Webseiten erstellen ist mittlerweile für fast jeden Thema, der Computer, Internet und das World Wide Web im Alltag zum Austausch von Informationen nutzt. Die Webseiten werden oftmals mit Hilfe von Scriptsprachen wie PHP, Perl, JSP, ASP und wie sie nicht alle heissen mögen, sowie mit Datenbankunterstützung entwickelt. Aber egal welche dieser Sprachen zum Einsatz kommt, ob die Seiten von Profis oder von Laien programmiert wurden, oder die Seiten zu Firmen, Parteien oder Privatpersonen gehören: In allen Fällen kann es vorkommen, dass diese zu anderen Dingen missbraucht werden als ihrer eigentlichen Bestimmung. Erschwerend kommt hinzu, dass client-seitig auf vielen Sites aktives Scripting (z.B. JavaScript) aktiviert sein muss und Client-Anwendungen, die mit HTML umgehen (Browser, Mailreader) ebenfalls Probleme aufweisen. Damit ergibt sich ein Miflbrauchspotential, welches leidlich ausgenutzt wird.
Bei dem Vortrag wird es um Fehler gehen, die so oder so ähnlich sicher jeder schon einmal gemacht hat und gezeigt, wie diese Fehler konkret exploitet werden können. Im Einzelnen wird ausserdem der Frage nachgegangen, was sich hinter XSS-Techniken (Cross-Site-Scripting), SQL-, File- und Code-Injection verbirgt und mit leicht verständlichen Code-Beispielen erläutert. Desweiteren werden grundsätzliche Tipps und Ideen zum Absichern von Webseiten gegeben und diskutiert.
Eingeladen sind wie immer alle selbst denkenden Wesen.
* [http://www.tu-chemnitz.de/linux/tag/lt5/vortraege/folien/xss-folien.pdf XSS for fun and profit] (PDF; Folien von Stefan Krechers CLT-Vortrag)
* [[http://www.bsi.de/literat/studien/sistudien/Apache_2003.pdf Apache Webserver - Sicherheitsstudie]] (PDF; vom Bundesamt für Sicherheit in der Informationstechnik, BSI)
* [[http://www.bsi.de/literat/studien/sistudien/IIS_2003.pdf Microsoft Internet Information Server - Sicherheitstudie] (PDF; vom Bundesamt für Sicherheit in der Informationstechnik, BSI)
* [http://neworder.box.sk/newsread.php?sid=&newsid=4511 The Cross Site Scripting FAQ] (zeno, neworder)
==Papers und Tutorials==
* [http://www.cert.org/tech_tips/malicious_code_mitigation.html CERT: Understanding Malicious Content Mitigation for Web Developers] (CERT Coordination Center)
* [[http://www.cert.org/tech_tips/cgi_metacharacters.html How To Remove Meta-characters From User-Supplied Data In CGI Scripts] (CERT Coordination Center)
* [http://www.dwheeler.com/secure-programs/Secure-Programs-HOWTO/cross-site-malicious-content.html Prevent Cross-Site (XSS) Malicious Content] (David A. Wheeler)
* [http://www.technicalinfo.net/papers/CSS.html HTML Code Injection and Cross-site scripting] (Gunter Ollmann)
* [http://pgsit.org/pages/2003/gzuchlinski/libox/xss_anatomy.pdf The Anatomy of Cross Site Scripting] (PDF; Gavin Zuchlinski; alternativ http://libox.net/)
* [http://pgsit.org/pages/2003/gzuchlinski/libox/AdvancedXSS.pdf Advanced cross site scripting and client automation] (PDF; Gavin Zuchlinski; alternativ http://libox.net/)
* [http://pgsit.org/pages/2003/gzuchlinski/libox/websecdocs/XSS.pdf The Evolution of Cross-Site Scripting Attacks] (PDF; David Endler, idefense Labs )
* [http://www.cirt.net/code/nikto.shtml Nikto] (Perlscript das auf 2600 CGI und Files testet. Sollte nicht ohne Nachfrage beim Serveradmin getetest werden!)
* [http://gunzip.project-hack.org/webfuzz.php webfuzzer] (Security Tool zum Testen auf XSS-Möglichkeiten und Injections. auch sehr noisy!)