Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Clientseitig Session IDs Erweiterungen wie NoScript Cookies verbieten Serverseitig Tokens HTML Entities verwenden 1.

Veröffentlicht von:Hagan Gerding Geändert vor über 10 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "Clientseitig Session IDs Erweiterungen wie NoScript Cookies verbieten Serverseitig Tokens HTML Entities verwenden 1."—  Präsentation transkript:

1 Clientseitig Session IDs Erweiterungen wie NoScript Cookies verbieten Serverseitig Tokens HTML Entities verwenden 1

2 Beispiel Anfrage in Formularfeld: alert("XSS") Anfrage in HTML Entities: %3Cscript%3Ealtert%28%22X SS%22%28%3C%2Fscript%3E JavaScript Interpreter: ? 2

3 Funktion Serverseitig werden HTTP Requests (bis auf POST) eingeschränkt Token werden verwendet Nachteile Server muss Token verwalten Token muss Formularfeld zugeordnet sein Abgelaufene Token müssen ungültig gemacht werden DoS 3

4 Funktion Braucht keine serverseitigen Zustände mehr Zwei Tokens Einer im Cookie Einer im Request Vorteile Same-Origin-Policy für Cookies Sind die Tokens identisch kommen Cookie und Request von derselben Ressource Nachteile Modifikationen im Applikation Code 4

5 Funktion Serverseitig Proxy (Gatekeeper) validiert Token Whitelist für Einstieg in Applikation ohne Token (Bilder, JavaScript, CSS) Gatekeeper fügt jedem ausgehenden HTML eine JavaScript Library hinzu HTTP Request Möglichkeiten Requests durch Interaktion mit DOM Implizite Requests durch HTML tags Requests von JavaScripts XMLHttpRequest Weiterleitungen seitens des Servers 5

Herunterladen ppt "Clientseitig Session IDs Erweiterungen wie NoScript Cookies verbieten Serverseitig Tokens HTML Entities verwenden 1."

Ähnliche Präsentationen

DI Christian Donner cd (at) donners.com

DI Christian Donner cd (at) donners.com
Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.

Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.
GWT - google Web Toolkit

GWT - google Web Toolkit
Be.as WEB Technologie 25.03.2017.

Be.as WEB Technologie
Software Engineering Praktikum SS 2003

Software Engineering Praktikum SS 2003
Inhalt – Technische Grundlagen

Inhalt – Technische Grundlagen
Aufbau des Internets Überblick Prof. Dr. T. Hildebrandt

Aufbau des Internets Überblick Prof. Dr. T. Hildebrandt
Basis-Architekturen für Web-Anwendungen

Basis-Architekturen für Web-Anwendungen
Vs9.61 9.6 Das World-Wide Web ist ursprüglich keine Middleware, sondern ein Internet-Dienst zur Beschaffung von Dokumenten (downloading) aus entfernten.

Vs Das World-Wide Web ist ursprüglich keine Middleware, sondern ein Internet-Dienst zur Beschaffung von Dokumenten (downloading) aus entfernten.
Daniel Höfler Markus Thurner XMLApplicationPlatform Siemens OpenStage 60/80.

Daniel Höfler Markus Thurner XMLApplicationPlatform Siemens OpenStage 60/80.
Stefanie Selzer - Pascal Busch - Michael Kropiwoda

Stefanie Selzer - Pascal Busch - Michael Kropiwoda
Architektur von Web- Informationssystemen. © Prof. T. Kudraß, HTWK Leipzig Techniken zur DB-Server- Anbindung Client-Seite Java Applet ActiveXPlugInCGISSIServer.

Architektur von Web- Informationssystemen. © Prof. T. Kudraß, HTWK Leipzig Techniken zur DB-Server- Anbindung Client-Seite Java Applet ActiveXPlugInCGISSIServer.
Spezielle Aspekte der Anbindung von Datenbanken im Web.

Spezielle Aspekte der Anbindung von Datenbanken im Web.
Hassan Bidani Jallal Alami Rahmouni FH Wiesbaden

Hassan Bidani Jallal Alami Rahmouni FH Wiesbaden
Struts Seminar Javabasierte Webanwendungen. Tobias Kutzler2 Überblick Historie Was ist Struts? Model Controller View Zusammenfassung.

Struts Seminar Javabasierte Webanwendungen. Tobias Kutzler2 Überblick Historie Was ist Struts? Model Controller View Zusammenfassung.
Technik Gestaltung Navigation Daten. Übersicht Client Webbrowser InternetServer.

Technik Gestaltung Navigation Daten. Übersicht Client Webbrowser InternetServer.
ROUTINGVERFAHREN ZUR LASTVERTEILUNG IN CONTENT-DELIVERY-NETWORKS

ROUTINGVERFAHREN ZUR LASTVERTEILUNG IN CONTENT-DELIVERY-NETWORKS
Seminarvotrag: PHP Von Stefan Niemczyk.

Seminarvotrag: PHP Von Stefan Niemczyk.
Zukunft des Webs? Dennis Beer Christian Blinde

Zukunft des Webs? Dennis Beer Christian Blinde
Seite 0 02.11.2005 Common Gateway Interface. Konzepte. Übersicht 1Einleitung 2Was ist CGI? 3Wozu wird CGI verwendet? 4Geschichtlicher Überblick 5Grundvoraussetzungen.

Seite Common Gateway Interface. Konzepte. Übersicht 1Einleitung 2Was ist CGI? 3Wozu wird CGI verwendet? 4Geschichtlicher Überblick 5Grundvoraussetzungen.

Ähnliche Präsentationen

Google-Anzeigen