Presentation to the M.Sc. project thesis:
DOM-based XSS to the
Chair of Network and Data Security,
RUB, HGI
Prof. Jörg Schwenk
The paper will be soon available- after the attestation.
5. Klassische XSS vs. DOMXSS
1. Klassische XSS:
NP-XSS( reflected XSS)
P-XSS( stored, persistent XSS)
Man braucht einen laufenden Web-Server
Forensics gibt es, auch WAFs
Man schützt den Server, oder die Server-Konstellation
2. DOMXSS
Klientseitig( client-side)
Ein laufender Web-Server ist nicht unbedingt
Client-Side Forensics s**xs, keine WAFs
Man schützt das Browser-/User-Agent-Verhalten 5
12. Ansätze und Modelle
Defensive STO Modell
Level Type Strategical layer Tactical layer Operational layer
Realization Basic security All tasks are Admin tasks,
(Level of security necessary manuals,
model) cheatsheets
Advanced Find proper Models: Patterns, Security
security S3MM, AFA APIs, Coaching
Execution Questions: manual documentation
(Manual vs. ●Manual/
automated Web-scanners
Automated) automated
●concurrency semi-automated Forensics
Deployment stage Improving the Comparing to other Apply approprate
SSDLC SSDLCs decisions on every
stage of the SDLC 12
17. Zusammenfassung
1. Über 100 Seiten getestet → alle weisen auf XSS, o. DOMXSS
2. Domxsswiki ist wichtig → Literatur organisiert
3. Vereinfachte Modelle sind präsent: S3MM, DSTO, SSDLC, A I & A II
4. S3MM DOMXSS DBS ist wichtig
5. 3rd party libraries brauchen Evaluierung(Dojo, Knockout., Backbone.js etc.)
6. IceShield ist viel versprechend
Nebenläufige Evaluierung
7. PHPIDS & ESAPI4JS brauchen Verbesserung
8. DOMXSS PT-Tools müssen verbessert werden
DOMinator, DOMXSSScanner
17
9. Kognitive Filter( WOT) und Semantic Search sind wichtig