Upload
krassen-deltchev
View
21
Download
1
Embed Size (px)
DESCRIPTION
Presentation to the M.Sc. project thesis: DOM-based XSS to the Chair of Network and Data Security, RUB, HGI Prof. Jörg Schwenk The paper will be soon available- after the attestation.
Citation preview
DOM-based XSS
Krassen Deltchev Zdravko Danailov
{Krassen Deltchev|Zdravko Danailov} %2540 %2540 rub.de
10.04.12
2
Gliederung
1. Stats und Grundwissen
2. Klassische XSS vs. DOMXSS
3. Technischer Hintergrund
4. S3 Meta-Model
5. URL- obfuscation
6. Demo
7. Verteidigungsmechanismen
8. Ansätze und Modelle
9. Pen-testing tools
10. Zusammenfassung
3
Stats und Grundwissen
Quelle 1
4
Stats und Grundwissen
Quelle 2
5
Klassische XSS vs. DOMXSS
1. Klassische XSS:
NP-XSS( reflected XSS)
P-XSS( stored, persistent XSS)
Man braucht einen laufenden Web-Server
Forensics gibt es, auch WAFs
Man schützt den Server, oder die Server-Konstellation
2. DOMXSS
Klientseitig( client-side)
Ein laufender Web-Server ist nicht unbedingt
Client-Side Forensics s**xs, keine WAFs
Man schützt das Browser-/User-Agent-Verhalten
6
Technischer Hintergrund
7
S3 Meta-Model
8
URL-obfuscation
9
10
Verteidigungsmechanismen
1. Basic level:
Routine tasks
Dokumentation
Version kontrolling
Cheat sheets:
DOM based XSS Prevention Cheat Sheet, in 3
HTML5 Security Cheatsheet, in 4
HTML5_Security_Cheat_Sheet XSS (Cross Site Scripting) Preventi-on Cheat Sheet, in 5
XSS (Cross Site Scripting) Cheat Sheet, Esp: for filter evasion, in 6
2. Advanced level: Approach I & Approach II
3. HoneyWebEnv + WebScarab
11
Verteidigungsmechanismen
Approach I & Approach II
12
Ansätze und ModelleDefensive STO Modell
Level Type Strategical layer Tactical layer Operational layer
Realization(Level of security model)
Basic security All tasks are necessary
Admin tasks, manuals, cheatsheets
Advanced security
Find proper Models: S3MM, AFA
Patterns, Security APIs, Coaching
Execution(Manual vs. Automated)
Questions:●Manual/ automated●concurrency
manual documentation
automated Web-scanners
semi-automated Forensics
Deployment stage Improving the SSDLC
Comparing to other SSDLCs
Apply approprate decisions on every stage of the SDLC
13
Ansätze und Modelle
14
Ansätze und Modelle
15
Ansätze und Modelle
Client-sideWeb-Applicationfiltering
16
Penetration Testing
1. Static code checkers:
DOM XSS Scanner
2. Dynamic code checkers:
DOMScan,
DOMTracer and
WebScarab(NG)
3. Mixed tools:
DOM Snitch
Dominator
4. Educational tools:
WebGoat , innerHTML
17
Zusammenfassung
1. Über 100 Seiten getestet → alle weisen auf XSS, o. DOMXSS
2. Domxsswiki ist wichtig → Literatur organisiert
3. Vereinfachte Modelle sind präsent: S3MM, DSTO, SSDLC, A I & A II
4. S3MM DOMXSS DBS ist wichtig
5. 3rd party libraries brauchen Evaluierung(Dojo, Knockout., Backbone.js etc.)
6. IceShield ist viel versprechend
Nebenläufige Evaluierung
7. PHPIDS & ESAPI4JS brauchen Verbesserung
8. DOMXSS PT-Tools müssen verbessert werden
DOMinator, DOMXSSScanner
9. Kognitive Filter( WOT) und Semantic Search sind wichtig
18
Fragen
19
Quellenverzeichnis
1. 2011: Web Application Security Metrics Landscape, Arian Evans
2. 2011: WhiteHat Website Security Statistic Report, WhiteHat
3. https://www.owasp.org/index.php/DOM_based_XSS_Prevention_Cheat_Sheet
4. http://html5sec.org/https://www.owasp.org/index.php/
5. https://www.owasp.org/index.php/XSS_Prevention_Cheat_Sheet
6. http://ha.ckers.org/xss.html