[netbenni]

Hallöchen ,

ich bin auf der Suche nach interessanter Literatur/ interessanten Webseiten (oder was es sonst noch so gibt) zum Thema XSS-Abwehr.

Könnt ihr mir da was empfehlen?

[netbenni]

Ich hoffe ihr habt das nicht in den falschen Hals gekriegt ...

Es geht mir in erster Linie um die Abwehr von Cross-Site-Scripting (XSS)-Angriffen.
Ich habe mir vor Kurzem mal das Angebot von Dussmann zum Thema XSS-Abwehr angesehen und es gab sage und schreibe ein einziges Buch zu diesem Thema. Dieses fand ich aber dann doch sehr interessant, weshalb ich mich nun mehr mit diesem Thema beschäftige. Natürlich könnte ich auch einfach bei Google vorbei schauen aber mich interessiert vorallem die Empfehlung eines Fachmannes (falls es solche hier zu diesem Thema gibt). Selbst habe ich natürlich auch schon ein bisschen rumgegoogelt und in Buchhandlungen in meiner Nähe geschaut aber da war eher tote Hose. Die meisten Webseiten, die ich fand, setzen eine gewissen Erfahrung in diesem Thema vorraus, die ich nicht habe, allein deshalb schon, weil ich z.B. keinen Apache Server für PHP installiert habe, mit dem ich ein bisschen rumprobieren könnte.

gruß benni

[mantiz]

Zum Thema an sich kann ich Dir leider nichts sagen, aber wenn es daran scheitert, dass Du Dir keinen Apache installieren möchtest, dann schau' Dir mal VMWare und/oder VirtualBox an.

Ich lasse meinen Server auch in einer VM laufen (VirtualBox in diesem Fall) und läuft bisher ohne Probleme, auch, wenn es etwas tricky ist das Netzwerk vernünftig einzurichten. Beim Zugriff auf die Samba-Freigaben hängt es manchmal für ein paar Sekunden, aber dann läuft's normal weiter.

Damit kannst Du Dir eine VM zum Beispiel mit Linux und eine mit Windows aufsetzen und damit rumtesten, bis der Arzt kommt.
Wenn das Grundsystem eingerichtet ist, vorsichtshalber nen Backup machen, dann kannst Du es auch ruhig mal zerschiessen.

Sorry, sonst kann ich leider nichts dazu beitragen.

[netbenni]

Ich dank dir trotzdem sehr für den Tipp

[Gumbo]

Ich denke eine VM einzurichten ist wesentlich aufwändiger als einen lokalen Test-Webserver einzurichten, da für letzteres auch bereits fertig geschnürte Pakete wie XAMPP ausreichen, diese aber dennoch relativ gut konfiguriert werden können.


Nun bei XSS-Angriffen ist wie bei allen anderen Angriffen, bei denen Schadcode eingeschleust wird, die unzureichende Prüfung der Eingabedaten und unzureichende Maskierung der Ausgabedaten die eigentlich Sicherheitslücke.

Im Falle von XSS sind es meistens die Metazeichen des jeweiligen Kontextes, in denen die Daten eingefügt/ausgegeben werden, die, falls sie nicht herausgefiltert oder maskiert werden, die ausgegebenen Daten in einen anderen, nicht dafür vorgesehenen Kontext bringen, in dem sie dann als vertrauenswürdig eingestuft werden.

Ein Beispiel: Die Eingabe einer Suchmaske wird wieder ausgegeben. Der Kontext ist hier HTML (genauer: eigentlich nur Text innerhalb eines HTML-Elements). Der „Text“-Kontext kann hier nun mit dem „<“-Zeichen in der Eingabe verlassen werden. Der neue Kontext in HTML ist damit „HTML-Elementdeklaration“. Um dies zu verhindern, muss das „<“-Zeichen durch eine Zeichenreferenz maskiert werden.

Code:

Eingabe:
  foo<script>alert("XSS")</script>

ohne Maskierung HTML-Metazeichen in der Ausgabe:
  <p>Suchbegriff: foo<script>alert("XSS")</script></p>

mit Maskierung HTML-Metazeichen in der Ausgabe:
  <p>Suchbegriff: foo&lt;script&gt;alert(&quot;XSS&quot;)&lt;/script&gt;</p>

Ein weiteres Beispiel: In einem Gästebuch kann eine E-Mail-Adresse (oder Webadresse) angegeben werden, die später wieder in einem Link ausgegeben wird. Der Kontext ist hier wieder HTML, allerdings dieses mal ein HTML-Attributwert (genauer: ein HTML-Attributwert vom Typ URL). Der Kontext kann hier je nach Auszeichnung des Attributwerts (entweder ohne oder mit Anführungszeichen) mit einem einfachen Leerzeichen beziehungsweise dem jeweligen Anführungszeichen beendet werden. Der neue Kontext wäre dann wieder „HTML-Elementdeklaration“. Hier nur das „<“-Zeichen zu maskieren, wäre allerdings sinnlos. Hier müssten nun die Anführungszeichen und/oder das Leerzeichen maskiert werden.

Code:

Eingabe:
  user@example.com" onclick="alert('XSS')

ohne Maskierung:
  <a href="mailto:user@example.com" onclick="alert('XSS')">E-Mail-Adresse</a>

mit Maskierung der HTML-Metazeichen:
  <a href="mailto:user@example.com&quot onclick=&quot;alert('XSS')">E-Mail-Adresse</a>

[mantiz]

Zitat:

Zitat von Gumbo

Ich denke eine VM einzurichten ist wesentlich aufwändiger als einen lokalen Test-Webserver einzurichten, da für letzteres auch bereits fertig geschnürte Pakete wie XAMPP ausreichen, diese aber dennoch relativ gut konfiguriert werden können.

Auch, wenn es OT ist, möchte ich das kurz aufgreifen, ich hoffe es spricht nichts dagegen, danach bin ich dann auch ruhig.

Ich habe lange Zeit nichts mit VMs gemacht, mittlerweile habe ich meinen Linux-Server seit 2 Jahren in einer VM und ein Windows-Test-System mit verschiedenen Browsern, etc. ebenfalls seit ein paar Monaten.
Es ist anfangs ein wenig Arbeit, wobei man die Installation auch locker nebenher laufen lassen kann, da stört das nicht so wahnsinnig.
Ich sehe die Vorteile ganz klar darin, dass man sich sein System nicht so zumüllt. Wenn man nur hin und wieder mal etwas braucht, warum soll alles im Hauptsystem verfügbar sein?
Natürlich ist es in der VM etwas langsamer, manchmal sogar deutlich spürbar, aber man kann im Prinzip experimentieren, wie man will, wenn das System mal Schrott ist, spielt man das Backup drüber und gut ist.

Ich möchte es nicht mehr missen, daher mein Vorschlag.

Gerade, wenn man ein wenig rumspielen will, evtl. verschiedene PHP-, mySQL-Versionen, etc. bietet es sich imho einfach an eine VM aufzusetzen.
Ein "wenig" Platz auf der Festplatte wird natürlich benötigt, aber das dürfte heutzutage ja kaum noch ein Problem sein.

So, back 2 topic.