torsdag 26 mars 2009

Seminariekväll XSS & CSRF: Kort referat

Ikväll var det seminariekväll om cross-site scripting (XSS) och cross-site request forgery (CSRF). Fullsatt och många nya medlemmar som välkomnades in i communityn. Sponsorer för eventet var Inspect it och LabCenter.


[Bild 1] Sergio Molero (Concrete IT) och Hasain Alshakarti (TrueSec) gav OWASP Swedens första presentation fri från slajds :). En demo- och exempelbaserad genomgång av XSS och CSRF, attacker och skydd. Vi i publiken fick ytterligare bevis på att XSS inte är någon harmlös sårbarhet. Och i kombination med CSRF är det extremt farligt eftersom de flesta skydd då är verkningslösa.


[Bild 2] Martin Holst Swende (MSC) presenterade och demade sitt eget diagnosverktyg för XSS -- Jinx. Finns att ladda ner på BitBucket. Hans åsikter om spridningen av XSS kan du läsa om i en IDG-intervju från november 2008.

1 kommentar:

Vladi sa...

Kompletterar med länkar från föreläsningen:

Demoversion av babbleboard som användes för test av XSS-svagheter:
http://demo.babbleboard.co.uk/

Förteckning över sajter med XSS-svagheter:
http://www.xssed.com/

.NET-komponent för anti-CSRF
http://www.codeplex.com/AntiCSRF/

Gnucitizen och XSS Shell
http://www.gnucitizen.org/blog/xss-shell-and-something-more/