Daniel Franke Tim Benedict Jagla Matthias Thimm

 Cross Site Scripting Einschleusen von Schadcode um Browserausgabe zu manipulieren  Folge: Manipulation HTML-Formulare Cookies URL‘s  Zugang Clientseitige Sprachen Z.B. JavaScript VBScript Flash 4

6

7

8

 Gefahren CookieCatcher Link obfuscating „Nice to know“ Auch in tag kann eine HTTP GET Request eingebettet werden 9

11

12

13

14

 MySpace Oktober 2005 „Samy Worm“ by Samy Kamkar OZ: “but most of all, Samy is my hero“ In 20 Stunden über eine Million “Infizierungen” 15

17

 Twitter Anfang 2011 (function(g){ var a=location.href.split("#!")[1]; if(a){ g.location=g.HBR=a; } })(window); alert(document.domain); 18

 Was ist CSRF? Unterschieben eines URL-Aufrufes Automatisches authentifizieren & ausführen 20

 Vorgehen 21

 Gefahr Jede Serverseitige Aktion ist anfällig Ja: JEDE !!! Bsp: 22

 Ursache Zustandslosigkeit Automatische Authentifikation (Cookies) 23

 ING-Direct Sept U.a. Überweisungen möglich Automatische Authentifikation (Cookies)  Google Mail 2007 Filteränderungen und Umleitungen möglich 24

 Aspekte Authentizität Integrität (Verfügbarkeit) (Vertraulichkeit) 25

 Clientseitig Session IDs Erweiterungen wie NoScript Cookies verbieten  Serverseitig Tokens HTML Entities verwenden URL Encode verwenden 27

 Beispiel Anfrage in Formularfeld: alert('XSS') Anfrage in HTML Entities: <script>alert('XSS')</scri pt> Anfrage in URL Encode: %3Cscript%3Ealert%28%27XSS%27%29%3C% 2Fscript%3E JavaScript Interpreter: „?“ 28

 Funktion Serverseitig werden HTTP Requests (bis auf POST) eingeschränkt Token werden verwendet  Nachteile Server muss Token verwalten Token muss Formularfeld zugeordnet sein Abgelaufene Token müssen ungültig gemacht werden  DoS 29 [T1]

 Funktion Braucht keine serverseitigen Zustände mehr Zwei Tokens Einer im Cookie Einer im Request  Vorteile „Same-Origin-Policy“ für Cookies Sind die Tokens identisch kommen Cookie und Request von derselben Ressource  Nachteile Modifikationen im Applikation Code 30

 Funktion Serverseitig Proxy („Gatekeeper“) validiert Token Whitelist für Einstiegspunkte in Applikation ohne Token (Bilder, JavaScript, CSS) „Gatekeeper“ fügt jedem ausgehenden HTML eine JavaScript Library hinzu  HTTP Request Möglichkeiten Requests durch Interaktion mit DOM Implizite Requests durch HTML tags Requests von JavaScripts XMLHttpRequest Weiterleitungen seitens des Servers 31

 Validierung via location.host DOM des übergeordneten Fensters  Token wird geliefert sofern der Frame validiert wurde 32

 [SJW07] A. Wiegenstein, Dr. M. Schuhmacher, X. Jia, F. Weidemann, „The Cross Site Scripting Threat“  [Kurtz10] A. Kurtz, „Bedrohung Cross-Site Request-Forgery – Grenzüberschreitung: Die „andere“ Schwachstelle in Web-Applikationen  [LTJ12] S. Lekies, W. Tighzert, M. Johns, „Towards stateless, client-side driven Cross-Site Request Forgery protection für Web applications“  [ST12] L. K. Shar, H. B. K. Tan, „Defending against Cross-Site Scripting Attacks“  [Klein05] A. Klein, “DOM Based Cross Site Scripting or XSS of the Third Kind”  [ZF08] W. Zeller, E. W. Felten, “Cross- Site Request Forgeries: Exploitation and Prevention”  [T1] 1/29/tcp-syn-dos/ 33

Vielen Dank für die Aufmerksamkeit