Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
ОТ ПРОСТОГО
К СЛОЖНОМУ
- 82% web-приложений
уязвимы к XSS (2013)
Коротенько о фактах
- 7 из 10 web-приложений
уязвимы к XSS (2014)
- 60% web-прил...
• Что такое XSS
• XSS – Cross-Site Scripting
• Атака на пользователя уязвимого web-приложения
Поприветствуйте – XSS!
• Цел...
Так как же оно работает?
Ссылка со скрытым кодом
WWW.SUPERBANK.ORG
• По вектору
- Отраженные либо пассивные XSS (Type 1)
- Сохраненные или активные XSS (Type 2)
- DOM XSS (Type 0)
Типы XSS
...
WWW.SUPERBANK.ORG
Пассивная XSS
Login
*******
www.malicious.com
Жертва загружает
скрипт с сайта
WWW.SUPERBANK.ORG
Активная XSS
Login
*******
www.malicious.com
Открывает страницу на
которой отображается
контент уязвимог...
• Web-страницы изменяющие DOM (Document Object Model)
• Тяжело обнаружить
DOM XSS
<body>
<script>document.write(location.h...
• Кража COOKIES
- Кража сессий
- Кража персональных данных
- Неавторизированный доступ к web- приложению
- Потеря репутаци...
XENOTIX
- Проект OWASP
- Активно разрабатывается
- Много-браузерное тестирование
- Много-много всего...
- Freeware
Чем иск...
• Проверка на стороне сервера:
• Проверять входящие данные – НЕ ДОВЕРЯТЬ ни чему, что пришло от пользователя (даже Cookies...
Спасибо за внимание 
Upcoming SlideShare
Loading in …5
×

QA Fest 2015. Юрий Федько. XSS - от простого к сложному!

598 views

Published on

Цель моего доклада, показать, что XSS-атаки - это не всегда просто, а если даже и просто, то во многих стлучаях может привести к серьезным последствиям для бизнеса. Я подробно остановлюсь на следующих аспектах:
- типы XSS-аттак
- какие последствия
- какими инструментами можно и нужно тестировать

Published in: Education
  • Be the first to comment

  • Be the first to like this

QA Fest 2015. Юрий Федько. XSS - от простого к сложному!

  1. 1. ОТ ПРОСТОГО К СЛОЖНОМУ
  2. 2. - 82% web-приложений уязвимы к XSS (2013) Коротенько о фактах - 7 из 10 web-приложений уязвимы к XSS (2014) - 60% web-приложений уязвимы к XSS (2013) - №3 в OWASP TOP-10 (2013)
  3. 3. • Что такое XSS • XSS – Cross-Site Scripting • Атака на пользователя уязвимого web-приложения Поприветствуйте – XSS! • Цель • Выполнить код (JavaScript) в браузере «жертвы» в контексте уязвимого приложения
  4. 4. Так как же оно работает? Ссылка со скрытым кодом WWW.SUPERBANK.ORG
  5. 5. • По вектору - Отраженные либо пассивные XSS (Type 1) - Сохраненные или активные XSS (Type 2) - DOM XSS (Type 0) Типы XSS • По каналам внедрения - Ошибки в браузерах - Отсутствие проверки вводимых данных - Подмена кодировки страницы
  6. 6. WWW.SUPERBANK.ORG Пассивная XSS Login ******* www.malicious.com Жертва загружает скрипт с сайта
  7. 7. WWW.SUPERBANK.ORG Активная XSS Login ******* www.malicious.com Открывает страницу на которой отображается контент уязвимого поля Сохраняет «активный контент» В уязвимом поле
  8. 8. • Web-страницы изменяющие DOM (Document Object Model) • Тяжело обнаружить DOM XSS <body> <script>document.write(location.href);</script> </body> Простейшее HTML DOM-дерево Пример простейшей уязвимой HTML Как использовать? http://site.com/test.html#<script>alert(‘xss’);</script> DOM XSS WiKi
  9. 9. • Кража COOKIES - Кража сессий - Кража персональных данных - Неавторизированный доступ к web- приложению - Потеря репутации Как XSS может быть использована • Кража данных из форм - Кража персональных данных - Неавторизированный доступ к web-приложению - Потеря репутации • DDoS-атаки - Потеря репутации • XSS-черви - Кража персональных данных - Неавторизированный доступ к web- приложению - Потеря репутации
  10. 10. XENOTIX - Проект OWASP - Активно разрабатывается - Много-браузерное тестирование - Много-много всего... - Freeware Чем искать? XSSF - Metasploit модуль - Консольная утилита - Присутствует web-интерфейс - Создает коммуникационный канал с тестируемым приложением - Freeware BeEF - Мощная среда для тестирования безопасности - Консольная утилита - Присутствует web-интерфейс - Простое иширокое API - Freeware DOMinatorPro - Автоматизация сканирования - Автоматическая проверка на возможность использования найденных уязвимостей - Shareware
  11. 11. • Проверка на стороне сервера: • Проверять входящие данные – НЕ ДОВЕРЯТЬ ни чему, что пришло от пользователя (даже Cookies) • Использовать HttpOnly флаг • Использовать SSL • Не хранить конфиденциальные данные в Cookies • Кодировать HTML-символы, JavaScript, CSS и ссылки. • Использовать функции фильтрации ( filter_sanitize_encoded, htmlentities, filter_sanitize_magic_quotes, и др.) для фильтрации входящих данных • Использовать различные библиотеки для кодирования входящих данных (HTML Purifier or Htmlawed, PHP Anti-XSS Class, AntiSamy API, XSS-HTML-Filter) Как предотвратить? • Проверка на стороне клиента – Использование различных модулей для браузеров (NoScript для FireFox and NotScripts Opera для Chrome)
  12. 12. Спасибо за внимание 

×