20
Cross Site Scripting aka XSS: Начало QAClub #21 1 марта 2012 Колодяжный Иван 1 из 20

Cross Site Scripting aka XSS: Начало

Embed Size (px)

Citation preview

Page 1: Cross Site Scripting aka XSS: Начало

Cross Site Scripting aka XSS: Начало

QAClub #211 марта 2012

Колодяжный Иван

1 из 20

Page 2: Cross Site Scripting aka XSS: Начало

QAClub #21

Agenda

• Безопасность и Web• JavaScript и HTML• XSS – что это такое и с чем его едят?• XSS: тогда и сейчас• Делаем первые шаги• Как это было у них?• Поиск XSS на сайте• Что дальше?• Пару слов о защите

2 из 20

Page 3: Cross Site Scripting aka XSS: Начало

QAClub #21

Безопасность и Web

• Пользовательские данные

• Вирусы и трояны• Атаки на сайты

3 из 20

Page 4: Cross Site Scripting aka XSS: Начало

QAClub #21

JavaScript и HTML

• Как работает браузер?• Что из себя представляет HTML?• DOM модель• JavaScript• Cookies

4 из 20

Page 5: Cross Site Scripting aka XSS: Начало

QAClub #21

XSS – что это такое и с чем его едят?

• Буквально: «межсайтовый скриптинг»• По факту: XSS injection – инъекция

сторонних скриптов на атакуемый сайт

5 из 20

Page 6: Cross Site Scripting aka XSS: Начало

QAClub #21

XSS: тогда и сейчас

• 1990-е: фан и печеньки– Прикалываться над пользователями– Воровать админские cookies на форумах

• 2000-е: карты, деньги, два ствола– Все так же воруем аккаунты– Показываем баннеры и рекламу– Атакуем «чужие» сайты

6 из 20

Page 7: Cross Site Scripting aka XSS: Начало

QAClub #21

Делаем первые шаги

7 из 20

Page 8: Cross Site Scripting aka XSS: Начало

QAClub #21

Задача

• Внедрить скрипт на сайт:<script>alert(‘hello QAClub’)</script>

8 из 20

Page 9: Cross Site Scripting aka XSS: Начало

QAClub #21

Способы решения

• Заставить пользователя перейти по ссылке• Ввести скрипт на в поле ввода• Прячем скрипт• Отключение клиентской валидации• Ломать – не строить, или не валидный

HTML• Баги браузеров

9 из 20

Page 10: Cross Site Scripting aka XSS: Начало

QAClub #21

Заставить пользователя перейти по ссылке

• Вариант A:<a href=“mysite.com” onclick=“<script>alert('hello QAClub')</script>”>misite.com</a>

• Вариант B:<a href=“javacript:alert('hello QAClub')”>misite.com</a>

10 из 20

Page 11: Cross Site Scripting aka XSS: Начало

QAClub #21

Ввести скрипт на в поле ввода

• Простой алгоритм:– Находим поле ввода (input)– Вводим в него hello <script>alert('hello

QAClub')</script> QAClub– Смотрим что получилось

11 из 20

Page 12: Cross Site Scripting aka XSS: Начало

QAClub #21

Прячем скрипт

• Самый простой способ – HTML(URL) encode/decode– &lt;script&gt;alert(&#39;hello

QAClub&#39;)&lt;/script&gt;– %3cscript%3ealert(%27hello+QAClub%27)%3c

%2fscript%3e– См. Предыдущий способ

• Advanced level:– Unicode encode– etc

12 из 20

Page 13: Cross Site Scripting aka XSS: Начало

QAClub #21

Отключение клиентской валидации

• Дебаггер JavaScript в браузере• Отправка POST/GET запросов мимо

браузера

13 из 20

Page 14: Cross Site Scripting aka XSS: Начало

QAClub #21

Advanced level

• Ломать – не строить, или не валидный HTML

• Баги браузеров

14 из 20

Page 15: Cross Site Scripting aka XSS: Начало

QAClub #21

Как это было у них?

• Twitter, сентябрь 2011 – неправильная обработка атрибутов тега <img>

• Facebook, апрель 2011 – неправильная обработка атрибутов тега <a>

• Google – Analytics, support forum, Reader

15 из 20

Page 16: Cross Site Scripting aka XSS: Начало

QAClub #21

Поиск XSS на сайте

• Статический анализ кода• Автоматизация поиска на сайте:– Использование Web GUI– Использование POST и GET запросов

16 из 20

Page 17: Cross Site Scripting aka XSS: Начало

QAClub #21

Пару слов о защите

• Не доверять пользовательским данным• Модули для веб-серверов для фильтрации

запросов• IPS/IDS

17 из 20

Page 18: Cross Site Scripting aka XSS: Начало

QAClub #21

Что дальше?

• Advanced способы• Думаем, думаем, думаем• Автоматизация рутины

18 из 20

Page 19: Cross Site Scripting aka XSS: Начало

QAClub #21

Список используемой литаратуры

http://blog.e0ne.info/?tag=/xss

19 из 20

http://blog.e0ne.info/?tag=/xss
http://blog.e0ne.info/?tag=/xss
Page 20: Cross Site Scripting aka XSS: Начало

Спасибо

Skype: e0ne-userBlog: http://blog.e0ne.info/

QAClub #21 19 из 19

E-mail: [email protected]: @e0ne

http://blog.e0ne.info/
mailto:[email protected]
http://twitter.com/e0ne

XSSフィルターを利用したXSS攻撃 by Masato Kinugawa

XSSフィルターを利用したXSS攻撃 by Masato Kinugawa

Software
DOM-based XSS

DOM-based XSS

Education
A2 Cross-Site Scripting (XSS).pptx

A2 Cross-Site Scripting (XSS).pptx

Documents
XSS (Cross-site scripting)

XSS (Cross-site scripting)

Documents
Aula 10 - Cross Site Scripting (XSS)

Aula 10 - Cross Site Scripting (XSS)

Technology
Scripting Windows A. Habert C. Bravo Scripting Antoine ...thomashenrywarner.free.fr/eBooks/Scripting/Scripting Windows... · De Windows NT4 à Windows XP et 2003, ... constantes,

Scripting Windows A. Habert C. Bravo Scripting Antoine ...thomashenrywarner.free.fr/eBooks/Scripting/Scripting Windows... · De Windows NT4 à Windows XP et 2003, ... constantes,

Documents
IoTデバイス脆弱性テストの決定版!A6 Security Misconfiguration A7 Cross-Site Scripting (XSS) A8 Insecure Deserialization A9 Using Components with Known Vulnerabilities

IoTデバイス脆弱性テストの決定版!A6 Security Misconfiguration A7 Cross-Site Scripting (XSS) A8 Insecure Deserialization A9 Using Components with Known Vulnerabilities

Documents
Karya tulis sebagai salah satu syarat untuk memperoleh ...budi.rahardjo.id/files/students/thesis-yogi.pdf · LDAP Lightweight Directory Access Protocol 12 XSS Cross – Site Scripting

Karya tulis sebagai salah satu syarat untuk memperoleh ...budi.rahardjo.id/files/students/thesis-yogi.pdf · LDAP Lightweight Directory Access Protocol 12 XSS Cross – Site Scripting

Documents
SowareDefinedPerimeter( - CLOUDSEC · " NCR " New Delhi " Chennai " Pune . TECH ... Scan the network Pass-the ... Cross Site Scripting (XSS) Directory traversal Attack the backup

SowareDefinedPerimeter( - CLOUDSEC · " NCR " New Delhi " Chennai " Pune . TECH ... Scan the network Pass-the ... Cross Site Scripting (XSS) Directory traversal Attack the backup

Documents
Owasp Serbia: sqli,xss

Owasp Serbia: sqli,xss

Technology
Encontrando Vulnerabilidades XSS

Encontrando Vulnerabilidades XSS

Documents
Cross Site Scripting(XSS)

Cross Site Scripting(XSS)

Internet
Corporación Ornitorrinco Labs · 2020. 1. 17. · A3-Secuencia de comandos en sitios cruzados XSS A4-Fallas de cross site scripting XSS A4-Fallas de cross site scripting XSS A4-Referencia

Corporación Ornitorrinco Labs · 2020. 1. 17. · A3-Secuencia de comandos en sitios cruzados XSS A4-Fallas de cross site scripting XSS A4-Fallas de cross site scripting XSS A4-Referencia

Documents
Netscaler WAF XSS

Netscaler WAF XSS

Technology
2018...BlackJack Online Casino Game 2.5 2018-05-17 44639 XSS 中 高 SuperCom Online Shopping Ecommerce Cart 1 - Persistent Cross-Site scripting profile="/> SuperCom Online Shopping

2018...BlackJack Online Casino Game 2.5 2018-05-17 44639 XSS 中 高 SuperCom Online Shopping Ecommerce Cart 1 - Persistent Cross-Site scripting profile="/> SuperCom Online Shopping

Documents
XSS Google Persistentes

XSS Google Persistentes

Technology
Segurança em aplicações Web CSRF (Cross-Site Request Forgery) XSS (Cross-Site Scripting)

Segurança em aplicações Web CSRF (Cross-Site Request Forgery) XSS (Cross-Site Scripting)

Documents
XSS&Phishing 2011.6.29

XSS&Phishing 2011.6.29

Documents
WEB前端攻擊與防禦 - HITCON · 2015-08-28 · ★ XSS ★ CSRF ★ 操作挾持. XSS ... A3 Cross-Site Scripting (XSS) (was formerly 2010-A2) A4 Insecure Direct Object References

WEB前端攻擊與防禦 - HITCON · 2015-08-28 · ★ XSS ★ CSRF ★ 操作挾持. XSS ... A3 Cross-Site Scripting (XSS) (was formerly 2010-A2) A4 Insecure Direct Object References

Documents
La sécurité pour les développeurs - RMLL...OWASP 2013 Failles d'injection Violation d'authentification et de Session Cross-Site Scripting (XSS) Référence directe non sécurisée

La sécurité pour les développeurs - RMLL...OWASP 2013 Failles d'injection Violation d'authentification et de Session Cross-Site Scripting (XSS) Référence directe non sécurisée

Documents
XSS con Javascript

XSS con Javascript

Education
OWASP Top 10 (2004), arXiv:1410.4207v1 [cs.CR] 15 Oct 2014 · Abstract. Since the rst publication of the \OWASP Top 10" (2004), cross-site scripting (XSS) vulnerabilities have always

OWASP Top 10 (2004), arXiv:1410.4207v1 [cs.CR] 15 Oct 2014 · Abstract. Since the rst publication of the \OWASP Top 10" (2004), cross-site scripting (XSS) vulnerabilities have always

Documents
 · Web viewCross Site Scripting (XSS) Session Hijacking Malicious File Execution Directory traversals Remote File Inclusion Attacks OS Command Injection Scanning/Probing – scanning

 · Web viewCross Site Scripting (XSS) Session Hijacking Malicious File Execution Directory traversals Remote File Inclusion Attacks OS Command Injection Scanning/Probing – scanning

Documents
XSS Attacks Exploiting XSS Filter by Masato Kinugawa - CODE BLUE 2015

XSS Attacks Exploiting XSS Filter by Masato Kinugawa - CODE BLUE 2015

Software
Cross Site Scripting Phishingrepository.root-me.org/Exploitation - Web/FR - XSS et phishing.pdf · Librairies PEAR en PHP Modèles MVC Attention aux bugs dans les serveurs eux même

Cross Site Scripting Phishingrepository.root-me.org/Exploitation - Web/FR - XSS et phishing.pdf · Librairies PEAR en PHP Modèles MVC Attention aux bugs dans les serveurs eux même

Documents
Cross Site Scripting(XSS) - ghostshell.tistory.comghostshell.tistory.com/attachment/cfile2.uf@2337C748510CAA1928E55A.pdf · 공격자의 C:\xss\xss.txt 파일에는 쿠키 값이

Cross Site Scripting(XSS) - ghostshell.tistory.comghostshell.tistory.com/attachment/[email protected] · 공격자의 C:\xss\xss.txt 파일에는 쿠키 값이

Documents
Shibuya xss lt

Shibuya xss lt

Documents
4Developers 2015: Frameworki jee vs cross-site scripting (xss) - Piotr Bucki

4Developers 2015: Frameworki jee vs cross-site scripting (xss) - Piotr Bucki

Software
XSS Injection ou Cross Site Scripting e seus perigos

XSS Injection ou Cross Site Scripting e seus perigos

Technology
Chuyên đề XSS

Chuyên đề XSS

Documents