_
Hauptmenu
News
Verwundbarkeitsdatenbank
Downloads
- Dokumente
- Software
- Filme
- Guides
Projekte
- Attack Tool Kit
- codEX
- ComInt
- Compupedia
- Computec Online Adventure
- eLearn
- Entropia
- httprecon
- Tractatus
Forum
Statistiken
- Webseite
Links
FAQ
Impressum

Willkommen 54.91.214.93

Online
Gäste: 11
Mitglieder: 0
Auf dieser Seite: 1
Mitglieder: 3381, neuestes ist mL7eW4aD1r

Follow us on Twitter
Follow us on Twitter

scip_Alerter
22.08.1422.08.14PHP cdf_read_property_info() Denial of Service
21.08.1421.08.14Symantec PGP Desktop/Encryption Desktop Mail Compression Handler Denial of Service
21.08.1421.08.14PHP DNS TXT Record Handler dns_get_record() Segmentation Fault Pufferüberlauf
20.08.1420.08.14ESET Endpoint Security/Smart Security NIDS Filter EpFwNdis.sys erweiterte Rechte
20.08.1420.08.14Delphi XE/C++ Builder VCL library Pufferüberlauf

Zeige aktuelle Schwachstellen

Beste 5 Downloads der gleichen Kategorie
1 Webapplication-Security
Sven Vetsch |||||||||| [9.1]
Dieses Dokument ist eine kurze Einführung in verschiedene Angriffs- und Verteidigungsarten im Bezug auf Webapplikationen. Auffallend ist bei dieser Publikation, dass möglichst vieles auch praktisch aufgezeigt wird. So findet man darin Screenshots sowie auch Beispiel-Scripts, weshalb das Dokument besonders für Einsteiger geeignet ist. Vor allem Auditoren und Applikations-Entwickler werden so einfach mit den Gegebenheiten vertraut gemacht.
2 HTML Injection Angriffe
Brandon Petty |||||||||| [9.0]
Diese Publikation beschäftigt sich mit klassischer HTML-Injection, durch die das Auftreten und Verhalten einer Webseite manipuliert werden will. Anhand einiger gut ausgewählter Beispiele werden die Fehler im PHP-Code identifiziert und erläutert. Ein solides Dokument, das sich mit Vorteil Webentwickler zu Gemüte führen.
3 Apache Webserver Sicherheitsstudie
Isabel Münch |||||||||| [9.0]
Diese ausgezeichnete Abhandlung deckt praktisch alle Grundlagen der Sicherheit von Apache-Webservern ab. Ideal für Web-Administratoren.
4 Cross Site Scripting - Die stets unterschätzte Gefahr
Marc Ruef |||||||||| [8.8]
Dieser Fachartikel, er stellt eine überarbeitete und erweiterte Fassung dar, erschien erstmals im scip monthly Security Summary (smSS), Ausgabe 19. Juli 2006. Darin wird die grundlegende Problematik von Injection-Angriffen (HTML-Injection und Cross Site Scripting) von Webapplikationen illustriert. Anhand einfacher Beispiele werden die Gefahren diskutiert. Ein guter Artikel für angehende Webapplikations-Entwickler.
5 Webserver - Sicherheit ist realisierbar
Johannes Hoppe |||||||||| [8.3]
Diese Arbeit bietet qualitativ und quantitativ etwas vom besten, was bisher in deutscher Sprache zum Thema Webserver-Sicherheit publiziert wurde. Es werden die verschiedenen Angriffs-Techniken sowie die entsprechenden Gegenmassnahmen vorgestellt. Ein Muss für jeden, der sich für die Sicherheit von Webserver-Systemen interessiert.

Zeige alle Downloads der gleichen Kategorie

Schon gewusst, dass...
...die sichere Alternative zu FTP den Namen SFTP trägt? Es bietet, ähnlich wie SSH zu Telnet, kryptografische Verfahren zur Absicherung einer Kommunikation.

Zeige alle Trivias (244 Total)

Zitat des Augenblicks (id 212)
"Gewissheit gibt allein die Mathematik. Aber leider streift sie nur den Oberrock der Dinge." - Wilhelm Busch, Brief an Maria Anderson''

Zeige alle Zitate (246 Total)

Google Werbung

 
Downloads / Webserver (Dokumente) / Cross Site Scripting - Die stets unterschätzte Gefahr
Allgemein
ID812 Foto von Marc Ruef
TitelCross Site Scripting - Die stets unterschätzte Gefahr
AutorMarc Ruef
Emailmaru-at-scip.ch
Webseitehttp://www.scip.ch
BeschreibungDieser Fachartikel, er stellt eine überarbeitete und erweiterte Fassung dar, erschien erstmals im scip monthly Security Summary (smSS), Ausgabe 19. Juli 2006. Darin wird die grundlegende Problematik von Injection-Angriffen (HTML-Injection und Cross Site scripting) von Webapplikationen illustriert. Anhand einfacher Beispiele werden die Gefahren diskutiert. Ein guter Artikel für angehende Webapplikations-Entwickler.
Bewertung
*********
8.8 von 17 Bewertungen
 

Dieser Download gilt als einer der besten und wichtigsten seines Genres. Die Qualität dessen hat schon so manchen Nutzer überzeugt, weshalb sie ihn unvoreingenommen weiterempfehlen. Hier kann man nichts falsch machen. Bisher haben die folgenden Mitglieder für diesen Download abgestimmt: Marc Ruef, ZeroxDT, analyzer, Daniel, Disenchant, san_pellegrino, Tsutomu, Cyberghost, duddits, mr. ultimatrix, creepymind, hoschi, Tempelripper, Andy Lucky, dari0, Jan Tytlik, s433d_only_linux
Veröffentlichung
ErstveröffentlichungMittwoch, den 19. Juli 2006 (vor 8 Jahren, 1 Monat, 1 Woche und 0 Tagen)
Herausgeberscip monthly Security Summary (smSS), Ausgabe 19. Juli 2006
Webseitehttp://www.scip.ch
Kategorisierung
KategorieWebserver (Dokumente): Von Apache bis MS IIS
DokumenttypFachartikel
ZielpublikumTechniker: Technisches Personal oder Personen, die sich für Technik und ihre technischen Hintergründe interessieren. (z.B. Administratoren, Entwickler, Supporter) Grafische Darstellung
NutzerprofilFortgeschrittene Fortgeschrittene: Benutzer mit einem gewissen Mass an Grundwissen, die sich entsprechend schon zuvor mit der Materie beschäftigt haben.
ProzessschrittKontrolle Kontrolle: Der Prozess wird nach der Steuerung bewertet, ob er die Ziele erreichen kann, erreichen wird oder schon erreicht hat.
StichworteASP, CGI, CSS, Computer, Cookie, Cross Site Scripting, Funktion, HTML, HTML-Injection, Injection, JS, Javascript, Script-Injection, XSS, alert(), hakin9
Daten
Upload DatumMontag, den 14. August 2006 um 09:22 Uhr (vor 8 Jahren, 2 Wochen und 4 Tagen)
Update des EintragsSonntag, den 17. Juni 2007 um 21:53 Uhr (vor 7 Jahren, 2 Monaten, 1 Woche und 2 Tagen)
UploaderMarc Ruef
Downloads1118 (0,4 pro Tag; also alle 60 Stunden)
Download
DownloadHTTP-URL (z.B. Microsoft Internet Explorer) [http]
eD2k Link (z.B. eMule) [eD2k]
Dateigrösse450,24KB
DownloadzeitModem mit 56 Kbit: 89 Sekunden
ISDN mit 64 Kbit: 78 Sekunden
DSL mit 768 Kbit: 7 Sekunden
DateitypAdobe Acrobat Reader pdf
Beispiel: Adobe Acrobat Reader, http://www.adobe.de/products/acrobat/readstep.html
VirenwarnungEntwarnung Es sind keine Antiviren-Lösungen bekannt, die korrekterweise oder fälschlicherweise korrupten Programmcode in diesem Titel entdecken werden.
MD5 Hash [?]e589f3eeb720088baafddb394c3d4a90
SHA1 Hash845923066f4afb5dc199bdc49abe196f74d2a491
PGP SignaturKeine PGP Signatur vorhanden
Dokumentinformationen
SeitenabmessungenA4 (210 × 297 mm, Viertelbogen/Briefbogen) A4 (210 × 297 mm, Viertelbogen/Briefbogen)
SeitenausrichtungHochformat
Anzahl Seiten8
Anzahl Zeichen28529 Zeichen
Anzahl Worteca. 4075 Worte
Lesezeitca. 26 Minuten
Anzahl Bilder10
BilddarstellungFarbig
ReferenzierungSiehe hier
Zusätzliche Informationen
Weiterführende TitelHTML Injection Angriffe von Brandon Petty
Online-Recherchegoogle.de
google.com
hotbot.com


Kommentare ...
Cross Site scripting - Die stets unterschätzte Gefahr analyzer | 14. Aug 06 : 10:29
Kernmitglied (Level 10)
Rang 10 (Kernmitglied)

Kommentare: 37
seit 27. Jan 05 : 22:47

Antworten
Nach meiner Meinung ein sehr gutes Dokument. Das Durchlesen lohnt sich auf jeden Fall.


Kommentare ...
Cross Site scripting - Die stets unterschätzte Gefahr Disenchant | 14. Aug 06 : 13:02
Moo.gif
Kernmitglied (Level 10)
Rang 10 (Kernmitglied)

Kommentare: 74
seit 25. Feb 05 : 09:36

Antworten
Erst einmal muss ich sagen, ist es ein gutes Dokument (wir sind uns von dir ja auch nichts anderes gewohnt) aber ein paar Dinge möchte ich noch dazu sagen:

    "Der übliche Test für das Injizieren von script-Code ist in der Abfrage für "<script>alert('XSS');</script>" gegeben"


Dieser Test sollte nicht gemacht werden, da zum Beispiel ein magic_quotes_gpc=On bereits genügt, um diesen Angriff abzuwehren. Besser währe z.B. "<script>alert(123);</script>" da hierfür keine Anführungszeichen verwendet werden.

    "Attacking the local LAN via XSS"


Naja, neu ist die Idee wirklich nicht. Ich schätze die ersten solchen Angriffe und Überlegungen liegen etwa ein Jahr zurück.

    "Der Trend zu sichereren Web-Applikationen ist jedoch schon spürbar."


Hier muss ich leider widersprechen, denn es ist wirklich so, dass grosse Projekte (vor allem im Opensource-Bereich) immer mehr Wert auf Sicherheit legen. Dabei ist allerdings daran zu denken, dass heute jeder DAU eine eigene Website auf die Beine stellen kann, die eine XSS-Verwundbarkeit aufweist. Nun könnte man sagen „na und?“ aber denken wir an 1000 solcher einfachen Hobby-Sites, die eine solche Schwachstelle aufweisen und sagen wir zu jeder Tageszeit sind 200 Leute auf einer dieser 1000 Seiten, dann haben wir bereits 200 Leute, die für uns z.B. auf eine Seite die wir möchte zugreifen (was das bringt überlasse ich jetzt einmal eurer Phantasie). So ist das Problem durch XSS meines Erachtens keineswegs kleiner geworden und auch wirklich grosse und sensible Unternehmen haben es noch nicht begriffen, dass es sich dabei um ein ernst zunehmendes Problem handelt. Ich rede hier von Banken, Social Networking Platformen, usw.

Sollte sich jemand ein wenig dafür interessieren, was man sonst so mit XSS zaubern kann, kann sich vielleicht auch mal meine Präsentation über XSS-Worms ansehen [1]

Alles in allem aber sicher wie Anfangs gesagt ein gutes Dok, welches ich jedem Neueinsteiger im Bereich XSS empfehlen kann :)

[1] [www.disenchant.ch]

Grüsse,
Disenchant



Sie müssen angemeldet sein, um auf dieser Seite Einträge machen zu können. Bitte melden Sie sich an, oder wenn Sie noch nicht registriert sind, klicken Sie hier
1997-2012 © Marc Ruef: Alle Rechte vorbehalten - Kopieren erlaubt!

Render time: 0.1742 second(s).