103 lines
5.4 KiB
Plaintext
103 lines
5.4 KiB
Plaintext
[[Kategorie:Themenabend]]
|
||
{{Themenabend|
|
||
TITEL= Webseiten Sicherheit |
|
||
UNTERTITEL= Einführung zum Thema XSS und SQL-Injection|
|
||
TERMIN= 16. Januar 2004 (MKZ),7. März 2004 (5. CLT) |
|
||
ORT= [[Medienkulturzentrum Pentacon]], 5. CLT|
|
||
THEMA= |
|
||
|
||
REFERENTEN= [[fukami]]|
|
||
C3D2WEB= ??? |
|
||
TOPIC= |
|
||
SLIDES=|
|
||
}}
|
||
|
||
==Gliederung==
|
||
* Einführung
|
||
* Motivation für den Vortrag
|
||
* Ein Blick auf dynamische Webseiten-Erzeugung
|
||
* Die Elemente
|
||
** HTML (a, div, style, form, iframe, script, applet, embed, object, ...)
|
||
**JavaScript (document.*, ...
|
||
** PHP:
|
||
*** Code Execution: require(), include(), eval(), preg_replace()
|
||
*** Command Execution: exec(), passthru(), `` (backticks), system(), popen()
|
||
*** File Disclosure: fopen(), readfile(), file()
|
||
** SQL
|
||
* Techniken erläutert
|
||
** Fehler erzeugen, lesen und verstehen
|
||
** Directory Surfing, Pfad-Attacken und Common File Checking (z.B. Webserver-Pfade/Dateien, Logs, Backups, Hashes)
|
||
** Parameter-Manipulation
|
||
** Cookie Stealing und Session Hijacking
|
||
** SQL-Injection
|
||
** URL-Spoofing
|
||
** Frame Attacks mit JavaScript
|
||
* Szenarien
|
||
** Social Engineering zum Zugriff auf interne Daten
|
||
** Hijacken eines Webmailaccounts
|
||
** XSS im Zusammenhang mit Spam
|
||
* grunds‰tzliche Tips und Tricks
|
||
** webseitigen Input immer prüfen!
|
||
** nur erwünschte Zeichen zulassen
|
||
** intelligentes Error-Handling
|
||
** statisch machen was statisch geht
|
||
** auf Updates bei Scripten aus dem Web achten
|
||
** Extensions umbiegen
|
||
** RewriteRules
|
||
** Input Filter
|
||
** Dev-Kommentare löschen
|
||
* Grundschutz
|
||
** Webserver
|
||
*** immer schˆn p‰tchen!
|
||
*** weniger -v
|
||
*** default Files umbenennen oder lˆschen
|
||
*** deaktivieren von TRACE
|
||
*** Pfad Browsing unmˆglich machen (notfalls handgemacht; .htaccess)
|
||
** PHP Setup
|
||
*** register_globals aus !!!
|
||
*** safe_mode aktivieren
|
||
*** display_errors aus, log_errors an
|
||
*** expose_php
|
||
*** sql.safe_mode
|
||
*** mysql.trace_mode
|
||
*** open_basedir setzen
|
||
*** allow_url_fopen aus
|
||
* Client-Side (Browser)
|
||
* Audit-Werkzeuge
|
||
* Referenzen und Links
|
||
|
||
==deutsche Texte==
|
||
* [http://www.heise.de/security/artikel/38658/0 Torwandschießen] (heisec Artikel)
|
||
* [http://www.heise.de/security/artikel/43175 Giftspritze] (heisec Artikel)
|
||
* [http://www.tu-chemnitz.de/linux/tag/lt5/vortraege/folien/xss-folien.pdf XSS for fun and profit] (PDF; Folien von Stefan Krechers CLT-Vortrag)
|
||
* [[http://www.bsi.de/literat/studien/sistudien/Apache_2003.pdf Apache Webserver - Sicherheitsstudie]] (PDF; vom Bundesamt für Sicherheit in der Informationstechnik, BSI)
|
||
* [[http://www.bsi.de/literat/studien/sistudien/IIS_2003.pdf Microsoft Internet Information Server - Sicherheitstudie] (PDF; vom Bundesamt für Sicherheit in der Informationstechnik, BSI)
|
||
|
||
==FAQs==
|
||
* [http://face2interface.com/MYD/Developer_Tips/Cross_Site_Scripting.shtml XSS FAQ] (face2interface/cgisecurity)
|
||
* [http://neworder.box.sk/newsread.php?sid=&newsid=4511 The Cross Site Scripting FAQ] (zeno, neworder)
|
||
|
||
==Papers und Tutorials==
|
||
* [http://www.cert.org/tech_tips/malicious_code_mitigation.html CERT: Understanding Malicious Content Mitigation for Web Developers] (CERT Coordination Center)
|
||
* [[http://www.cert.org/tech_tips/cgi_metacharacters.html How To Remove Meta-characters From User-Supplied Data In CGI Scripts] (CERT Coordination Center)
|
||
* [http://www.dwheeler.com/secure-programs/Secure-Programs-HOWTO/cross-site-malicious-content.html Prevent Cross-Site (XSS) Malicious Content] (David A. Wheeler)
|
||
* [http://www.technicalinfo.net/papers/CSS.html HTML Code Injection and Cross-site scripting] (Gunter Ollmann)
|
||
* [http://www.technicalinfo.net/papers/URLEmbeddedAttacks.html URL Embedded Attacks] (Gunter Ollmann)
|
||
* [http://pgsit.org/pages/2003/gzuchlinski/libox/xss_anatomy.pdf The Anatomy of Cross Site Scripting] (PDF; Gavin Zuchlinski; alternativ http://libox.net/)
|
||
* [http://pgsit.org/pages/2003/gzuchlinski/libox/AdvancedXSS.pdf Advanced cross site scripting and client automation] (PDF; Gavin Zuchlinski; alternativ http://libox.net/)
|
||
* [http://pgsit.org/pages/2003/gzuchlinski/libox/websecdocs/XSS.pdf The Evolution of Cross-Site Scripting Attacks] (PDF; David Endler, idefense Labs )
|
||
* [http://cert.uni-stuttgart.de/archive/bugtraq/2002/05/msg00096.html Gobbles Bugtraq Posting]
|
||
* [http://pgsit.org/pages/2003/gzuchlinski/libox/websecdocs/WhitepaperSQLInjection.pdf SQL Injection] (PDF; Kevin Spett, SpiLabs)
|
||
* [http://pgsit.org/pages/2003/gzuchlinski/libox/websecdocs/Blind_SQLInjection.pdf Blind SQL-Injection] (PDF; Kevin Spett, SpiLabs)
|
||
* [http://www.cgisecurity.com/whitehat-mirror/WH-WhitePaper_XST_ebook.pdf Cross-Site Tracing] (PDF; Jeremiah Grossman, WhitehatSecurity)
|
||
* [http://pgsit.org/pages/2003/gzuchlinski/libox/websecdocs/php-security Exploiting Common Vulnerabilities in PHP Applications] (Shaun Clowes, SecureReality)
|
||
* [http://pgsit.org/pages/2003/gzuchlinski/libox/websecdocs/perl-security Security Issues in Perl Scripts] (Jordan Dimov)
|
||
* [http://pgsit.org/pages/2003/gzuchlinski/libox/websecdocs/rfp-perlcgi.txt Perl CGI problems] (rain forrest puppy)
|
||
* [http://net-square.com/papers/one_way/one_way.html One-way Webhacking]
|
||
* [http://b0iler.eyeonsecurity.org/tutorials/javascript.htm Hacking with Javascript] (b0iler)
|
||
* [http://developer.apple.com/internet/javascript/iframe.html Remote Scripting with Javascript] (Apple)
|
||
|
||
==Audit Tools==
|
||
* [http://www.cirt.net/code/nikto.shtml Nikto] (Perlscript das auf 2600 CGI und Files testet. Sollte nicht ohne Nachfrage beim Serveradmin getetest werden!)
|
||
* [http://gunzip.project-hack.org/webfuzz.php webfuzzer] (Security Tool zum Testen auf XSS-Möglichkeiten und Injections. auch sehr noisy!)
|