Cross-Site Scripting - Ruhr

Transcription

Cross-Site Scripting - Ruhr
NDS, Ruhr-Universität Bochum
Cross-Site Scripting
Schülertag 2012
Vorstellung
●
Mario Heiderich
●
Pentester für Microsoft, Redmond
●
Pentester für Deutsche Post AG, Bonn
●
Doktorand an der Ruhr-Universität Bochum
●
HTML5 Security Cheatsheet
–
–
●
@0x6D6172696F
[email protected]
Juraj Somorovsky
●
Doktorand an der Ruhr-Universität Bochum
●
Amazon Hack
●
Krypto und XML Sicherheit
–
–
@jurajsomorovsky
[email protected]
Und Ihr?
Themen Heute
●
●
XSS
●
ASCII / HTML/ JavaScript / Basics
●
Angriffe auf Webseiten
●
Challenge Time!
Diskussion
Schichtenmodell
ASCII
●
American Standard Code for Information Exchange
●
●
man ascii oder http://is.gd/E50iiF
Essentiell wichtig für IT Security & Co.
Encoding
●
Alternative Repräsentation
●
Kritische Zeichen werden in Entitäten umgewandelt
●
Referenz: ASCII Tabelle
●
Doublequote wird zu "
●
Oder "
●
Oder "
●
Oder &QUOT
●
Oder "
●
Oder...
HTML
●
●
Tags, Elemente und Attribute
●
<b>ich bin bold</b>
●
<img src=“/ein_bild.jpg“>
●
<s style=“color:red“>rot und durchgestrichen</s>
JavaScript und Events
●
<div onclick=“alert('hello!')“>Click Me!</div>
XSS und HTML
●
Aus Attributen ausbrechen
●
Neues HTML injzieren
●
●
<form action=“USERINPUT“>
●
<form action=“EVIL“INPUT“>
●
<form action=“EVIL“ onclick=alert(1)//“>
●
<form action=““><script>alert(1)</script>“>
Einfach – oder?
Handwerkszeug
●
Browser
●
Zeichen wie <, “, '
●
HTML und Events zum injizieren
●
“onclick=alert(document.domain)//
●
“><script>alert(document.cookie)</script>
●
Und „User Generated Input“
●
Zum Beispiel Google Suche? Nay
●
Vielleicht hier?
●
http://www.rtp.pt/icmblogs/rtp/prova-oral/
●
Yay :)
Auswirkungen
●
Daten klauen – Userverhalten „imitieren“
●
Angriffe auf Firmen-Intranets
●
Samy-Wurm
●
Twitter-Wurm
●
Apache Bug-Tracker → Root Access
●
Server formatieren
●
Also: Alles was User und Browser können...
...kann der Angreifer mit XSS ebenso!
Hands-On Challenge!
Challenge 1: Hey, not too tough
http://xss-quiz.int21h.jp/
Challenge 2: Hurt Me Plenty
http://tr3w.net/misc/challenges/ch2.php
Challenge 3: Nightmare
http://html5sec.org/xssme
Diskussion
●
Noch Fragen?
●
Ethik nicht vergessen :)
●
Danke für Eure Zeit!