SlideShare a Scribd company logo

QA Fest 2015. Юрий Федько. XSS - от простого к сложному!

Q
QAFest

В 2013 году 82% веб-приложений были уязвимы к XSS, а в 2014 году — 70%. XSS (межсайтовый скриптинг) позволяет злоумышленникам выполнять код в браузере жертвы, что может привести к краже данных и несанкционированному доступу к приложениям. Для предотвращения XSS необходимо проверять входящие данные, использовать флаги безопасности и библиотеки для фильтрации кода.

Education
1 of 12
1
2
3
4
5
6
7
8
9
10
11
12
ОТ ПРОСТОГО К СЛОЖНОМУ
- 82% web-приложений уязвимы к XSS (2013) Коротенько о фактах - 7 из 10 web-приложений уязвимы к XSS (2014) - 60% web-приложений уязвимы к XSS (2013) - №3 в OWASP TOP-10 (2013)
• Что такое XSS • XSS – Cross-Site Scripting • Атака на пользователя уязвимого web-приложения Поприветствуйте – XSS! • Цель • Выполнить код (JavaScript) в браузере «жертвы» в контексте уязвимого приложения
Так как же оно работает? Ссылка со скрытым кодом WWW.SUPERBANK.ORG
• По вектору - Отраженные либо пассивные XSS (Type 1) - Сохраненные или активные XSS (Type 2) - DOM XSS (Type 0) Типы XSS • По каналам внедрения - Ошибки в браузерах - Отсутствие проверки вводимых данных - Подмена кодировки страницы
WWW.SUPERBANK.ORG Пассивная XSS Login ******* www.malicious.com Жертва загружает скрипт с сайта
WWW.SUPERBANK.ORG Активная XSS Login ******* www.malicious.com Открывает страницу на которой отображается контент уязвимого поля Сохраняет «активный контент» В уязвимом поле
• Web-страницы изменяющие DOM (Document Object Model) • Тяжело обнаружить DOM XSS <body> <script>document.write(location.href);</script> </body> Простейшее HTML DOM-дерево Пример простейшей уязвимой HTML Как использовать? http://site.com/test.html#<script>alert(‘xss’);</script> DOM XSS WiKi
• Кража COOKIES - Кража сессий - Кража персональных данных - Неавторизированный доступ к web- приложению - Потеря репутации Как XSS может быть использована • Кража данных из форм - Кража персональных данных - Неавторизированный доступ к web-приложению - Потеря репутации • DDoS-атаки - Потеря репутации • XSS-черви - Кража персональных данных - Неавторизированный доступ к web- приложению - Потеря репутации
XENOTIX - Проект OWASP - Активно разрабатывается - Много-браузерное тестирование - Много-много всего... - Freeware Чем искать? XSSF - Metasploit модуль - Консольная утилита - Присутствует web-интерфейс - Создает коммуникационный канал с тестируемым приложением - Freeware BeEF - Мощная среда для тестирования безопасности - Консольная утилита - Присутствует web-интерфейс - Простое иширокое API - Freeware DOMinatorPro - Автоматизация сканирования - Автоматическая проверка на возможность использования найденных уязвимостей - Shareware
• Проверка на стороне сервера: • Проверять входящие данные – НЕ ДОВЕРЯТЬ ни чему, что пришло от пользователя (даже Cookies) • Использовать HttpOnly флаг • Использовать SSL • Не хранить конфиденциальные данные в Cookies • Кодировать HTML-символы, JavaScript, CSS и ссылки. • Использовать функции фильтрации ( filter_sanitize_encoded, htmlentities, filter_sanitize_magic_quotes, и др.) для фильтрации входящих данных • Использовать различные библиотеки для кодирования входящих данных (HTML Purifier or Htmlawed, PHP Anti-XSS Class, AntiSamy API, XSS-HTML-Filter) Как предотвратить? • Проверка на стороне клиента – Использование различных модулей для браузеров (NoScript для FireFox and NotScripts Opera для Chrome)
Спасибо за внимание 

More Related Content

PPTX
QA Fest 2015. Татьяна Скрипник. Кросс-браузерность, что ты делаешь?.. Ах-ха-х...
QAFest
 
PPTX
Разумная безопасность сайта
revisium
 
PDF
Как обеспечить безопасность клиентских сайтов
revisium
 
PPTX
QA Fes 2016. Анна Карпенко. Специфика тестирования мобильных приложений или к...
QAFest
 
PDF
Безопасность Joomla: теория и практика
revisium
 
PDF
Java script и frontend завтра - Kharkiv JS 2013
Andrey Listochkin
 
PPT
JavaScript и доступность web-сайтов
guest42f396
 
PDF
4.3. Rat races conditions
defconmoscow
 
QA Fest 2015. Татьяна Скрипник. Кросс-браузерность, что ты делаешь?.. Ах-ха-х...
QAFest
 
Разумная безопасность сайта
revisium
 
Как обеспечить безопасность клиентских сайтов
revisium
 
QA Fes 2016. Анна Карпенко. Специфика тестирования мобильных приложений или к...
QAFest
 
Безопасность Joomla: теория и практика
revisium
 
Java script и frontend завтра - Kharkiv JS 2013
Andrey Listochkin
 
JavaScript и доступность web-сайтов
guest42f396
 
4.3. Rat races conditions
defconmoscow
 

What's hot (19)

PDF
Выбор CMS для вашего сайта
Astra Media Group, Russia
 
PPT
Coding for iPhone
Yuriy Artyukh
 
PDF
Бекэнд для push-уведомлений своими руками
Alexandr Mikhaylenko
 
PPT
Сколько стоят хорошие сайты
Геннадий Метёлкин
 
PDF
Грабли в продвижении сайтов - КИМ, 22 сентября 2012
Сергей Кокшаров
 
PPTX
Chrome push notifications. Анатомия и разработка
Alexandr Mikhaylenko
 
PPTX
Отказоустойчивость веб-проекта: мониторинг, резервирование, обслуживание
1С-Битрикс
 
PDF
Оптимизация скорости сайта без использования AMP | Odessa Frontend Meetup #10
OdessaFrontend
 
PDF
Coding monday
Oleg Nechiporenko
 
PDF
Подготовка интернет-магазина к боевым условиям
Anton Baranov
 
PPT
Защита
Alex Melnikov
 
PDF
Урок 7. Сайты отзывов
Link-Stream
 
PPTX
Безопасность WordPress
Dmitry Kondryuk
 
PPTX
Инструменты видео-рекламы
web2win
 
PDF
Безопасный сайт
Andreas Schwarzkopf
 
PDF
Kazoomeetup 2015 - Building your very own Kazoo UI
Kirill Sysoev
 
PPT
Drupal и мобильные устройства комелин константин
drupalconf
 
PPT
Drupal и мобильные устройства
Konstantin Komelin
 
PPT
ярослав рабоволюк
kuchinskaya
 
Выбор CMS для вашего сайта
Astra Media Group, Russia
 
Coding for iPhone
Yuriy Artyukh
 
Бекэнд для push-уведомлений своими руками
Alexandr Mikhaylenko
 
Сколько стоят хорошие сайты
Геннадий Метёлкин
 
Грабли в продвижении сайтов - КИМ, 22 сентября 2012
Сергей Кокшаров
 
Chrome push notifications. Анатомия и разработка
Alexandr Mikhaylenko
 
Отказоустойчивость веб-проекта: мониторинг, резервирование, обслуживание
1С-Битрикс
 
Оптимизация скорости сайта без использования AMP | Odessa Frontend Meetup #10
OdessaFrontend
 
Coding monday
Oleg Nechiporenko
 
Подготовка интернет-магазина к боевым условиям
Anton Baranov
 
Защита
Alex Melnikov
 
Урок 7. Сайты отзывов
Link-Stream
 
Безопасность WordPress
Dmitry Kondryuk
 
Инструменты видео-рекламы
web2win
 
Безопасный сайт
Andreas Schwarzkopf
 
Kazoomeetup 2015 - Building your very own Kazoo UI
Kirill Sysoev
 
Drupal и мобильные устройства комелин константин
drupalconf
 
Drupal и мобильные устройства
Konstantin Komelin
 
ярослав рабоволюк
kuchinskaya
 
Ad

Similar to QA Fest 2015. Юрий Федько. XSS - от простого к сложному! (20)

PPTX
А не поговорить ли нам о XSS!
SQALab
 
PDF
Risspa domxss
yaevents
 
PDF
Почему хакеры выбирают WordPress. WordCamp 2017, Moscow.
revisium
 
PPTX
Безопасность Joomla: мифы и реальность
revisium
 
PDF
Web application security (RIT 2014, rus)
Maksim Kochkin
 
PDF
Максим Кочкин (Wamba)
Ontico
 
PPTX
Svyatoslav Login
Dakiry
 
PPTX
Информационная безопасность в аспекте веб-разработки
E-Journal ICT4D
 
PPTX
Эшелонированная оборона 2012
Alexander Dorofeev
 
PPT
Анализ защищенности интернет-проектов
Dmitry Evteev
 
PDF
Александр Сидоров "Как защитить пользователей от вирусов и фишинга"
Yandex
 
PDF
Node.js Меньше сложности, больше надежности Holy.js 2021
Timur Shemsedinov
 
PDF
как не заразить посетителей своего сайта All а.сидоров, п.волков
Ontico
 
PPTX
CSRF-уязвимости все еще актуальны: как атакующие обходят CSRF-защиту в вашем ...
Mikhail Egorov
 
PPTX
CSRF-уязвимости все еще актуальны: как атакующие обходят CSRF-защиту в вашем ...
Ontico
 
PPTX
Эволюция атак на веб приложения (Evolution of web applications attacks)
c3retc3
 
PPTX
Современный агрессивный интернет
revisium
 
PPT
Sergey Gordeychik SQADays 2008
guest5b66888
 
PPT
Оценка защищенности Web-приложений
SQALab
 
PDF
Популярні способи зломів та шахрайські схеми
Avivi Academy
 
А не поговорить ли нам о XSS!
SQALab
 
Risspa domxss
yaevents
 
Почему хакеры выбирают WordPress. WordCamp 2017, Moscow.
revisium
 
Безопасность Joomla: мифы и реальность
revisium
 
Web application security (RIT 2014, rus)
Maksim Kochkin
 
Максим Кочкин (Wamba)
Ontico
 
Svyatoslav Login
Dakiry
 
Информационная безопасность в аспекте веб-разработки
E-Journal ICT4D
 
Эшелонированная оборона 2012
Alexander Dorofeev
 
Анализ защищенности интернет-проектов
Dmitry Evteev
 
Александр Сидоров "Как защитить пользователей от вирусов и фишинга"
Yandex
 
Node.js Меньше сложности, больше надежности Holy.js 2021
Timur Shemsedinov
 
как не заразить посетителей своего сайта All а.сидоров, п.волков
Ontico
 
CSRF-уязвимости все еще актуальны: как атакующие обходят CSRF-защиту в вашем ...
Mikhail Egorov
 
CSRF-уязвимости все еще актуальны: как атакующие обходят CSRF-защиту в вашем ...
Ontico
 
Эволюция атак на веб приложения (Evolution of web applications attacks)
c3retc3
 
Современный агрессивный интернет
revisium
 
Sergey Gordeychik SQADays 2008
guest5b66888
 
Оценка защищенности Web-приложений
SQALab
 
Популярні способи зломів та шахрайські схеми
Avivi Academy
 
Ad

More from QAFest (20)

PDF
QA Fest 2019. Сергій Короленко. Топ веб вразливостей за 40 хвилин
QAFest
 
PPTX
QA Fest 2019. Анна Чернышова. Self-healing test automation 2.0. The Future
QAFest
 
PPTX
QA Fest 2019. Doug Sillars. It's just too Slow: Testing Mobile application pe...
QAFest
 
PDF
QA Fest 2019. Катерина Спринсян. Параллельное покрытие автотестами и другие и...
QAFest
 
PDF
QA Fest 2019. Никита Галкин. Как зарабатывать больше
QAFest
 
PDF
QA Fest 2019. Сергей Пирогов. Why everything is spoiled
QAFest
 
PDF
QA Fest 2019. Сергей Новик. Между мотивацией и выгоранием
QAFest
 
PPTX
QA Fest 2019. Владимир Никонов. Код Шредингера или зачем и как мы тестируем н...
QAFest
 
PPTX
QA Fest 2019. Владимир Трандафилов. GUI automation of WEB application with SV...
QAFest
 
PDF
QA Fest 2019. Иван Крутов. Bulletproof Selenium Cluster
QAFest
 
PPTX
QA Fest 2019. Николай Мижигурский. Миссия /*не*/выполнима: гуманитарий собесе...
QAFest
 
PDF
QA Fest 2019. Володимир Стиран. Чим раніше – тим вигідніше, але ніколи не піз...
QAFest
 
PPTX
QA Fest 2019. Дмитрий Прокопук. Mocks and network tricks in UI automation
QAFest
 
PDF
QA Fest 2019. Екатерина Дядечко. Тестирование медицинского софта — вызовы и в...
QAFest
 
PDF
QA Fest 2019. Катерина Черникова. Tune your P’s: the pop-art of keeping testa...
QAFest
 
PDF
QA Fest 2019. Алиса Бойко. Какнезапутаться в коммуникативных сетях IT
QAFest
 
PPTX
QA Fest 2019. Святослав Логин. Как найти уязвимости в мобильном приложении
QAFest
 
PPTX
QA Fest 2019. Катерина Шепелєва та Інна Оснач. Що українцям потрібно знати пр...
QAFest
 
PDF
QA Fest 2019. Антон Серпутько. Нагрузочное тестирование распределенных асинхр...
QAFest
 
PPTX
QA Fest 2019. Петр Тарасенко. QA Hackathon - The Cookbook 22
QAFest
 
QA Fest 2019. Сергій Короленко. Топ веб вразливостей за 40 хвилин
QAFest
 
QA Fest 2019. Анна Чернышова. Self-healing test automation 2.0. The Future
QAFest
 
QA Fest 2019. Doug Sillars. It's just too Slow: Testing Mobile application pe...
QAFest
 
QA Fest 2019. Катерина Спринсян. Параллельное покрытие автотестами и другие и...
QAFest
 
QA Fest 2019. Никита Галкин. Как зарабатывать больше
QAFest
 
QA Fest 2019. Сергей Пирогов. Why everything is spoiled
QAFest
 
QA Fest 2019. Сергей Новик. Между мотивацией и выгоранием
QAFest
 
QA Fest 2019. Владимир Никонов. Код Шредингера или зачем и как мы тестируем н...
QAFest
 
QA Fest 2019. Владимир Трандафилов. GUI automation of WEB application with SV...
QAFest
 
QA Fest 2019. Иван Крутов. Bulletproof Selenium Cluster
QAFest
 
QA Fest 2019. Николай Мижигурский. Миссия /*не*/выполнима: гуманитарий собесе...
QAFest
 
QA Fest 2019. Володимир Стиран. Чим раніше – тим вигідніше, але ніколи не піз...
QAFest
 
QA Fest 2019. Дмитрий Прокопук. Mocks and network tricks in UI automation
QAFest
 
QA Fest 2019. Екатерина Дядечко. Тестирование медицинского софта — вызовы и в...
QAFest
 
QA Fest 2019. Катерина Черникова. Tune your P’s: the pop-art of keeping testa...
QAFest
 
QA Fest 2019. Алиса Бойко. Какнезапутаться в коммуникативных сетях IT
QAFest
 
QA Fest 2019. Святослав Логин. Как найти уязвимости в мобильном приложении
QAFest
 
QA Fest 2019. Катерина Шепелєва та Інна Оснач. Що українцям потрібно знати пр...
QAFest
 
QA Fest 2019. Антон Серпутько. Нагрузочное тестирование распределенных асинхр...
QAFest
 
QA Fest 2019. Петр Тарасенко. QA Hackathon - The Cookbook 22
QAFest
 

QA Fest 2015. Юрий Федько. XSS - от простого к сложному!

  • 2. - 82% web-приложений уязвимы к XSS (2013) Коротенько о фактах - 7 из 10 web-приложений уязвимы к XSS (2014) - 60% web-приложений уязвимы к XSS (2013) - №3 в OWASP TOP-10 (2013)
  • 3. • Что такое XSS • XSS – Cross-Site Scripting • Атака на пользователя уязвимого web-приложения Поприветствуйте – XSS! • Цель • Выполнить код (JavaScript) в браузере «жертвы» в контексте уязвимого приложения
  • 4. Так как же оно работает? Ссылка со скрытым кодом WWW.SUPERBANK.ORG
  • 5. • По вектору - Отраженные либо пассивные XSS (Type 1) - Сохраненные или активные XSS (Type 2) - DOM XSS (Type 0) Типы XSS • По каналам внедрения - Ошибки в браузерах - Отсутствие проверки вводимых данных - Подмена кодировки страницы
  • 7. WWW.SUPERBANK.ORG Активная XSS Login ******* www.malicious.com Открывает страницу на которой отображается контент уязвимого поля Сохраняет «активный контент» В уязвимом поле
  • 8. • Web-страницы изменяющие DOM (Document Object Model) • Тяжело обнаружить DOM XSS <body> <script>document.write(location.href);</script> </body> Простейшее HTML DOM-дерево Пример простейшей уязвимой HTML Как использовать? http://site.com/test.html#<script>alert(‘xss’);</script> DOM XSS WiKi
  • 9. • Кража COOKIES - Кража сессий - Кража персональных данных - Неавторизированный доступ к web- приложению - Потеря репутации Как XSS может быть использована • Кража данных из форм - Кража персональных данных - Неавторизированный доступ к web-приложению - Потеря репутации • DDoS-атаки - Потеря репутации • XSS-черви - Кража персональных данных - Неавторизированный доступ к web- приложению - Потеря репутации
  • 10. XENOTIX - Проект OWASP - Активно разрабатывается - Много-браузерное тестирование - Много-много всего... - Freeware Чем искать? XSSF - Metasploit модуль - Консольная утилита - Присутствует web-интерфейс - Создает коммуникационный канал с тестируемым приложением - Freeware BeEF - Мощная среда для тестирования безопасности - Консольная утилита - Присутствует web-интерфейс - Простое иширокое API - Freeware DOMinatorPro - Автоматизация сканирования - Автоматическая проверка на возможность использования найденных уязвимостей - Shareware
  • 11. • Проверка на стороне сервера: • Проверять входящие данные – НЕ ДОВЕРЯТЬ ни чему, что пришло от пользователя (даже Cookies) • Использовать HttpOnly флаг • Использовать SSL • Не хранить конфиденциальные данные в Cookies • Кодировать HTML-символы, JavaScript, CSS и ссылки. • Использовать функции фильтрации ( filter_sanitize_encoded, htmlentities, filter_sanitize_magic_quotes, и др.) для фильтрации входящих данных • Использовать различные библиотеки для кодирования входящих данных (HTML Purifier or Htmlawed, PHP Anti-XSS Class, AntiSamy API, XSS-HTML-Filter) Как предотвратить? • Проверка на стороне клиента – Использование различных модулей для браузеров (NoScript для FireFox and NotScripts Opera для Chrome)

Editor's Notes

  • #2: Спасибо, что присоединились… Как раз отличное время поспать после обеденного перерыва (регламентированное время около часа – как раз выспитесь… ) Почему именно об ХСС 1) атака, которая помогла нам провернуть взлом в нашем первом проекте 2) на первый взгляд она кажется плевой задачкой, однако копнув глубже, понимаешь – не все так просто…. 3) XSS – весьма специфическая атака требующая выполнения определенных условий 3) ну и количество веб-приложений (сайтов), уязвимых к этой атаке пугающе велико…
  • #3: Trustware – одна из компаний-лидеров на рынке безопасности ИТ. Имеет громадное количество клиентов, как в гос секторах, военных организациях, так и в коммерческом секторе. Только за прошлый год – около 9 млн проверенных вэб приложений и 2 млн. сетей. WhiteHat Secotury – Калифорнийская компания, организована в 2001м, около 600 клиентов в США (финансовый сектор, банки страхование) Сenzic – секурити компания, которая обслуживает практически все компании из списка Fortune 1000 companies (AT&T, Apple, Wal-Mart Stores, General Motors…) C 2014 – часть Trustware OWASP – международное сообщество
  • #4: Х поставили, чтобы не путать название атаки с технологией CSS Почему атака – потому что один и тот же код уязвим к разным типам атак
  • #9: В чем суть? 1) из далека - HTML в браузере представляется как раз в виде ДОМ 2) из JavaScript есть возможность манипулирования структурой и данными 3) А раз так, то иногда, когда не ведется фильтрация данных, мы, модифицируя ДОМ сайта можем добиться выполнение JavaScripta в контексте уязвимого сайта