Angriffe und Lösungen
Angriffe, wie bspw. Buffer Overflows, Cross-Site Scripting, SQL-Injection stellen ein hohes Sicherheitsrisiko für alle Web-Applikationen dar. Wir stellen Ihnen an dieser Stelle die wichtigsten Angriffsformen und Lösungen vor, solche Angriffe zu verhindern.
| Thema | Version | Sprache | Datum | Datentyp | Format | Autor |
|---|---|---|---|---|---|---|
| Web Application Session Management | 1.0 |
|
22.01.07 | Whitepaper |
pdf
doc |
EUROSEC |
| Web Application Session Management |
|
23.11.05 | Präsentation |
pdf
ppt |
EUROSEC | |
| Cross Site Scripting Overview |
|
23.11.05 | Präsentation |
pdf
ppt |
EUROSEC | |
| SQL Injection |
|
23.11.05 | Schulungsfolien |
pdf
ppt |
EUROSEC | |
| A Short Guide to Input Validation | 1.0 |
|
25.04.2007 | White Paper |
pdf
|
Commerzbank |
| Input Normalization and Character Encodings | 1.0 |
|
13.03.06 | Whitepaper |
doc
|
EUROSEC |
SecologicTrain
SecologicTrain ist eine Java E-Learning Applikation, mit der Sie typische Sicherheits-Schwachstellen im Webbereich kennenlernen und anhand praktischer Übungen Lösungsmöglichkeiten erlernen können. Wir haben Ihnen online einen statischen Prototypen mit einer Übung zur "Cookie Security" erstellt. Die volle Version in Java/JSP können Sie als ein Zip-Archiv herunterladen. Es werden Ihnen in dieser Version Lernmodule zu den Themen XSS (Cross Site Scripting), SQL-Injection, X-Path Injection, Cookie Security zur Verfügung gestellt. Für die Applikation benötigen Sie eine MySql DB und einen Apache Tomcat. Eine Installationsanleitung ist beigelegt.
| Thema | Version | Sprache | Datum | Datentyp | Format | Autor |
|---|---|---|---|---|---|---|
| E-learning Applikation SecologicTrain | 1.0 |
|
19.12.06 | Software-Archiv |
zip
|
SAP |
Cross Site Request Forgery
Cross Site Request Forgery Angriffe (CSRF, auch bekannt als XSRF, Session Riding oder Sea Surf) sind bekannt seit 2001. Trotzdem ist diese Klasse von Verwundbarkeiten in Web Applikation vergleichsweise unbekannt. Da die Bedeutung von Web-Front-Ends für Applikationen stetig zunimmt, steigt auch die Anzahl der potentiellen Opfer für CSRF-Attacken. Hier können Sie weitere Informationen über diese Verwundbarkeitsklasse finden. Weiterhin haben wir uns im Rahmen des secologic Projektes damit beschäftigt, Client-Seite Schutzmaßnahmen gegen CSRF Angriffe zu entwickeln: RequestRodeo zum Schutz vor Angriffe auf Cookie- und HTTP-Authentication und LocalRodeo zum Schutz von Intranet-Servern gegen "JavaScript"-Malware.
| Thema | Version | Sprache | Datum | Datentyp | Format | Autor |
|---|---|---|---|---|---|---|
| On CSRF and why you should care | 1.0 |
|
29.11.06 | Präsentation |
pdf
|
SVS-UHH |
| RequestRodeo: Client Side Protection against Session Riding | 1.0 |
|
27.05.06 | Konferenzpapier |
pdf
|
SVS-UHH |
| RequestRodeo: Client Side Protection against Session Riding (slides) | 1.0 |
|
27.05.06 | Präsentation |
pdf
|
SVS-UHH |
Preventing XSS-based Session Hijacking
Da HTTP ein zustandsloses Protokoll ist, müssen Web Applikationen jeweils eigene Session-ID basierte Tracking Mechanismen implementieren. Wenn ein Angreifer in der Lage ist, eine XSS Schwäche in der Applikation auszunutzen, kann er so die Session-ID auslesen und damit die gesamte Session übernehmen. Im Rahmen des secologic-Projektes haben wir Methoden entwickelt, die es Web Applikationen erlauben, sich gegen Session Hijacking zu wehren auch wenn eine XSS Schwäche exisitert.
| Thema | Version | Sprache | Datum | Datentyp | Format | Autor |
|---|---|---|---|---|---|---|
| Using the same-origin policy to disarm XSS vulnerabilities | 1.0 |
|
27.05.06 | Präsentation |
pdf
|
SVS-UHH |
| SessionSafe: Implementing XSS Immune Session Handling | 1.0 |
|
01.10.06 | Konferenzpapier |
pdf
|
SVS-UHH |
| SessionSafe: Implementing XSS Immune Session Handling (slides) | 1.0 |
|
01.10.06 | Präsentation |
pdf
|
SVS-UHH |