docCross-Site Scripting - Ruhr
download 
Report Transcription
Cross-Site Scripting - Ruhr
NDS, Ruhr-Universität Bochum Cross-Site Scripting Schülertag 2012 Vorstellung ● Mario Heiderich ● Pentester für Microsoft, Redmond ● Pentester für Deutsche Post AG, Bonn ● Doktorand an der Ruhr-Universität Bochum ● HTML5 Security Cheatsheet – – ● @0x6D6172696F [email protected] Juraj Somorovsky ● Doktorand an der Ruhr-Universität Bochum ● Amazon Hack ● Krypto und XML Sicherheit – – @jurajsomorovsky [email protected] Und Ihr? Themen Heute ● ● XSS ● ASCII / HTML/ JavaScript / Basics ● Angriffe auf Webseiten ● Challenge Time! Diskussion Schichtenmodell ASCII ● American Standard Code for Information Exchange ● ● man ascii oder http://is.gd/E50iiF Essentiell wichtig für IT Security & Co. Encoding ● Alternative Repräsentation ● Kritische Zeichen werden in Entitäten umgewandelt ● Referenz: ASCII Tabelle ● Doublequote wird zu " ● Oder " ● Oder " ● Oder " ● Oder " ● Oder... HTML ● ● Tags, Elemente und Attribute ● <b>ich bin bold</b> ● <img src=“/ein_bild.jpg“> ● <s style=“color:red“>rot und durchgestrichen</s> JavaScript und Events ● <div onclick=“alert('hello!')“>Click Me!</div> XSS und HTML ● Aus Attributen ausbrechen ● Neues HTML injzieren ● ● <form action=“USERINPUT“> ● <form action=“EVIL“INPUT“> ● <form action=“EVIL“ onclick=alert(1)//“> ● <form action=““><script>alert(1)</script>“> Einfach – oder? Handwerkszeug ● Browser ● Zeichen wie <, “, ' ● HTML und Events zum injizieren ● “onclick=alert(document.domain)// ● “><script>alert(document.cookie)</script> ● Und „User Generated Input“ ● Zum Beispiel Google Suche? Nay ● Vielleicht hier? ● http://www.rtp.pt/icmblogs/rtp/prova-oral/ ● Yay :) Auswirkungen ● Daten klauen – Userverhalten „imitieren“ ● Angriffe auf Firmen-Intranets ● Samy-Wurm ● Twitter-Wurm ● Apache Bug-Tracker → Root Access ● Server formatieren ● Also: Alles was User und Browser können... ...kann der Angreifer mit XSS ebenso! Hands-On Challenge! Challenge 1: Hey, not too tough http://xss-quiz.int21h.jp/ Challenge 2: Hurt Me Plenty http://tr3w.net/misc/challenges/ch2.php Challenge 3: Nightmare http://html5sec.org/xssme Diskussion ● Noch Fragen? ● Ethik nicht vergessen :) ● Danke für Eure Zeit!
