In den letzten Wochen haben wir immer wieder an einer Reportage über Cross-Site-Scripting geschrieben die schnell an Umfang gewonnen hat. Heute wollen wir euch das White-paper präsentieren um anderen zu helfen sich gegen XSS zu schützen. In diesem Paper was noch erweitert wird haben wir uns die Mühe gemacht alle Techniken, Methoden & Abwehrmaßnahmen aufzulisten. Ebenfalls erklären wir Hintergründe zum Thema XSS & zeigen auch Einblicke aus realen Szenarios im Internet. In diesem Paper werden auch Angriffsmethoden, Code-Review’s & Beispiele aufgezeigt damit der Leser/PenTester sich besser orientieren kann.

Inhaltsverzeichnis:

[x] Cross-Site-Scripting(XSS)

[x] Parameter Arten

[x] Persistenter Angriff (Serverseitig)

[x] Nicht Persistenter Angriff (Clientseitig)

[x] DOM basiert oder Local

[x] Angriffs-Techniken

[x] Cross-Site-Authification

[x] Cross-Site-Cooking & Session-Fixation-Attack

[x] Cross-Site-Stealing

[x] Cross-Site-Scripting Lücken & Internet-Seiten

[x] Cross-Site-Scripting in System-Informationsdateien

[x] Hardwarespezifische Konfigurationsmenüs

[x] Wurmer in Kombination mit Cross-Site-Scripting

[x] Agressive Links/URLs

[x] Märkte für XSS-Lücken

[x] Automatisiert XSS-Lücken aufdecken

[x] Restricted Input Bypass XSS

[x] XSS in Grafiken/Elementen

[x] HTTP-Header-Manipulation

[x] Bevorzugte Angriffsziele für XSS-Attacken

[x] Warum gerade diese Ziele?

[x] Programmierfehler & Fixes

[x] Gesetzliche Aspekte

[x] Straftaten in Verbindung mit XSS-Attacken

[x] Zusammenfassung

[x] Schlusswort

Anhang:

[x] (Video) Cross-Site-Scripting Attack [Client-Side]

[x] (Video) Cross-Site-Scripting Attack [Server-Side]

[x] Cross-Site-Scripting String-List (Penetrationtester)

————————————————————————————–

Download: Cross Site Scripting – Dokumentation, Analyse & Technik

Download: Cross Site Scripting – Attacker Strings & Filters

————————————————————————————–

Public@OFFSEC: http://www.exploit-db.com/papers/10342.pdf

[Writer: ~x4lt,~remove & ~smash]