Sichere Webanwendungen

Transkript

1 Mario Heiderich, Christian Matthies, fukami, Johannes Dahse Sichere Webanwendungen Das Praxishandbuch

2 Auf einen Blick 1 Einleitung Rechtslage Vergangene Angriffe und Hacks Sicherheit im Web Webentwicklung mit Adobe Flash Sichere Webapplikationen bauen Testphase Pflege- und Erweiterungsphase XSS Cross Site Request Forgeries SQL Injection Directory Traversal RCE und LFI URI-Attacken Projekte und Tools

3 Inhalt Geleitwort des Fachgutachters Einleitung An wen richtet sich dieses Buch? Was ist der Zweck dieses Buches? Was leistet dieses Buch nicht Wie ist dieses Buch aufgebaut? Einleitung und Grundlagen Sichere Webapplikationen bauen Angriff und Verteidigung Nützliches und Interessantes Über die Autoren Mario Heiderich Christian Matthies fukami Johannes Dahse Rechtslage c Der Hackerparagraph Erste Konsequenzen und Folgen Wir sind dann mal weg Das BSI im juristischen Fadenkreuz Kriminell um jeden Preis Das EICAR-Positionspapier Fazit? Wie verhält man sich nun am besten? Darf man so was überhaupt? Kommt darauf an Manchmal ist es sogar erwünscht Fazit Ein Blick in die rechtliche Zukunft Zusammenfassung

4 Inhalt 3 Vergangene Angriffe und Hacks Samy Der Wurm, der keiner sein wollte Wie alles begann Technische Grundlagen des Angriffs Wie die Geschichte endete Yamanner Mailworming mit XSS Die Vorgeschichte Wie Yamanner funktionierte Konsequenzen Nduja Connection XWW made in Italy XWWie bitte? Der eigentliche Wurm Wie ging es weiter? Gaiaworm Online-Games als Zielscheibe Ein halb-reflektiver Wurm Ist reflektives XSS ungefährlich? Phishing Das älteste Handwerk der Welt Wie alles begann A Phisher s bag of tricks Homographische Angriffe und IDNs Phishing und XSS Redirects Sich selbst phishende Seiten? Fazit Deine Post ist meine Post Fazit Zusammenfassung Sicherheit im Web Das neue Web Privatsphäre im Social Web Ein verändertes Nutzerverhalten Wie sicher ist das (Social) Web 2.0 wirklich? Auswirkungen auf Nutzer und Unternehmen Gefahr aus der Wolke Dabble DB Datenbanken für alle PHP per URL freehostia.com OnlyWire Bookmarking mal anders Sicherheitslücken mit der Google Code Search Engine googeln

5 Inhalt OpenKapow Angriff der Roboterkrieger Das Internet als Payload Ajax Security XHR Die Same Origin Policy Das X in Ajax JSON statt XML Das Problem mit den Headern Die Perle in der JSON-Auster Probleme mit Ajax-Libraries Fazit Zusammenfassung Webentwicklung mit Adobe Flash Die Geschichte von Flash Acronym Soup Die Fähigkeiten von Flash Aufruf und Einbindung Parameter und Attribute Die Sicherheitsmechanismen in Flash Verantwortliche für die Sicherheit von Flash Administrative Sicherheitseinstellungen Sicherheitseinstellungen durch den User Sicherheitseinstellungen durch Entwickler Sandbox Security Model Mögliche Sandboxen Netzwerk-Protokolle Port Blocking Cross Domain Policies ActionScript Die Unterschiede zwischen AS2 und AS Kritische ActionScript-Funktionen Daten aus Flash auf dem Server speichern Werkzeuge zum Testen von Flash-Anwendungen Angriffe auf Clients mithilfe des Flash-Plug-ins Sinn und Unsinn von Obfuscation Ausblick auf zukünftige Flash-Versionen Zusammenfassung Links

6 Inhalt 6 Sichere Webapplikationen bauen Einleitung Wichtige Grundlagen Das HTTP-Protokoll Encoding Entities verstehen und nutzen Was versteht man unter Filtering? Warum Stripping selten sinnvoll ist Reguläre Ausdrücke Zusammenfassung Planungs- und Designphase Datenbankstruktur Die Datenbank weiß, wer was darf ACL im Detail Backend und Pflegeskripte härten Keine unnötige Preisgabe von Informationen Zusammenfassung Die Implementationsphase GET-Parameter und Formulare Validierung A und O der Absicherung Escapen Filtering und Encoding Links und Formulare gegen CSRF schützen Zufallszahlen aber richtig CAPTCHAs Sinn und Unsinn der Menscherkennung Zusammenfassung Sichere Datei-Uploads Verbreitete Sicherheitslücken Schutzmaßnahmen Zusammenfassung Kontaktformulare und Form-Mailer Aufbau einer Mail Header Injections Weitere Risiken Zusammenfassung Redirects Redirects per HTML Redirects per JavaScript Die Weiterleitung ins Grauen HRS und die Kröte auf dem Grund des Brunnens

7 Inhalt Immer und immer wieder Redirects sicher implementieren Zusammenfassung Includes, Pfade und Konfigurationen Local File Inclusions Includes von fremden Servern Vorsicht vor weiteren Include-Methoden Schutzmaßnahmen Ordner-Relikte und Backups Zusammenfassung Eval, Shell-Methoden und User Generated Code Serverseitiges eval() Clientseitiges eval() Schutzmaßnahmen User Generated Code Geht das überhaupt? Zusammenfassung Sessions Was genau sind eigentlich Sessions? Offensichtliche Fehlerquellen Session Fixation Mehr Sicherheitsrelevantes zu Sessions Zusammenfassung Cookies Sind Cookies Würmer? Der Aufbau eines Cookies Cookies und Domains Cookies und JavaScript HTTPOnly als Rettung? Fast tadellos Was bleibt zur Defensive? Zusammenfassung Login und Authentifizierung Information Disclosure XSS im Login-Formular SQL Injections in Login-Formularen Mir nach, User! Apropos Cookies und Logins Schutzmaßnahmen Zusammenfassung

8 Inhalt 6.13 WYSIWYG-Editoren Wie WYSIWYG-Editoren funktionieren WYSIWYG und XSS WYSIWYG aber bitte sicher WYSIWYG Editor of Death Zusammenfassung Feeds Verbreitete Sicherheitslücken Lokale Exploits und Chrome Zusammenfassung Fehlermeldungen Zusammenfassung Testphase Die eigene Applikation hacken Manuelles Vorgehen Source Code Reviews Automatisiertes Vorgehen Pflege- und Erweiterungsphase Monitoring und Logging Bestehende Applikationen absichern Eine Datei, sie alle zu filtern Plug-ins, Extensions und Themes Zusammenfassung XSS Was ist XSS? Kontextsensitives Schadpotential XSS-Würmer XSS in allen Facetten Reflektives XSS Persistentes XSS Lazy-XSS Angriffe auf das Backend Untraceable XSS Der unsichtbare Exploit XSS per Stylesheet XSS via XXE und UTF-7 ohne UTF Zusammenfassung

9 Inhalt 10 Cross Site Request Forgeries CSRF und XSS Anti-XSRF-Schutzmaßnahmen vs. XSS Exploiting Anti-XSRF geschütztes XSS Exploiting Logged-Out XSS Lesende Requests und Information Disclosure Zustandschecks mit JavaScript JavaScript Hijacking Schutzmaßnahmen Real Life Examples Der Amazon-Exploit von Chris Shiflett Der Gmail-Exploit von pdp Der Gmail-Exploit von Jeremiah Grossman SQL Injection Vorgehensweise und Aufbau Folgen eines Angriffs Authentication Bypass Informationsdiebstahl Denial of Service Datenmanipulation Übernahme des Servers Unterarten von SQL Injections Blind SQL Injections Stored Procedure Injection Datenbanksystemspezifische SQL Injections Fingerprinting des Datenbanksystems Mapping der Datenbank Angriffe auf das System Umgehen von Filtern Zusammenfassung Directory Traversal Schutzmaßnahmen mit zweifelhafter Wirkung Code Execution via Directory Traversal Zusammenfassung

10 Inhalt 13 RCE und LFI Zusammenfassung URI-Attacken Der Browser als Gateway Schutzmaßnahmen und Abwehr Zusammenfassung Projekte und Tools NoScript HTML Purifier ratproxy PHPIDS Warum man das PHPIDS einsetzen sollte Anforderungen Installation und Benutzung Arbeiten mit dem Impact Logging und Ergebnisanalyse Allgemeine Angriffserkennung Performance Ausblick Index

11 »There is no security on this earth. Only opportunity.«general Douglas MacArthur 1 Einleitung 1.1 An wen richtet sich dieses Buch? Eigentlich ist diese Frage recht schnell beantwortet: Dieses Buch richtet sich an alle, die mit der Erstellung, Pflege und Konzeption von Webapplikationen zu tun haben oder in Zukunft involviert sein werden. Dies schließt sowohl technische Projektmanager, neugierige Administratoren sowie natürlich und gleichermaßen Entwickler und Programmierer von Webapplikationen ein. Aber gehen wir zunächst noch einen kleinen Schritt zurück und denken darüber nach, was eigentlich eine Webapplikation ist. Klar, werden Sie jetzt sagen, bei Webapplikationen handelt es sich um Online-Shops und Suchmaschinen, Foren und Blogs, Onlin clients und vieles mehr. Aber was ist eigentlich genau der Unterschied zwischen einer Website und einer Webapplikation? Um uns diesen Unterschied und damit auch die Antwort auf die Frage, an wen sich das Buch richtet, ein wenig eindeutiger erklären zu können, vergnügen wir uns zunächst mit einer kleinen Zeitreise. Es ist noch gar nicht so lange her, da bestand das Internet zu einem nicht unbedeutenden Teil aus einer riesigen Ansammlung von einfachen Webseiten. Diese Daten lagerten meist als statische HTML-Dateien in den Docroots der zuständigen Webserver, und demzufolge gab es kaum Möglichkeiten für User, mit diesen tatsächlich zu interagieren, sie zu verändern und anzureichern oder gar untereinander in semantischen Zusammenhang zu bringen mal ganz abgesehen von den klassischen Verlinkungen, ohne die eben diese Dokumente jedes für sich kaum mehr als eine verlorene Insel in einem immer schneller wachsenden Meer an Informationen gewesen wären. Zu diesen Zeiten existierte der Begriff Webapplikation noch nicht im heutigen Sinne, und demzufolge war auch die Sicherheit von Webapplikationen kein Thema. Bösewichte gab es damals auch schon, aber die beschäftigten sich größtenteils damit, in größere Industrierechner einzudringen oder kleinere Webserver zu hacken, um darüber Pornobildchen und Warez zu verteilen. 17

12 1 Einleitung Abbildung 1.1 Eine typische Website schlicht, grafikarm, reine Information Aber die Zeiten änderten sich rasch, und es wurden immer neue Technologien auf den Markt gespült, die es dem Entwickler (damals zumeist noch als Webmaster bekannt) ermöglichten, seinen Applikationen (analog zum Webmaster meist als Homepage bezeichnet) immer mehr Interaktivität einzuhauchen. In vielen Küchen wurden vergleichbare Technologien gekocht, und in einer davon garte ein grönländischer Informatiker ein Süppchen, das heute auf weit über 20 Millionen Domains eingesetzt wird: PHP. In den Jahren 1994 und 1995 entstand die erste Version von PHP aus der Feder von besagtem Rasmus Lerdorf. Kaum mehr als eine lose Sammlung von Perl-Scripten, waren die ersten PHP- oder auch PHP/FI-Versionen gerade mal in der Lage, eine grundlegende Art von Logging zu ermöglichen. Später besann sich Lerdorf und begann eine Überarbeitung seines Projekts diesmal in C. In den nachfolgenden Versionen gab es dann bereits Möglichkeiten zur Interaktion mit Datenbanken, und im Juni 1998 wurde die erste, als stabil bezeichnete Version von PHP 3 freigegeben. Bis dahin wurde PHP bereits nicht mehr allein von Lerdorf entwickelt auch Andi Gutmans und Zeev Suraski (zwei Entwickler aus Israel) waren mittlerweile an Bord, und das Projekt nannte sich 18

13 An wen richtet sich dieses Buch? 1.1 auch nicht mehr»personal Homepage Tools/Forms Interpreter«, sondern PHP Hypertext Preprocessor. Es war nicht schwer, mit PHP kleinere, richtige Applikationen zusammenzubauen, und die Verbreitung der Sprache auf den Webservern wuchs stark an. Wichtig an dieser Entwicklung ist nun ein entscheidender Punkt: Entwickler konnten jetzt sehr leicht Webseiten bauen, deren Verhalten von Eingaben des Users abhing. Der User konnte also nicht mehr nur auf Links klicken und sich einen linearen Weg durch das Informationsangebot der Website suchen, sondern war beispielsweise in der Lage, Suchbegriffe einzugeben und tatsächlich Treffer zu erhalten oder auch nicht. Klar, all dies war vorher ebenfalls nicht unmöglich, aber PHP erlaubte es durch die einfache und relativ tolerante Syntax sowie dank guter und verständlicher Dokumentation auch Einsteigern, schnell Fuß zu fassen und Applikationen zu kreieren. Sie ahnen nun bestimmt schon, wohin diese Schlussfolgerung führt? Genau das Internet war nach kurzer Zeit mit allerlei Angeboten überschwemmt, die zum größten Teil eines taten: mehr oder weniger gut zu funktionieren. Von sicherer Programmierung und sicherem Applikationsdesign war in diesen Tagen zumeist wenig zu sehen. Sie erinnern sich: Die.COM-Blase dehnte sich in diesen Jahren synchron zur Weiterentwicklung von Sprachen wie z. B. PHP auf, und viele Webmaster (Versprochen: Wir verwenden dieses fürchterlichen Begriff an dieser Stelle zum letzten Male!) mussten Websites und Applikationen unter großem Zeitdruck und mit wenig Vorwissen aus dem Boden stampfen koste es, was es wolle. Kommen wir zurück zu unserer anfänglichen Frage: Was ist eigentlich der Unterschied zwischen einer Website und einer Webapplikation? Im Prinzip haben wir die Frage ja schon beantwortet: Eine Website ist statisch, während eine Webapplikation dynamisch ist, also auf Eingaben von außen reagiert, und diese Eingaben können von einem User, einer anderen Applikation oder etwas ganz Anderem stammen. Wenn Sie sich also nicht mit dem Erstellen von Websites, sondern echten Applikationen (und sei auch nur der kleinste Teil derselbigen tatsächlich dynamisch) beschäftigen und nicht in die gleiche Falle tappen wollen wie unsere Väter und Mütter während des.com-booms und unsere großen Brüder und Schwestern im Web 2.0, dann ist dieses Buch genau richtig für Sie. Auf den folgenden Seiten werden wir noch ein wenig mehr ins Detail gehen und Ihnen erklären, was Sie von diesem Buch zu erwarten habe und was nicht. Sie werden außerdem in knapper Form durch den Inhalt dieses Buches geführt, um schon einmal einen Vorgeschmack auf die folgenden Kapitel zu erhalten. Wenn Sie es also geschafft haben, bis hierhin durchzuhalten, ist es nur noch ein kurzer Weg, bis es richtig losgeht. 19

14 1 Einleitung Abbildung 1.2 Google Reader Eine typische Webapplikation 1.2 Was ist der Zweck dieses Buches? Diese Frage ist ebenso leicht beantwortet wie die Frage, an wen sich dieses Buch richtet: Es hilft Ihnen dabei, Ihre Webapplikationen und Projekte so wenig aufdringlich wie möglich gegen Angriffe fast beliebiger Art abzusichern und das mit so wenig Aufwand wie möglich. Leicht gesagt, denn es gibt in der Wolke namens Internet zu diesem einen Thema fast unendlich viele Meinungen, Tipps, mahnend erhobene Zeigefinger, manchmal weniger mahnend erhobene Mittelfinger, Tools, Foren, Mailinglists und vieles mehr. Doch das soll uns an dieser Stelle noch nicht Beweis genug sei, die Behauptung zu untermauern, dass das Absichern einer Webapplikation gar nicht so leicht ist. Stellen Sie sich einmal folgende Situation vor, die sich vielleicht sogar genau so vor einiger Zeit zugetragen hat: Ein junger Informatiker, frisch von der Fachhochschule, fängt in einer bekannten Internetagentur als PHP-Entwickler an. Eines seiner ersten Projekte dreht sich um das Erstellen einer News-Seite, auf der redaktionell gepflegte Inhalte als HTML und RSS angeboten und in regelmäßigen Abständen aktualisiert werden. Unser junger Freund erstellt also eine Datenbank- 20

15 Was ist der Zweck dieses Buches? 1.2 struktur, die diese Anforderungen abbilden kann, dazu einen Admin-Bereich und ein Frontend. Da er bereits diverse Male vom Thema WebAppSec gelesen und eine grobe Vorstellung davon hat, worum es sich bei XSS, SQL Injection und Konsorten handelt, beschließt er, Angreifern einen Strich durch die Rechnung zu machen und die Applikation sicher aufzubauen. Die Absicherung gegen SQL Injections war schnell erledigt: Die Firma stellte einen Wrapper bereit, der alle Anfragen gefiltert weiterleitet, Parameter bindet etc. Bliebe also so dachte sich unser junger Padawan eigentlich nur noch XSS. Und da XSS ja ohne HTML nicht funktionieren kann, sollte es ja reichen, jede Eingabe einfach mit strip_tags zu filtern. Er scrollte also durch die bereits vorhandenen Sourcen und fügte an jedem Punkt, an dem GETund POST-Parameter verarbeitet und ausgegeben wurden, ein strip_tags() hinzu fertig: $clean = strip_tags($_get['dirty']) //könnte klappen, oder? Fällt Ihnen was auf? Falls nicht, werden Sie sehr viel mehr Nutzen aus diesem Buch ziehen, als Sie vielleicht ursprünglich dachten. Denn nach einigen Kapiteln werden Sie bereits erkennen, was unser Protagonist falsch verstanden hat, und nur noch wenige Schritte davon entfernt sein, solche Fehler nicht nur zu vermeiden, sondern Ihre Applikationen meisterlich gegen Angriffe abzusichern. Falls Sie jedoch mit schreckgeweiteten Augen den groben Fehler in seinem Handeln sofort erkannt haben, werden Sie neben großem Nutzen an diesem Buch vermutlich auch sehr viel Spaß haben, da Sie nicht nur lernen werden, wie man es besser macht als der junge Entwickler, sondern wie man mit einem Minimum an Zeitaufwand Lösungen für teils ganz konkrete und teils sehr allgemeine Probleme hinsichtlich der WebAppSec nachhaltig und elegant lösen kann. Der Zweck dieses Buches besteht weiterhin nicht darin, Ihnen lediglich aufzuzeigen, was Sie tun sollten, um eine sichere Applikation zu bauen oder eine bestehende Applikation nachträglich zu härten. Nein, hier geht es primär darum, dass Sie verstehen, wie Angreifer denken, welcher Techniken sie sich bedienen, wo sie ihre Informationen sammeln und wie echte Angriffsvektoren aufgebaut sind. Nach Lektüre der Kapitel über XSS und CSRF werden Sie Dinge über JavaScript wissen, die sich manch einer nicht zu träumen gewagt hätte. Wir werden über nicht oder wenig dokumentierte Features sprechen und gemeinsam gebräuchliche Filter überlisten. Gleiches gilt freilich für die anderen Kapitel, in denen Sie lernen, wie Statements wie SOUNDS LIKE Zugriff auf Admin-Bereiche ermöglichen, warum Firefox alles andere als ein sicherer Browser ist und welche Charaktere aus dem Unicode-Zeichensatz Ihrer Applikation richtig weh tun können (wussten Sie zum Beispiel, welch»grausames«werk das Zeichen anrichten kann?). 21

16 .bak 357.htaccess 356.old 357.svn c 29 als Delimiter für Attribute 224 0days people 81 24C Bit UCS/Unicode Tranformation Format 218 A ABC 124 abc 124 Access Control List 260 ACL 260, 261, 287 Access Control Object 261 Access Request Object 261 ACO 261 ARO 261 ARO/ACO-Tabellen 265 CakePHP ACL 266 Dendrogramm 262 Matrix 261 Modified Preorder Tree Traversal 263 MPTT 263 RBAC 260 Role Based Access Control 260 Ruby On Rails 266 sfguard 266 ActiveX 428 AdBlock Plus 246 Add'N Edit Cookie 37, 407 Adminpanel 267 AIR 122 Ajax 101 Ajax Security 101 alert('xss') 39 allow_furl_open 589 Alshanetsky, Ilia 93 AltoroMutual Testseite 404 Amazon 521 American Standard Code for Information Interchange 206 Anderson, Tom 46 Angriff Hacks und frühere Angriffe 45 homographischer 62 Anti XSRF Token 520 Anti-Pattern 275 Anti-XSS-Filter 605 Apache 355, 357 AddHandler 355 mod_rewrite 273, 277 MultiViews 357 php_admin_value 431 AppJet 398 Apple Quicktime 605 Application Security Array-Konstruktor überladen 518 as 124 ASCII 206 Non-Printable-Character 580 Steuerzeichen 208 Tabelle 209, 225 ASCII-Tabelle 279 ATOM 422 Attachment 323 Authentication Bypass 529 Automatisierter Test 444 AWStats 267 B Backend härten 266 Backframe 486 Badges 96 Ball of Mud 275 base64 211, 322 BBCode 507 BeautifulSoup 293, 370 Bestehende Applikation absichern 456 $_GET, $_POST und $_COOKIE 457 array_walk_recursive

17 auto_prepend_file 456 Extensions 461 Frameworks 456 Inkonsistenz 461 REQUEST 458 variables_order 458 Virtual Host Datei 457 BIG-5 256, 289 Bilder mit eingebettetem Code 310 Binary Large Object 252 Blacklist 233, 309 Blind SQL Injection 536 BLOB 252 Blogger.com 98 Bookmarklets 89 Brandt, Daniel 386 Browser-Caches auslesen 512 BSI 33 C Cache Poisoning 337 CakePHP 113, 252, 259, 272, 294, 296, 344, 369, 410 query 369 Callback-Funktion 518 CAPTCHA 299, 301 3D-Captcha 302 Audio-Captcha 302 OCR Tools 301 Optical Character Recognition 301 Spam-Bots 300 Cartner, Ryan 331 Character Encoding 206 Chrome 426 launch 428 nsilocalfile 428, 596 nsiprocess 428 Quicktime 428 run 428 Chrome-Kontext 426 ClickFraud 184 Clientseitiges IDS 496 Cline, Craig 75 Cloud Computing 85 Conditional Error 538 Conditional Response 537 console.dir 112 Content-Types Validierung 306 Control Characters 285 Cookie-Header 277, 294 Cookies 384, 407 Aufbau eines Cookies 387 Cross-Cooking-Lücken 394 HTTPOnly 392 JavaScript 390 Long-Life Cookies 386 Same Origin Policy 389 SQLite Datenbank 385 SSL 388 Third-Party-Cookies 386 Tracking-Cookies 386 XSS 391 CPanel 88 create_function 284, 592 PHP 284, 592 CRLF 194, 200, 207, 285, 289, 324, 426 Crockford, Douglas 111 Cron 255 Cronjob 255 Cross Site Request Forgeries CSRF Cross-User Defacement 339 CRUD 253 CSRF 51, 70, 114, 192, 293, 378, 409, 429, 505 Barrierefreiheit 303 Beispiele 521 Captcha 299 Cookie-Header 294 Cross Site Request Forgeries 505 csrf-magic 295, 298 CSRFx 295 Exploiting Anti-XSRF geschütztes XSS 509 Exploiting Logged-Out XSS 510 GET 294 Passwort erneut eingeben 303 POST 294 Post Redirection Service 294 Schutzmaßnahmen 519 Schutzmaßnamen 509 Semi Logging Out Attack 512 Token 294 csrf-magic 295 CSRFx 295 CSS 628

18 background, Property 48 min-height 499 min-width 499 -moz-binding 500 Properties 487 Selektoren 487 XBL 487 CSSTidy 293, 370, 487 CURL 600 D Dabble DB 85 Dabirsiaghi, Arshan 201 Dahse, Johannes 591 data:uri kitchen 595 DataURI 335, 342, 414, 501, 593 in Stylesheets 594 Testcases 594 Dateiendung überprüfen 308 Dateiupload Executables 305 Dateiuploads sichere 304 Sicherheitslücken 305 Datenbank 526 Datenbankmanagementsystem (DBMS) 525 Angriff auf MSSQL 565 Angriff auf MySQL 563 Angriff auf Oracle 567 Angriff auf PostgreSQL 569 Fingerprinting 547 Übersicht der Angriffsmöglichkeiten 572 Datenbankstruktur 253 DBA 258 DDoS 72, 329 Decimal Entity 225 Decoding 206 Defacement 65 Denial of Service 532, 533 Design Pattern 251 Designphase 250 DeXSS 370 Dhanjani, Nitesh 93 Dictionary-Attacks 35 Digg 76 Direct Character 270 Directory Traversal 577 /etc/passwd 578 Access-Log 582 Error-Log 582 file_exists 581 Includes 577 magic_quotes_gpc 580 Nullbyte 580 UTF disable_functions 363, 592 PHP 592 Disclosure 25 RFPolicy 25 Distributed Denial of Service 72, 329 DNS (Domain Name System) 543 DNS Rebinding 185 DoctorDan 492 DOCTYPE 328 DOM globalstorage 496 localstorage 497 sessionstorage 496 Domain 282 Domain Name System (DNS) 543 DoS 202, 425 Double Quote 225 DoubleClick 84 Doublequotes 402 Dougherty, Dale 75 E E4X Anhänge 305 Encoding 206, 291 American Standard Code for Information Interchange 206 ASCII 206 ASCII-Tabelle 213 atob 212 base16, base32, base62 und andere 213 base64 206, 211 base64 umrechnen 211 btoa 212 Character Encoding 206 CRLF 207 diakritische Zeichen 219 Direct Characters 213, 217, 218 double encodings

19 encodeuri 209 encodeuricomponent 209 IFRAME MIME Type Inheritance 216 mb_convert_encoding 214 MIME Type Guessing 215 Oktett 207 Online-Converter 217 Paritäts-Bit 207 PHP Charset Encoder 219 Punycode 62 Unicode 218 URL Encoding 209 urlencode 209 urlencode vs. rawurlencode 210 US-ASCII 206, 213 UTF UTF-7 via Meta-Tag 214 UTF-8 214, 218 Entity 221 ASCII-Tabelle 225 Decimal Entities 225 Hex Entities 225, 226 JavaScript 227 Least Significant Bit 227 LSB 227 Most Significant Bit 227 MST 227 Named Entities 222 W3C 222, 225 EOT-Datei 426 Escaping 288 Double Quotes 288 Prepared Statements 289 Stored Procedures 289 Esser, Stefan 298, 384, 403, 581 EUC-JP 289 European Expert Group for IT Security 36 EV SSL 204 Eval 360 Eventhandler 415, 475 Evron, Gadi Evron 93 Executables Upload 305 Exploit lokaler 426 Exploiting Logged-Out XSS 510 Externe Ressource 345 F Facebook 80 Feedly 448 Feed-Reader 422 Feeds 422 ATOM 422 Chrome 426 CSRF-Attacken über Feeds 425 DoS 425 EOT-Dateien 426 Feedly 426 OPML 422 RSS 422 Sage 426 SimpleXML 423 Universal Feed Parser 423 vergiftete Feeds 429 WYSIWYG-Editor 424 XML 423 XML_Feed_Parser 423 XSS-Attacken 425 Fehlermeldung 430 Fileinfo 310 file-uri 428 Filtering 229, 291 End-Of-Transmission-Zeichen 230 Eventhandler 230 LEFT-TO-RIGHT EMBEDDING 232 LEFT-TO-RIGHT OVERRIDE 232 Nullbyte 230 RIGHT-TO-LEFT EMBEDDING 232 strip_tags 229 Styles 230 Unicode-Leerzeichen 229 Fingerprinting (Datenbanken) 547 Firebug 37, 102, 112, 198, 324, 603 Firefox 38, 235 Password Manager 513 FirefoxURL 596 Firewall 508 fla 124 Flash ActionScript 156 AIR 122, 123, 124, 126, 188 allow-access-from 152 allowfullscreen 128 allow-http-request-headers-from 153 allownetworking 128, 129,

20 allowscriptaccess 128, 129, 145 AllowUserLocalTrust 134 AMF 123, 124, 126, 148, 173, 176, 183 asfunction 161 AssetCacheSize 134 AutoUpdateDisable 134 AutoUpdateInterval 134 AVHardwareDisable 134 AVM1 157 AVM2 125, 146, 157 Charles Web Debugging Proxy 183 ConstantPool 181 Cross Domain Policy 132, 147, 149, 150, 151, 155, 165, 185 crossdomain.xml 149, 150, 151, 152, 164, 187 cross-domain-policy 151 Debug-Movie 126 DisableDeviceFontEnumeration 134 DisableLocalSecurity 145 DisableNetworkAndFilesystemInHostApp 135 DisableProductDownload 135 DisableSockets 135 Domain Matching 154 E4X 157 EnableSocketsTo 135 EnforceLocalSecurity 145 EnforceLocalSecurityInActiveXHostApp 135 ErrorReportingEnable 142 ExternalInterface 126, 171 Fähigkeiten 125 File API 188 FileDownloadDisable 135 FileUploadDisable 135 FlashAuthor.cfg 145 Flash-Cookies 125, 172, 173 FlashPlayerTrust 136 FlashVars 127, 128, 163 Flex 121, 125, 168, 177, 178, 190 Flex 3 SDK 168 Flex SDK 177, 190 FullScreenDisable 135 geturl() 129, 161, 162, 163, 184 Globales Player Trust Verzeichnis 136 LegacyDomainMatching 135 loaderinfo.parameters 160 Local Shared Objects 138, 173, 496 LocalConnection.allowDomain() 144 LocalConnection.allowInsecureDomain() 144 LocalConnections 146, 147, 173 LocalFileLegacyAction 136 LocalFileReadDisable 136 LocalStorageLimit 136 localtrusted 137 localtrusted 147 local-with-filesystem 147 local-with-networking 147, 149 Master Policy 150, 151, 152 MaxWarnings 142 Method Bodies 181 mm.cfg 142 mms.cfg 131, 133, 134 navigatetourl() 129, 149, 162, 184 NetStream.play() 161 NoScript 156 OverrideGPUValidation 136 PNDF 158, 159 PolicyFileLog 142 PolicyFileLogAppend 142 policy-file-request 150, 154, 155 Potentially Dangerous Native Functions 158 Projektor 126 register_globals 159 Same Origin Policy 126, 131, 146, 149, 174, 185 Sandbox Security 145 Security.allowDomain() 144, 147 Security.allowInsecureDomain() 144 Security.exactSettings 144 Security.loadPolicyFile() 144 Security.sandboxType 137, 144 Settings Manager 137, 139 Shared Objects 173 Sicherheitsmechanismen 130 site-control 151 Socket Policy 154 Socket.timeout() 187 SWF-Dateiformat 126 SWFDecompiler 181 swfdump 177 SWFIntruder 182, 190 SWLiveConnect 127 System.security.loadPolicyFile() 150 System.security.sandboxType

21 ThirdPartyStorage 136 trace() 142 TraceOutputFileEnable 142 URLLoader.load() 146 User Flash Player Trust Verzeichnis 142 Validierung 166 XML.load() 129, 161, 163, 168 XMLSocket.timeout() 187 XML-Sockets 165 Flash Cookie Spoofing 512 Flickr 76 Flock 235 flp 124 FLV 125 flv 124 Forcierter Logout 511 1Cross Site Request Forgeries 511 Form-Mailer 321 Formular zum Registrieren 434 Fragment Identifier 494 Framework 252 freehostia.com 88 Friedl, Jeffrey E. F. 244 ftp 426 G Gabrilovich, Evgeniy 62 Gadgets 96 Gaiaworm 55 GBK 256 GCal 77 Gecko 235 GET 277, 279, 405 get_defined_functions 592 PHP 592 getimagesize() 317 GIF 310 Gmail 70, 77 Exploit 522 GME 96 GNUCITIZEN 428 Gontmakher, Alex 62 Google 350 Google Analytics 79, 267 Google Caja 503 Google Code Search Engine 93, 350, 362, 585 Google Hacking Database 355 Google Mail 515 Angriff 517 Google Mashup Editor 96 Google Reader 425 Google Search Appliances 215 Google Webmaster Tools 359 Greasemonkey 37, 603 Grossman, Jeremiah 518, 523 Guninski, Gregor 53 Gutmans, Andi 18 H Hackerparagraph 29 Hansen, Robert 472, 504 Härten von Backend und Pflegeskripten 266 Hasegawa 502 Hash-Tabellen 201 Hazel, Philip 237 Header Injection 323 Henderson, Cal 282 Hex Entity 225, 226 Heyes, Gareth 107, 303, 332, 421, 492 Hinks, Martin 500 Hofmann, Billy 90, 474 Homographischer Angriff 62 HTC 345, 498 HTML 475 HTML HTML Components 498 HTML Purifier 291, 293, 370, 419, 424, 429, 481, 487, 606 HTMLArea 420 htmlawed 418 HTML- 69 HTTP 192 Authentication 200 Basic Authentication 200 CAcert.org 203 CONNECT 199 content-type 502 CRLF 194 CSRF 192 Digest Access Authentication 200 EV SSL 204 HEAD 197 HTTP Authentication