2. безопасность клиентской части
- xss
- csrf
- цель атаки: пользователь, его браузер - clickjacking
- доступность: веб-сайт открыт злоумышленнику - фиксация сессии
- распространенность - расщепление запросов
- открытый редирект
...
2

3. XSS
внедрение подконтрольного злоумышленником html-кода в контекст
браузера пользователя
- отраженная ( reflective )
- сохраненная (stored)
- на основе обьектной модели (DOM-based)
3

4. XSS:reflective
url
attacker user
url
user TARGET
html
user TARGET
4

5. XSS:reflective:пример
http://site.com?username=’><script>payload</script>
site.com:
<input type=’text’ name=‘username’ value=’’><script>payload</script>’>
5

6. известные инциденты
apache.org, 04.05.2010, xss + configuration error
6

7. XSS:stored
attacker TARGET
url
attacker user
html
user TARGET
7

8. XSS:stored:пример
POST site.com?addmsg
msg=<script>payload</script>
site.com/getmsg?id=1234
<div class=‘message’>
<script>payload</script>
</div>
8

9. известные инциденты
twitter.com, 2009.04,2010.09, xss worm
9

10. XSS: возможности
1. кража сессии
2. обход firewall/NAT
3. заражение вирусами, drive
by download)
10

11. XSS: пример векторов атаки
Цель: выполнение function() в контексте сайта site.com
1. <script>a=param;</script> http://site.com?param=1;function()
2. <a href=‘http://param‘> http://site.com?param=’><script>function()</script>
3. <img src=‘param’> http://site.com?param=crap’ onerror=‘function()
4. <div style=’background-url: “param”;’> http://site.com?param=javascript:function()
11

12. XSS: защита
1. не использовать недоверенные данные в местах, в
которых санитизация в принципе невозможна. <script>param</script>
<script src=‘param’>
<!-- param -->
<tag param>
<param>
<style>param</style>
12

13. XSS: защита
1. не использовать недоверенные данные в местах, в html:
которых санитизация в принципе невозможна. <div>param</div>
2. санитизация данных в зависимости от места их attribute value:
применения <div class=‘param’>
javascript:
<script>a=‘param’;</script>
css style property:
<div style=‘background-url:’param’>
url:
<a href=‘param’>
13

14. XSS: защита
1. не использовать недоверенные данные в местах, в
которых санитизация в принципе невозможна. - GET/POST/COOKIE
2. санитизация данных в зависимости от места их
применения:html,attribute,javascript,css,url - storage
3. применение правил фильтрации ко всем источникам
пользовательских данных - json
14

15. XSS: защита
1. не использовать недоверенные данные в местах, в
которых санитизация в принципе невозможна.
2. санитизация данных в зависимости от места их
применения:html,attribute,javascript,css,url
3. применение правил фильтрации ко всем источникам
пользовательских данных
5. флаг HttpOnly
15

16. пользовательский html
Что делать, если необходимо использовать пользовательский контент:
16

17. пользовательский html
Что делать, если необходимо использовать пользовательский контент:
НЕ ДЕЛАЙТЕ ЭТОГО!
17

18. пользовательский html
Что делать, если необходимо использовать пользовательский контент:
1. в iframe с отдельного домена
2. whitelist тегов и аттрибутов
3. пре/постмодерация
4. желательно рассмотреть возможность “языка разметки”
18

19. CSRF
вызов функций сайта от лица аутентифицированного пользователя
evilsite
EVILSITE attacker user
<html>
user EVILSITE
...
<img src=‘http://target/action’> user TARGET
...
</html>
19

20. CSRF: защита
1. Referer check
2. использование security tokens & POST method
3. challenge-response
20

21. CLICKJACKING
evilsite, cursorjacking: evilsite, likejacking:
cursor:url("img.png") addEventListener(‘mousemove’...
+iframe
OK OK OK
21

22. CLICKJACKING
22

23. CLICKJACKING
23

24. CLICKJACKING
...style='position:absolute;
left:0px;
top:0px;
z-index:10000;'...
24

25. CLICKJACKING: защита
1.X-Frame-Options: DENY header
2. css validation
3. challenge-response
25

26. ресурсы
https://www.owasp.org
http://code.google.com/p/browsersec/wiki/Main
http://html5sec.org/
http://www.mniemietz.de/demo/cursorjacking/cursorjacking.html
26

27. Спасибо!
Рабоволюк Ярослав
руководитель отдела И.Б.
yaroslav@corp.mail.ru