Ikväll var det seminariekväll om cross-site scripting (XSS) och cross-site request forgery (CSRF). Fullsatt och många nya medlemmar som välkomnades in i communityn. Sponsorer för eventet var Inspect it och LabCenter.
[Bild 1] Sergio Molero (Concrete IT) och Hasain Alshakarti (TrueSec) gav OWASP Swedens första presentation fri från slajds :). En demo- och exempelbaserad genomgång av XSS och CSRF, attacker och skydd. Vi i publiken fick ytterligare bevis på att XSS inte är någon harmlös sårbarhet. Och i kombination med CSRF är det extremt farligt eftersom de flesta skydd då är verkningslösa.
[Bild 2] Martin Holst Swende (MSC) presenterade och demade sitt eget diagnosverktyg för XSS -- Jinx. Finns att ladda ner på BitBucket. Hans åsikter om spridningen av XSS kan du läsa om i en IDG-intervju från november 2008.
Prenumerera på:
Kommentarer till inlägget (Atom)
1 kommentar:
Kompletterar med länkar från föreläsningen:
Demoversion av babbleboard som användes för test av XSS-svagheter:
http://demo.babbleboard.co.uk/
Förteckning över sajter med XSS-svagheter:
http://www.xssed.com/
.NET-komponent för anti-CSRF
http://www.codeplex.com/AntiCSRF/
Gnucitizen och XSS Shell
http://www.gnucitizen.org/blog/xss-shell-and-something-more/
Skicka en kommentar