DOM-based XSS

Krassen Deltchev Zdravko Danailov

{Krassen Deltchev|Zdravko Danailov} %2540 %2540 rub.de

10.04.12

2

Gliederung

1. Stats und Grundwissen

2. Klassische XSS vs. DOMXSS

3. Technischer Hintergrund

4. S3 Meta-Model

5. URL- obfuscation

6. Demo

7. Verteidigungsmechanismen

8. Ansätze und Modelle

9. Pen-testing tools

10. Zusammenfassung

3

Stats und Grundwissen

Quelle 1

4

Stats und Grundwissen

Quelle 2

5

Klassische XSS vs. DOMXSS

1. Klassische XSS:

NP-XSS( reflected XSS)

P-XSS( stored, persistent XSS)

Man braucht einen laufenden Web-Server

Forensics gibt es, auch WAFs

Man schützt den Server, oder die Server-Konstellation

2. DOMXSS

Klientseitig( client-side)

Ein laufender Web-Server ist nicht unbedingt

Client-Side Forensics s**xs, keine WAFs

Man schützt das Browser-/User-Agent-Verhalten

6

Technischer Hintergrund

7

S3 Meta-Model

8

URL-obfuscation

9

10

Verteidigungsmechanismen

1. Basic level:

Routine tasks

Dokumentation

Version kontrolling

Cheat sheets:

DOM based XSS Prevention Cheat Sheet, in 3

HTML5 Security Cheatsheet, in 4

HTML5_Security_Cheat_Sheet XSS (Cross Site Scripting) Preventi-on Cheat Sheet, in 5

XSS (Cross Site Scripting) Cheat Sheet, Esp: for filter evasion, in 6

2. Advanced level: Approach I & Approach II

3. HoneyWebEnv + WebScarab

11

Verteidigungsmechanismen

Approach I & Approach II

12

Ansätze und ModelleDefensive STO Modell

Level Type Strategical layer Tactical layer Operational layer

Realization(Level of security model)

Basic security All tasks are necessary

Admin tasks, manuals, cheatsheets

Advanced security

Find proper Models: S3MM, AFA

Patterns, Security APIs, Coaching

Execution(Manual vs. Automated)

Questions:●Manual/ automated●concurrency

manual documentation

automated Web-scanners

semi-automated Forensics

Deployment stage Improving the SSDLC

Comparing to other SSDLCs

Apply approprate decisions on every stage of the SDLC

13

Ansätze und Modelle

14

Ansätze und Modelle

15

Ansätze und Modelle

Client-sideWeb-Applicationfiltering

16

Penetration Testing

1. Static code checkers:

DOM XSS Scanner

2. Dynamic code checkers:

DOMScan,

DOMTracer and

WebScarab(NG)

3. Mixed tools:

DOM Snitch

Dominator

4. Educational tools:

WebGoat , innerHTML

17

Zusammenfassung

1. Über 100 Seiten getestet → alle weisen auf XSS, o. DOMXSS

2. Domxsswiki ist wichtig → Literatur organisiert

3. Vereinfachte Modelle sind präsent: S3MM, DSTO, SSDLC, A I & A II

4. S3MM DOMXSS DBS ist wichtig

5. 3rd party libraries brauchen Evaluierung(Dojo, Knockout., Backbone.js etc.)

6. IceShield ist viel versprechend

Nebenläufige Evaluierung

7. PHPIDS & ESAPI4JS brauchen Verbesserung

8. DOMXSS PT-Tools müssen verbessert werden

DOMinator, DOMXSSScanner

9. Kognitive Filter( WOT) und Semantic Search sind wichtig

18

Fragen

19

Quellenverzeichnis

1. 2011: Web Application Security Metrics Landscape, Arian Evans

2. 2011: WhiteHat Website Security Statistic Report, WhiteHat

3. https://www.owasp.org/index.php/DOM_based_XSS_Prevention_Cheat_Sheet

4. http://html5sec.org/https://www.owasp.org/index.php/

5. https://www.owasp.org/index.php/XSS_Prevention_Cheat_Sheet

6. http://ha.ckers.org/xss.html