Konferenzen

Dipl.-Inform. Carsten Eilers

Startseite

Über mich

Angebotsspektrum

Konferenzen

WebTech 2012
IPC 2012, SE
WebTech 2011
WebTech 2010
IPC 2009, SE
Ajax in Action 2008
Webinale 2008
Web Security Days 2008
Ajax in Action 2007

Texte

About Security
Online-Artikel
Magazin-Artikel
PHP Magazin Workshops
Bücher

Advisories

zum Blog ...

Impressum

Datenschutzerklärung

 

Hier finden Sie die Präsentationen und weiterführende Informationen zu Vorträgen, die ich auf Konferenzen gehalten habe.

---

Ajax in Action 2007: AJAX, aber sicher!

Vom 5. bis 7. November 2007 fand in Frankfurt/Mörfelden die AJAX IN ACTION statt, auf der ich einen Vortrag über Ajax-Sicherheit gehalten habe: "AJAX, aber sicher!"

Beschreibung:
AJAX, aber sicher! Das Web 2.0 nutzt zwar weitgehend altbekannte Technologien, doch durch die mächtige Client-Logik ergeben sich neue Bedrohungen. Bekannte Schwachstellen wie XSS und CSRF lassen sich in Verbindung mit AJAX zu neuen Angriffen kombinieren. Neue Schnittstellen wie der XMLHttpRequest und neue Austauschformate wie JSON bringen neue Schwachstellen mit sich. Diese Session zeigt neue Gefahren auf und hilft, ihnen zu begegnen.

Dateien zum Vortrag

• AJAX, aber sicher! (PDF)
• Demonstration für DOM-basiertes XSS (ZIP)

Weiterführende Links

• Vorstellung
  • Dipl.-Inform. Carsten Eilers
  • About Security
  • Standpunkt Sicherheit
  • Security aktuell
• "Myth-Busting"
• Etwas Geschichte
• Ein Klassiker: XSS
  • Vulnerability Type Distributions in CVE
  • Arten
  • DOM-basiertes XSS
    • Amit Klein: DOM Based Cross Site Scripting or XSS of the Third Kind
    • About Security #129: Cross-Site-Scripting, reloaded
    • About Security #130: DOM-basiertes XSS abwehren
  • Folgen von XSS
    • JavaScript Visited Link Scanner ¦ GNUCITIZEN
    • KW 36/06: Standpunkt Sicherheit ("George Bush ernennt 9-jährigen zum Chef des Information Security Departments")
    • Detecting, Analyzing, and Exploiting Intranet Applications using JavaScript
    • JavaScript Port Scanner ¦ GNUCITIZEN
    • Daten und Fakten aus dem 12. Internet Security Threat Report von Symantec (PDF)
• Auch ein Klassiker: CSRF
  • About Security #127: Cross-Site-Request-Forgery: Einführung
  • About Security #128: CSRF: Ausnutzung und Gegenmaßnahmen
• Das ganze mit Ajax
  • Vorbemerkungen
  • Einmal mischen, bitte: Mashups
  • JavaScript-Hijacking
    • Brian Chess, Yekaterina Tsipenyuk O'Neil, Jacob West: JavaScript Hijacking (PDF)
    • The real reason for (JavaScript¦JSON) Hijacking
  • Alles zusammen: JavaScript-Malware
    • Technical explanation of The MySpace Worm
    • Jikto und das Browser Exploitation Framework BeEF lassen sich einfach über z.B. Google finden
• Gegenmaßnahmen
  • Vorbemerkungen
  • Verhindern von XSS
    • XSS (Cross Site Scripting) Cheat Sheet
  • Verhindern von CSRF
    • Paros Proxy
  • Verhindern von JavaScript-Hijacking
  • Allgemein
    • Schwachstellen-Scanner (nicht nur) für das Web 2.0

---

Webmaster, webmaster@ceilers-it.de

Letzte Änderung: 06.07.2017, 14:39