Präsentation herunterladen
Die Präsentation wird geladen. Bitte warten
Veröffentlicht von:Hagan Gerding Geändert vor über 10 Jahren
1
Clientseitig Session IDs Erweiterungen wie NoScript Cookies verbieten Serverseitig Tokens HTML Entities verwenden 1
2
Beispiel Anfrage in Formularfeld: alert("XSS") Anfrage in HTML Entities: %3Cscript%3Ealtert%28%22X SS%22%28%3C%2Fscript%3E JavaScript Interpreter: ? 2
3
Funktion Serverseitig werden HTTP Requests (bis auf POST) eingeschränkt Token werden verwendet Nachteile Server muss Token verwalten Token muss Formularfeld zugeordnet sein Abgelaufene Token müssen ungültig gemacht werden DoS 3
4
Funktion Braucht keine serverseitigen Zustände mehr Zwei Tokens Einer im Cookie Einer im Request Vorteile Same-Origin-Policy für Cookies Sind die Tokens identisch kommen Cookie und Request von derselben Ressource Nachteile Modifikationen im Applikation Code 4
5
Funktion Serverseitig Proxy (Gatekeeper) validiert Token Whitelist für Einstieg in Applikation ohne Token (Bilder, JavaScript, CSS) Gatekeeper fügt jedem ausgehenden HTML eine JavaScript Library hinzu HTTP Request Möglichkeiten Requests durch Interaktion mit DOM Implizite Requests durch HTML tags Requests von JavaScripts XMLHttpRequest Weiterleitungen seitens des Servers 5
Ähnliche Präsentationen
© 2024 SlidePlayer.org Inc.
All rights reserved.