) Sicherheitsorientierte Webentwicklung am Beispiel der Matse-Dienste Jan-Frederic Janssen.

Sicherheit in Webanwendungen „CrossSite“, „Session“ und „SQL“ Angriffstechniken und Abwehrmaßnahmen Mario Klump.

Chaosseminar Gefahren für den Internet Client. Angriffsscenario ● DSL / – Mit oder ohne WLAN AP? ● Öffentlicher Hotspot – Bahnhof / Flughafen.

OAuth 2.0 Ralf Hoffmann 03 / 2017

TRACKING Quelle: Fotolia by Adobe.

Präsentation transkript:

Daniel Franke Tim Benedict Jagla Matthias Thimm Cross-Site-Scripting und Cross-Site-Request Schwachstellen in Web Applikationen Daniel Franke Tim Benedict Jagla Matthias Thimm

Cross-Site-Scripting

XSS Allgemein Cross Site Scripting Folge: Manipulation Zugang Einschleusen von Schadcode um Browserausgabe zu manipulieren Folge: Manipulation HTML-Formulare Cookies URL‘s Zugang Clientseitige Sprachen Z.B. JavaScript VBScript Flash

XSS (non-persistent/reflected)

XSS (non-persistent/reflected)

XSS (non-persistent/reflected)

XSS (non-persistent/reflected)

XSS (non-persistent/reflected) Gefahren CookieCatcher Link obfuscating „Nice to know“ Auch in <img> tag kann eine HTTP GET Request eingebettet werden

XSS (persistent/stored)

XSS (persistent/stored)

XSS (persistent/stored)

XSS (persistent/stored)

XSS (persistent/stored)

XSS (persistent/stored) MySpace Oktober 2005 „Samy Worm“ by Samy Kamkar OZ: “but most of all, Samy is my hero“ In 20 Stunden über eine Million “Infizierungen”

XSS (DOM-based)

XSS (DOM-based)

XSS (DOM-based) Twitter Anfang 2011 (function(g){ var a=location.href.split("#!")[1]; if(a){ g.location=g.HBR=a; } })(window); http://twitter.com/#!javascript:alert(document.domain);

Cross-Site Request-Forgery

CSRF Was ist CSRF? Unterschieben eines URL-Aufrufes Automatisches authentifizieren & ausführen

CSRF Vorgehen

CSRF Gefahr Jede Serverseitige Aktion ist anfällig Ja: JEDE !!! Bsp: http://www.example.com/Logout

CSRF Ursache Zustandslosigkeit Automatische Authentifikation (Cookies)

CSRF ING-Direct Sept. 2008 Google Mail 2007 U.a. Überweisungen möglich Automatische Authentifikation (Cookies) Google Mail 2007 Filteränderungen und Umleitungen möglich

CSRF Aspekte Authentizität Integrität (Verfügbarkeit) (Vertraulichkeit)

Schutzmaßnahmen

Allgemeine Schutzmaßnamen Clientseitig Session IDs Erweiterungen wie NoScript Cookies verbieten Serverseitig Tokens HTML Entities verwenden URL Encode verwenden

Exkurs: HTML Entities & URL Encode Beispiel Anfrage in Formularfeld: <script>alert('XSS')</script> Anfrage in HTML Entities: <script>alert('XSS')</script> Anfrage in URL Encode: %3Cscript%3Ealert%28%27XSS%27%29%3C%2Fscript%3E JavaScript Interpreter: „?“

Üblicher Schutz vor CSRF Funktion Serverseitig werden HTTP Requests (bis auf POST) eingeschränkt Token werden verwendet Nachteile Server muss Token verwalten Token muss Formularfeld zugeordnet sein Abgelaufene Token müssen ungültig gemacht werden  DoS [T1]

Schutz vor CSRF: Double-Submit Cookie [ZF08] Funktion Braucht keine serverseitigen Zustände mehr Zwei Tokens Einer im Cookie Einer im Request Vorteile „Same-Origin-Policy“ für Cookies Sind die Tokens identisch kommen Cookie und Request von derselben Ressource Nachteile Modifikationen im Applikation Code

Schutz vor CSRF: Double-Submit Cookie+ [LTJ12] Funktion Serverseitig Proxy („Gatekeeper“) validiert Token Whitelist für Einstiegspunkte in Applikation ohne Token (Bilder, JavaScript, CSS) „Gatekeeper“ fügt jedem ausgehenden HTML eine JavaScript Library hinzu HTTP Request Möglichkeiten Requests durch Interaktion mit DOM Implizite Requests durch HTML tags Requests von JavaScripts XMLHttpRequest Weiterleitungen seitens des Servers

Quellen [SJW07] [Kurtz10] [LTJ12] [ST12] [Klein05] [T1] A. Wiegenstein, Dr. M. Schuhmacher, X. Jia, F. Weidemann, „The Cross Site Scripting Threat“ [Kurtz10] A. Kurtz, „Bedrohung Cross-Site Request-Forgery – Grenzüberschreitung: Die „andere“ Schwachstelle in Web-Applikationen [LTJ12] S. Lekies, W. Tighzert, M. Johns, „Towards stateless, client-side driven Cross-Site Request Forgery protection für Web applications“ [ST12] L. K. Shar, H. B. K. Tan, „Defending against Cross-Site Scripting Attacks“ [Klein05] A. Klein, “DOM Based Cross Site Scripting or XSS of the Third Kind” [T1] http://wp.dynaperl.de/2008/11/29/tcp-syn-dos/

FRAGEN!?

Vielen Dank für die Aufmerksamkeit