DOM-based XSS        Krassen Deltchev Zdravko Danailov{Krassen Deltchev|Zdravko Danailov} %2540 rub.de                    ...
Gliederung 1. Stats und Grundwissen 2. Klassische XSS vs. DOMXSS 3. Technischer Hintergrund 4. S3 Meta-Model 5. URL- obfus...
Stats und Grundwissen                        3  Quelle 1
Stats und Grundwissen                        4  Quelle 2
Klassische XSS vs. DOMXSS1. Klassische XSS:         NP-XSS( reflected XSS)         P-XSS( stored, persistent XSS)      ...
Technischer Hintergrund                          6
S3 Meta-Model                7
URL-obfuscation                  8
9
Verteidigungsmechanismen 1. Basic level:           Routine tasks           Dokumentation           Version kontrolling ...
Verteidigungsmechanismen  Approach I & Approach II                             11
Ansätze und Modelle                               Defensive STO Modell Level Type           Strategical layer   Tactical l...
Ansätze und Modelle                      13
Ansätze und Modelle                      14
Ansätze und Modelle   Client-side   Web-Application   filtering                      15
Penetration Testing  1. Static code checkers:           DOM XSS Scanner  2. Dynamic code checkers:           DOMScan,   ...
Zusammenfassung 1. Über 100 Seiten getestet → alle weisen auf XSS, o. DOMXSS 2. Domxsswiki ist wichtig → Literatur organis...
Fragen         18
Quellenverzeichnis1. 2011: Web Application Security Metrics Landscape, Arian Evans2. 2011: WhiteHat Website Security Stati...
Upcoming SlideShare
Loading in …5
×

DOM-based XSS

1,863 views

Published on

Presentation to the M.Sc. project thesis:
DOM-based XSS to the
Chair of Network and Data Security,
RUB, HGI
Prof. Jörg Schwenk

The paper will be soon available- after the attestation.

Published in: Education, Technology
0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
1,863
On SlideShare
0
From Embeds
0
Number of Embeds
24
Actions
Shares
0
Downloads
28
Comments
0
Likes
2
Embeds 0
No embeds

No notes for slide

DOM-based XSS

  1. 1. DOM-based XSS Krassen Deltchev Zdravko Danailov{Krassen Deltchev|Zdravko Danailov} %2540 rub.de 10.04.12
  2. 2. Gliederung 1. Stats und Grundwissen 2. Klassische XSS vs. DOMXSS 3. Technischer Hintergrund 4. S3 Meta-Model 5. URL- obfuscation 6. Demo 7. Verteidigungsmechanismen 8. Ansätze und Modelle 9. Pen-testing tools 2 10. Zusammenfassung
  3. 3. Stats und Grundwissen 3 Quelle 1
  4. 4. Stats und Grundwissen 4 Quelle 2
  5. 5. Klassische XSS vs. DOMXSS1. Klassische XSS:  NP-XSS( reflected XSS)  P-XSS( stored, persistent XSS)  Man braucht einen laufenden Web-Server  Forensics gibt es, auch WAFs  Man schützt den Server, oder die Server-Konstellation2. DOMXSS  Klientseitig( client-side)  Ein laufender Web-Server ist nicht unbedingt  Client-Side Forensics s**xs, keine WAFs  Man schützt das Browser-/User-Agent-Verhalten 5
  6. 6. Technischer Hintergrund 6
  7. 7. S3 Meta-Model 7
  8. 8. URL-obfuscation 8
  9. 9. 9
  10. 10. Verteidigungsmechanismen 1. Basic level:  Routine tasks  Dokumentation  Version kontrolling  Cheat sheets:  DOM based XSS Prevention Cheat Sheet, in 3  HTML5 Security Cheatsheet, in 4  HTML5_Security_Cheat_Sheet XSS (Cross Site Scripting) Preventi- on Cheat Sheet, in 5  XSS (Cross Site Scripting) Cheat Sheet, Esp: for filter evasion, in 6 2. Advanced level: Approach I & Approach II 3. HoneyWebEnv + WebScarab 10
  11. 11. Verteidigungsmechanismen Approach I & Approach II 11
  12. 12. Ansätze und Modelle Defensive STO Modell Level Type Strategical layer Tactical layer Operational layer Realization Basic security All tasks are Admin tasks, (Level of security necessary manuals, model) cheatsheets Advanced Find proper Models: Patterns, Security security S3MM, AFA APIs, Coaching Execution Questions: manual documentation (Manual vs. ●Manual/ automated Web-scanners Automated) automated ●concurrency semi-automated Forensics Deployment stage Improving the Comparing to other Apply approprate SSDLC SSDLCs decisions on every stage of the SDLC 12
  13. 13. Ansätze und Modelle 13
  14. 14. Ansätze und Modelle 14
  15. 15. Ansätze und Modelle Client-side Web-Application filtering 15
  16. 16. Penetration Testing 1. Static code checkers:  DOM XSS Scanner 2. Dynamic code checkers:  DOMScan,  DOMTracer and  WebScarab(NG) 3. Mixed tools:  DOM Snitch  Dominator 4. Educational tools: 16  WebGoat , innerHTML
  17. 17. Zusammenfassung 1. Über 100 Seiten getestet → alle weisen auf XSS, o. DOMXSS 2. Domxsswiki ist wichtig → Literatur organisiert 3. Vereinfachte Modelle sind präsent: S3MM, DSTO, SSDLC, A I & A II 4. S3MM DOMXSS DBS ist wichtig 5. 3rd party libraries brauchen Evaluierung(Dojo, Knockout., Backbone.js etc.) 6. IceShield ist viel versprechend  Nebenläufige Evaluierung 7. PHPIDS & ESAPI4JS brauchen Verbesserung 8. DOMXSS PT-Tools müssen verbessert werden  DOMinator, DOMXSSScanner 17 9. Kognitive Filter( WOT) und Semantic Search sind wichtig
  18. 18. Fragen 18
  19. 19. Quellenverzeichnis1. 2011: Web Application Security Metrics Landscape, Arian Evans2. 2011: WhiteHat Website Security Statistic Report, WhiteHat3. https://www.owasp.org/index.php/DOM_based_XSS_Prevention_Cheat_S4. http://html5sec.org/ https://www.owasp.org/index.php/5. https://www.owasp.org/index.php/XSS_Prevention_Cheat_Sheet6. http://ha.ckers.org/xss.html 19

×