SlideShare une entreprise Scribd logo

DOM-based XSS

Krassen Deltchev
Krassen Deltchev

Presentation to the M.Sc. project thesis: DOM-based XSS to the Chair of Network and Data Security, RUB, HGI Prof. Jörg Schwenk The paper will be soon available- after the attestation.

FormationTechnologie
1  sur  19
Télécharger pour lire hors ligne
DOM-based XSS Krassen Deltchev Zdravko Danailov {Krassen Deltchev|Zdravko Danailov} %2540 rub.de 10.04.12
Gliederung 1. Stats und Grundwissen 2. Klassische XSS vs. DOMXSS 3. Technischer Hintergrund 4. S3 Meta-Model 5. URL- obfuscation 6. Demo 7. Verteidigungsmechanismen 8. Ansätze und Modelle 9. Pen-testing tools 2 10. Zusammenfassung
Stats und Grundwissen 3 Quelle 1
Stats und Grundwissen 4 Quelle 2
Klassische XSS vs. DOMXSS 1. Klassische XSS:  NP-XSS( reflected XSS)  P-XSS( stored, persistent XSS)  Man braucht einen laufenden Web-Server  Forensics gibt es, auch WAFs  Man schützt den Server, oder die Server-Konstellation 2. DOMXSS  Klientseitig( client-side)  Ein laufender Web-Server ist nicht unbedingt  Client-Side Forensics s**xs, keine WAFs  Man schützt das Browser-/User-Agent-Verhalten 5
Technischer Hintergrund 6
S3 Meta-Model 7
URL-obfuscation 8
9
Verteidigungsmechanismen 1. Basic level:  Routine tasks  Dokumentation  Version kontrolling  Cheat sheets:  DOM based XSS Prevention Cheat Sheet, in 3  HTML5 Security Cheatsheet, in 4  HTML5_Security_Cheat_Sheet XSS (Cross Site Scripting) Preventi- on Cheat Sheet, in 5  XSS (Cross Site Scripting) Cheat Sheet, Esp: for filter evasion, in 6 2. Advanced level: Approach I & Approach II 3. HoneyWebEnv + WebScarab 10
Verteidigungsmechanismen Approach I & Approach II 11
Ansätze und Modelle Defensive STO Modell Level Type Strategical layer Tactical layer Operational layer Realization Basic security All tasks are Admin tasks, (Level of security necessary manuals, model) cheatsheets Advanced Find proper Models: Patterns, Security security S3MM, AFA APIs, Coaching Execution Questions: manual documentation (Manual vs. ●Manual/ automated Web-scanners Automated) automated ●concurrency semi-automated Forensics Deployment stage Improving the Comparing to other Apply approprate SSDLC SSDLCs decisions on every stage of the SDLC 12
Ansätze und Modelle 13
Ansätze und Modelle 14
Ansätze und Modelle Client-side Web-Application filtering 15
Penetration Testing 1. Static code checkers:  DOM XSS Scanner 2. Dynamic code checkers:  DOMScan,  DOMTracer and  WebScarab(NG) 3. Mixed tools:  DOM Snitch  Dominator 4. Educational tools: 16  WebGoat , innerHTML
Zusammenfassung 1. Über 100 Seiten getestet → alle weisen auf XSS, o. DOMXSS 2. Domxsswiki ist wichtig → Literatur organisiert 3. Vereinfachte Modelle sind präsent: S3MM, DSTO, SSDLC, A I & A II 4. S3MM DOMXSS DBS ist wichtig 5. 3rd party libraries brauchen Evaluierung(Dojo, Knockout., Backbone.js etc.) 6. IceShield ist viel versprechend  Nebenläufige Evaluierung 7. PHPIDS & ESAPI4JS brauchen Verbesserung 8. DOMXSS PT-Tools müssen verbessert werden  DOMinator, DOMXSSScanner 17 9. Kognitive Filter( WOT) und Semantic Search sind wichtig
Fragen 18
Quellenverzeichnis 1. 2011: Web Application Security Metrics Landscape, Arian Evans 2. 2011: WhiteHat Website Security Statistic Report, WhiteHat 3. https://www.owasp.org/index.php/DOM_based_XSS_Prevention_Cheat_S 4. http://html5sec.org/ https://www.owasp.org/index.php/ 5. https://www.owasp.org/index.php/XSS_Prevention_Cheat_Sheet 6. http://ha.ckers.org/xss.html 19

Recommandé

DOM-based XSS
DOM-based XSSDOM-based XSS
DOM-based XSS
Krassen Deltchev
 
Steinzeit war gestern! Wege der Cloud-nativen Evolution.
Steinzeit war gestern! Wege der Cloud-nativen Evolution.Steinzeit war gestern! Wege der Cloud-nativen Evolution.
Steinzeit war gestern! Wege der Cloud-nativen Evolution.
QAware GmbH
 
Microservice architecture applied. 14 Praxis-Tipps für die Nutzung von Micros...
Microservice architecture applied. 14 Praxis-Tipps für die Nutzung von Micros...Microservice architecture applied. 14 Praxis-Tipps für die Nutzung von Micros...
Microservice architecture applied. 14 Praxis-Tipps für die Nutzung von Micros...
Ramon Anger
 
HTML5 Offline - Fallstricke für mobile Webseiten und WebApps
HTML5 Offline - Fallstricke für mobile Webseiten und WebAppsHTML5 Offline - Fallstricke für mobile Webseiten und WebApps
HTML5 Offline - Fallstricke für mobile Webseiten und WebApps
Ulrich Schmidt
 
Quellcode Analyse
Quellcode AnalyseQuellcode Analyse
Quellcode Analyse
Amir Neziri
 
Qualitätssicherung in ADF Projekten der IKB Deutschen Industriebank AG
Qualitätssicherung in ADF Projekten der IKB Deutschen Industriebank AGQualitätssicherung in ADF Projekten der IKB Deutschen Industriebank AG
Qualitätssicherung in ADF Projekten der IKB Deutschen Industriebank AG
Torsten Kleiber
 
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
Carsten Cordes
 
DevOpsCon 2016 - Continuous Security Testing - Stephan Kaps
DevOpsCon 2016 - Continuous Security Testing - Stephan KapsDevOpsCon 2016 - Continuous Security Testing - Stephan Kaps
DevOpsCon 2016 - Continuous Security Testing - Stephan Kaps
Stephan Kaps
 

Recommandé

DOM-based XSS
DOM-based XSSDOM-based XSS
DOM-based XSS
Krassen Deltchev
 
Steinzeit war gestern! Wege der Cloud-nativen Evolution.
Steinzeit war gestern! Wege der Cloud-nativen Evolution.Steinzeit war gestern! Wege der Cloud-nativen Evolution.
Steinzeit war gestern! Wege der Cloud-nativen Evolution.
QAware GmbH
 
Microservice architecture applied. 14 Praxis-Tipps für die Nutzung von Micros...
Microservice architecture applied. 14 Praxis-Tipps für die Nutzung von Micros...Microservice architecture applied. 14 Praxis-Tipps für die Nutzung von Micros...
Microservice architecture applied. 14 Praxis-Tipps für die Nutzung von Micros...
Ramon Anger
 
HTML5 Offline - Fallstricke für mobile Webseiten und WebApps
HTML5 Offline - Fallstricke für mobile Webseiten und WebAppsHTML5 Offline - Fallstricke für mobile Webseiten und WebApps
HTML5 Offline - Fallstricke für mobile Webseiten und WebApps
Ulrich Schmidt
 
Quellcode Analyse
Quellcode AnalyseQuellcode Analyse
Quellcode Analyse
Amir Neziri
 
Qualitätssicherung in ADF Projekten der IKB Deutschen Industriebank AG
Qualitätssicherung in ADF Projekten der IKB Deutschen Industriebank AGQualitätssicherung in ADF Projekten der IKB Deutschen Industriebank AG
Qualitätssicherung in ADF Projekten der IKB Deutschen Industriebank AG
Torsten Kleiber
 
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
IT-Sicherheit und agile Entwicklung? Geht das? Sicher!
Carsten Cordes
 
DevOpsCon 2016 - Continuous Security Testing - Stephan Kaps
DevOpsCon 2016 - Continuous Security Testing - Stephan KapsDevOpsCon 2016 - Continuous Security Testing - Stephan Kaps
DevOpsCon 2016 - Continuous Security Testing - Stephan Kaps
Stephan Kaps
 
ASP.NET MVC 2 - Eine Einführung
ASP.NET MVC 2 - Eine EinführungASP.NET MVC 2 - Eine Einführung
ASP.NET MVC 2 - Eine Einführung
NETUserGroupBern
 
Rahmenbedingungen mobile security
Rahmenbedingungen mobile securityRahmenbedingungen mobile security
Rahmenbedingungen mobile security
Peter Teufl
 
Security Scanner Design am Beispiel von httprecon
Security Scanner Design am Beispiel von httpreconSecurity Scanner Design am Beispiel von httprecon
Security Scanner Design am Beispiel von httprecon
Marc Ruef
 
NoSQL with MySQL
NoSQL with MySQLNoSQL with MySQL
NoSQL with MySQL
FromDual GmbH
 
JavaScript Performance
JavaScript PerformanceJavaScript Performance
JavaScript Performance
Sebastian Springer
 
Testgetriebene Entwicklung mit JavaScript - JAX 2011
Testgetriebene Entwicklung mit JavaScript - JAX 2011Testgetriebene Entwicklung mit JavaScript - JAX 2011
Testgetriebene Entwicklung mit JavaScript - JAX 2011
Sebastian Sanitz
 
Wie baue ich eine KI, die besser als jeder Mensch ein Problem und dessen Ursa...
Wie baue ich eine KI, die besser als jeder Mensch ein Problem und dessen Ursa...Wie baue ich eine KI, die besser als jeder Mensch ein Problem und dessen Ursa...
Wie baue ich eine KI, die besser als jeder Mensch ein Problem und dessen Ursa...
OPITZ CONSULTING Deutschland
 
Testing XAML-based Windows Store Apps mit VS 2013
Testing XAML-based Windows Store Apps mit VS 2013Testing XAML-based Windows Store Apps mit VS 2013
Testing XAML-based Windows Store Apps mit VS 2013
Nico Orschel
 
Einführung in ASP.NET Core Middlewares
Einführung in ASP.NET Core MiddlewaresEinführung in ASP.NET Core Middlewares
Einführung in ASP.NET Core Middlewares
Matthias Jauernig
 
Skalierung & Performance
Skalierung & PerformanceSkalierung & Performance
Skalierung & Performance
glembotzky
 
Net@night asp.net mvc
Net@night asp.net mvcNet@night asp.net mvc
Net@night asp.net mvc
Digicomp Academy AG
 
Node.js
Node.jsNode.js
Node.js
Sebastian Springer
 
Sicherheit in Single-Page-Web-Anwendungen
Sicherheit in Single-Page-Web-AnwendungenSicherheit in Single-Page-Web-Anwendungen
Sicherheit in Single-Page-Web-Anwendungen
Philipp Burgmer
 
Webinar: Online Security
Webinar: Online SecurityWebinar: Online Security
Webinar: Online Security
kuehlhaus AG
 
Cloud Deployment und (Auto)Scaling am Beispiel von Angrybird
Cloud Deployment und (Auto)Scaling am Beispiel von AngrybirdCloud Deployment und (Auto)Scaling am Beispiel von Angrybird
Cloud Deployment und (Auto)Scaling am Beispiel von Angrybird
AOE
 
SplunkLive! Zürich 2016 - Use Case Helvetia
SplunkLive! Zürich 2016 - Use Case HelvetiaSplunkLive! Zürich 2016 - Use Case Helvetia
SplunkLive! Zürich 2016 - Use Case Helvetia
Splunk
 
SplunkLive! Zürich 2016 - Use Case Helvetia
SplunkLive! Zürich 2016 - Use Case HelvetiaSplunkLive! Zürich 2016 - Use Case Helvetia
SplunkLive! Zürich 2016 - Use Case Helvetia
Georg Knon
 
SplunkLive! Frankfurt 2016 - Helvetia Use Case
SplunkLive! Frankfurt 2016 - Helvetia Use CaseSplunkLive! Frankfurt 2016 - Helvetia Use Case
SplunkLive! Frankfurt 2016 - Helvetia Use Case
Splunk
 
JavaFX Real-World Apps
JavaFX Real-World AppsJavaFX Real-World Apps
JavaFX Real-World Apps
Alexander Casall
 
Top 10 Internet Trends 2006
Top 10 Internet Trends 2006Top 10 Internet Trends 2006
Top 10 Internet Trends 2006
Jürg Stuker
 
Automated Validation of Internet Security Protocols and Applications (AVISPA)...
Automated Validation of Internet Security Protocols and Applications (AVISPA)...Automated Validation of Internet Security Protocols and Applications (AVISPA)...
Automated Validation of Internet Security Protocols and Applications (AVISPA)...
Krassen Deltchev
 
Automated Validation of Internet Security Protocols and Applications (AVISPA)
Automated Validation of Internet Security Protocols and Applications (AVISPA) Automated Validation of Internet Security Protocols and Applications (AVISPA)
Automated Validation of Internet Security Protocols and Applications (AVISPA)
Krassen Deltchev
 

Contenu connexe

Similaire à DOM-based XSS

Rahmenbedingungen mobile security
Rahmenbedingungen mobile securityRahmenbedingungen mobile security
Rahmenbedingungen mobile security
Peter Teufl
 
Skalierung & Performance
Skalierung & PerformanceSkalierung & Performance
Skalierung & Performance
glembotzky
 
Sicherheit in Single-Page-Web-Anwendungen
Sicherheit in Single-Page-Web-AnwendungenSicherheit in Single-Page-Web-Anwendungen
Sicherheit in Single-Page-Web-Anwendungen
Philipp Burgmer
 
Cloud Deployment und (Auto)Scaling am Beispiel von Angrybird
Cloud Deployment und (Auto)Scaling am Beispiel von AngrybirdCloud Deployment und (Auto)Scaling am Beispiel von Angrybird
Cloud Deployment und (Auto)Scaling am Beispiel von Angrybird
AOE
 
SplunkLive! Zürich 2016 - Use Case Helvetia
SplunkLive! Zürich 2016 - Use Case HelvetiaSplunkLive! Zürich 2016 - Use Case Helvetia
SplunkLive! Zürich 2016 - Use Case Helvetia
Splunk
 

Similaire à DOM-based XSS (20)

ASP.NET MVC 2 - Eine Einführung
ASP.NET MVC 2 - Eine EinführungASP.NET MVC 2 - Eine Einführung
ASP.NET MVC 2 - Eine Einführung
 
Rahmenbedingungen mobile security
Rahmenbedingungen mobile securityRahmenbedingungen mobile security
Rahmenbedingungen mobile security
 
Security Scanner Design am Beispiel von httprecon
Security Scanner Design am Beispiel von httpreconSecurity Scanner Design am Beispiel von httprecon
Security Scanner Design am Beispiel von httprecon
 
NoSQL with MySQL
NoSQL with MySQLNoSQL with MySQL
NoSQL with MySQL
 
JavaScript Performance
JavaScript PerformanceJavaScript Performance
JavaScript Performance
 
Testgetriebene Entwicklung mit JavaScript - JAX 2011
Testgetriebene Entwicklung mit JavaScript - JAX 2011Testgetriebene Entwicklung mit JavaScript - JAX 2011
Testgetriebene Entwicklung mit JavaScript - JAX 2011
 
Wie baue ich eine KI, die besser als jeder Mensch ein Problem und dessen Ursa...
Wie baue ich eine KI, die besser als jeder Mensch ein Problem und dessen Ursa...Wie baue ich eine KI, die besser als jeder Mensch ein Problem und dessen Ursa...
Wie baue ich eine KI, die besser als jeder Mensch ein Problem und dessen Ursa...
 
Testing XAML-based Windows Store Apps mit VS 2013
Testing XAML-based Windows Store Apps mit VS 2013Testing XAML-based Windows Store Apps mit VS 2013
Testing XAML-based Windows Store Apps mit VS 2013
 
Einführung in ASP.NET Core Middlewares
Einführung in ASP.NET Core MiddlewaresEinführung in ASP.NET Core Middlewares
Einführung in ASP.NET Core Middlewares
 
Skalierung & Performance
Skalierung & PerformanceSkalierung & Performance
Skalierung & Performance
 
Net@night asp.net mvc
Net@night asp.net mvcNet@night asp.net mvc
Net@night asp.net mvc
 
Node.js
Node.jsNode.js
Node.js
 
Sicherheit in Single-Page-Web-Anwendungen
Sicherheit in Single-Page-Web-AnwendungenSicherheit in Single-Page-Web-Anwendungen
Sicherheit in Single-Page-Web-Anwendungen
 
Webinar: Online Security
Webinar: Online SecurityWebinar: Online Security
Webinar: Online Security
 
Cloud Deployment und (Auto)Scaling am Beispiel von Angrybird
Cloud Deployment und (Auto)Scaling am Beispiel von AngrybirdCloud Deployment und (Auto)Scaling am Beispiel von Angrybird
Cloud Deployment und (Auto)Scaling am Beispiel von Angrybird
 
SplunkLive! Zürich 2016 - Use Case Helvetia
SplunkLive! Zürich 2016 - Use Case HelvetiaSplunkLive! Zürich 2016 - Use Case Helvetia
SplunkLive! Zürich 2016 - Use Case Helvetia
 
SplunkLive! Zürich 2016 - Use Case Helvetia
SplunkLive! Zürich 2016 - Use Case HelvetiaSplunkLive! Zürich 2016 - Use Case Helvetia
SplunkLive! Zürich 2016 - Use Case Helvetia
 
SplunkLive! Frankfurt 2016 - Helvetia Use Case
SplunkLive! Frankfurt 2016 - Helvetia Use CaseSplunkLive! Frankfurt 2016 - Helvetia Use Case
SplunkLive! Frankfurt 2016 - Helvetia Use Case
 
JavaFX Real-World Apps
JavaFX Real-World AppsJavaFX Real-World Apps
JavaFX Real-World Apps
 
Top 10 Internet Trends 2006
Top 10 Internet Trends 2006Top 10 Internet Trends 2006
Top 10 Internet Trends 2006
 

Plus de Krassen Deltchev

Automated Validation of Internet Security Protocols and Applications (AVISPA)
Automated Validation of Internet Security Protocols and Applications (AVISPA) Automated Validation of Internet Security Protocols and Applications (AVISPA)
Automated Validation of Internet Security Protocols and Applications (AVISPA)
Krassen Deltchev
 
Performance of Group Key Agreement Protocols( Theory)
Performance of Group Key Agreement Protocols( Theory) Performance of Group Key Agreement Protocols( Theory)
Performance of Group Key Agreement Protocols( Theory)
Krassen Deltchev
 
XAdES Specification based on the Apache XMLSec Project
XAdES Specification based on the Apache XMLSec Project XAdES Specification based on the Apache XMLSec Project
XAdES Specification based on the Apache XMLSec Project
Krassen Deltchev
 
New Web 2.0 Attacks, B.Sc. Thesis
New Web 2.0 Attacks, B.Sc. ThesisNew Web 2.0 Attacks, B.Sc. Thesis
New Web 2.0 Attacks, B.Sc. Thesis
Krassen Deltchev
 
Web Application Forensics: Taxonomy and Trends
Web Application Forensics: Taxonomy and TrendsWeb Application Forensics: Taxonomy and Trends
Web Application Forensics: Taxonomy and Trends
Krassen Deltchev
 

Plus de Krassen Deltchev (7)

Automated Validation of Internet Security Protocols and Applications (AVISPA)...
Automated Validation of Internet Security Protocols and Applications (AVISPA)...Automated Validation of Internet Security Protocols and Applications (AVISPA)...
Automated Validation of Internet Security Protocols and Applications (AVISPA)...
 
Automated Validation of Internet Security Protocols and Applications (AVISPA)
Automated Validation of Internet Security Protocols and Applications (AVISPA) Automated Validation of Internet Security Protocols and Applications (AVISPA)
Automated Validation of Internet Security Protocols and Applications (AVISPA)
 
Performance of Group Key Agreement Protocols( Theory)
Performance of Group Key Agreement Protocols( Theory) Performance of Group Key Agreement Protocols( Theory)
Performance of Group Key Agreement Protocols( Theory)
 
XAdES Specification based on the Apache XMLSec Project
XAdES Specification based on the Apache XMLSec Project XAdES Specification based on the Apache XMLSec Project
XAdES Specification based on the Apache XMLSec Project
 
Sqlia classification v1, till 2010
Sqlia classification v1, till 2010Sqlia classification v1, till 2010
Sqlia classification v1, till 2010
 
New Web 2.0 Attacks, B.Sc. Thesis
New Web 2.0 Attacks, B.Sc. ThesisNew Web 2.0 Attacks, B.Sc. Thesis
New Web 2.0 Attacks, B.Sc. Thesis
 
Web Application Forensics: Taxonomy and Trends
Web Application Forensics: Taxonomy and TrendsWeb Application Forensics: Taxonomy and Trends
Web Application Forensics: Taxonomy and Trends
 

Dernier

1029-Danh muc Sach Giao Khoa khoi 11.pdf
1029-Danh muc Sach Giao Khoa khoi 11.pdf1029-Danh muc Sach Giao Khoa khoi 11.pdf
1029-Danh muc Sach Giao Khoa khoi 11.pdf
QucHHunhnh
 
1029-Danh muc Sach Giao Khoa khoi 12.pdf
1029-Danh muc Sach Giao Khoa khoi 12.pdf1029-Danh muc Sach Giao Khoa khoi 12.pdf
1029-Danh muc Sach Giao Khoa khoi 12.pdf
QucHHunhnh
 

Dernier (7)

1029-Danh muc Sach Giao Khoa khoi 11.pdf
1029-Danh muc Sach Giao Khoa khoi 11.pdf1029-Danh muc Sach Giao Khoa khoi 11.pdf
1029-Danh muc Sach Giao Khoa khoi 11.pdf
 
Welche KI-Kompetenzen brauchen Lehrpersonen?!
Welche KI-Kompetenzen brauchen Lehrpersonen?!Welche KI-Kompetenzen brauchen Lehrpersonen?!
Welche KI-Kompetenzen brauchen Lehrpersonen?!
 
Angewandte Kognitions- und Medienwissenschaft an der Universität Duisburg_Essen
Angewandte Kognitions- und Medienwissenschaft an der Universität Duisburg_EssenAngewandte Kognitions- und Medienwissenschaft an der Universität Duisburg_Essen
Angewandte Kognitions- und Medienwissenschaft an der Universität Duisburg_Essen
 
Wirtschaftsingenieurwesen an der Universität Duisburg-Essen
Wirtschaftsingenieurwesen an der Universität Duisburg-EssenWirtschaftsingenieurwesen an der Universität Duisburg-Essen
Wirtschaftsingenieurwesen an der Universität Duisburg-Essen
 
1029-Danh muc Sach Giao Khoa khoi 12.pdf
1029-Danh muc Sach Giao Khoa khoi 12.pdf1029-Danh muc Sach Giao Khoa khoi 12.pdf
1029-Danh muc Sach Giao Khoa khoi 12.pdf
 
LAKO Kreativpreis_2024_Startnummer_02_(LFS_LA).pdf
LAKO Kreativpreis_2024_Startnummer_02_(LFS_LA).pdfLAKO Kreativpreis_2024_Startnummer_02_(LFS_LA).pdf
LAKO Kreativpreis_2024_Startnummer_02_(LFS_LA).pdf
 
Angewandte Philosophie an der Universität Duisburg-Essen.
Angewandte Philosophie an der Universität Duisburg-Essen.Angewandte Philosophie an der Universität Duisburg-Essen.
Angewandte Philosophie an der Universität Duisburg-Essen.
 

DOM-based XSS

  • 1. DOM-based XSS Krassen Deltchev Zdravko Danailov {Krassen Deltchev|Zdravko Danailov} %2540 rub.de 10.04.12
  • 2. Gliederung 1. Stats und Grundwissen 2. Klassische XSS vs. DOMXSS 3. Technischer Hintergrund 4. S3 Meta-Model 5. URL- obfuscation 6. Demo 7. Verteidigungsmechanismen 8. Ansätze und Modelle 9. Pen-testing tools 2 10. Zusammenfassung
  • 5. Klassische XSS vs. DOMXSS 1. Klassische XSS:  NP-XSS( reflected XSS)  P-XSS( stored, persistent XSS)  Man braucht einen laufenden Web-Server  Forensics gibt es, auch WAFs  Man schützt den Server, oder die Server-Konstellation 2. DOMXSS  Klientseitig( client-side)  Ein laufender Web-Server ist nicht unbedingt  Client-Side Forensics s**xs, keine WAFs  Man schützt das Browser-/User-Agent-Verhalten 5
  • 9. 9
  • 10. Verteidigungsmechanismen 1. Basic level:  Routine tasks  Dokumentation  Version kontrolling  Cheat sheets:  DOM based XSS Prevention Cheat Sheet, in 3  HTML5 Security Cheatsheet, in 4  HTML5_Security_Cheat_Sheet XSS (Cross Site Scripting) Preventi- on Cheat Sheet, in 5  XSS (Cross Site Scripting) Cheat Sheet, Esp: for filter evasion, in 6 2. Advanced level: Approach I & Approach II 3. HoneyWebEnv + WebScarab 10
  • 11. Verteidigungsmechanismen Approach I & Approach II 11
  • 12. Ansätze und Modelle Defensive STO Modell Level Type Strategical layer Tactical layer Operational layer Realization Basic security All tasks are Admin tasks, (Level of security necessary manuals, model) cheatsheets Advanced Find proper Models: Patterns, Security security S3MM, AFA APIs, Coaching Execution Questions: manual documentation (Manual vs. ●Manual/ automated Web-scanners Automated) automated ●concurrency semi-automated Forensics Deployment stage Improving the Comparing to other Apply approprate SSDLC SSDLCs decisions on every stage of the SDLC 12
  • 15. Ansätze und Modelle Client-side Web-Application filtering 15
  • 16. Penetration Testing 1. Static code checkers:  DOM XSS Scanner 2. Dynamic code checkers:  DOMScan,  DOMTracer and  WebScarab(NG) 3. Mixed tools:  DOM Snitch  Dominator 4. Educational tools: 16  WebGoat , innerHTML
  • 17. Zusammenfassung 1. Über 100 Seiten getestet → alle weisen auf XSS, o. DOMXSS 2. Domxsswiki ist wichtig → Literatur organisiert 3. Vereinfachte Modelle sind präsent: S3MM, DSTO, SSDLC, A I & A II 4. S3MM DOMXSS DBS ist wichtig 5. 3rd party libraries brauchen Evaluierung(Dojo, Knockout., Backbone.js etc.) 6. IceShield ist viel versprechend  Nebenläufige Evaluierung 7. PHPIDS & ESAPI4JS brauchen Verbesserung 8. DOMXSS PT-Tools müssen verbessert werden  DOMinator, DOMXSSScanner 17 9. Kognitive Filter( WOT) und Semantic Search sind wichtig
  • 18. Fragen 18
  • 19. Quellenverzeichnis 1. 2011: Web Application Security Metrics Landscape, Arian Evans 2. 2011: WhiteHat Website Security Statistic Report, WhiteHat 3. https://www.owasp.org/index.php/DOM_based_XSS_Prevention_Cheat_S 4. http://html5sec.org/ https://www.owasp.org/index.php/ 5. https://www.owasp.org/index.php/XSS_Prevention_Cheat_Sheet 6. http://ha.ckers.org/xss.html 19