5 research outputs found

    Entwurf einer Methodik zum Testen der Sicherheit von Web-Service-basierten Systemen

    Get PDF
    Nicht zuletzt auch wegen ihrer maschinenlesbaren Definition sind Web Services ein verbreitetes Mittel, um die Kommunikation zwischen einem Client und einem Server oder zwischen zwei Servern zu definieren. Gerne werden Clients auch fĂŒr Mobiltelefone implementiert, wobei oftmals die MĂ€chtigkeit des WS-Stack außer Acht gelassen wird. Dieser Umstand muss nicht zwingend problematisch sein, kann jedoch unter gewissen UmstĂ€nden schwerwiegende sicherheitsrelevante Schwachstellen in sonst unproblematische Systeme integrieren. Um zu evaluieren, ob Probleme solcher Art gegeben sind, bietet sich ein methodisches Vorgehen an; ebenso ist ein reproduzierbares Vorgehen von großem Vorteil, wenn ein Vergleich von Systemen erfolgen soll. Speziell, wenn solch eine SicherheitsĂŒberprĂŒfung als Dienstleistung angeboten wird, kann eine leicht anzuwende Methodik die QualitĂ€t der Leistung garantieren. Deshalb wird hier der Entwurf einer Methodik zum Testen der Sicherheit von Web-Service-basierten Systemen konzipiert, vorgestellt und deren Anwendung an Hand einiger Web Service Tests dargestellt und evaluiert

    Systemarchitektur zur Ein- und Ausbruchserkennung in verschlĂŒsselten Umgebungen

    Get PDF
    Das Internet hat sich mit einer beispiellosen Geschwindigkeit in den Lebensalltag integriert. Umfangreiche Dienste ermöglichen es, Bestellungen, finanzielle Transaktionen, etc. ĂŒber das Netz durchzufĂŒhren. Auch traditionelle Dienste migrieren mehr und mehr in das Internet, wie bspw. Telefonie oder Fernsehen. Die finanziellen Werte, die hierbei umgesetzt werden, haben eine hohe Anziehungskraft auf Kriminelle: Angriffe im Internet sind aus einer sicheren Entfernung heraus möglich, unterschiedliches IT-Recht der verschiedenen LĂ€nder erschwert die grenzĂŒberschreitende Strafverfolgung zusĂ€tzlich. Entsprechend hat sich in den letzten Jahren ein milliardenschwerer Untergrundmarkt im Internet etabliert. Um Systeme und Netze vor Angriffen zu schĂŒtzen, befinden sich seit ĂŒber 30 Jahren Verfahren zur Einbruchsdetektion in der Erforschung. Zahlreiche Systeme sind auf dem Markt verfĂŒgbar und gehören heute zu den Sicherheitsmechanismen jedes grĂ¶ĂŸeren Netzes. Trotz dieser Anstrengungen nimmt die Zahl von SicherheitsvorfĂ€llen nicht ab, sondern steigt weiterhin an. Heutige Systeme sind nicht in der Lage, mit Herausforderungen wie zielgerichteten Angriffen, verschlĂŒsselten Datenleitungen oder InnentĂ€tern umzugehen. Der Beitrag der vorliegenden Dissertation ist die Entwicklung einer Architektur zur Ein- und Ausbruchserkennung in verschlĂŒsselten Umgebungen. Diese beinhaltet sowohl Komponenten zur Erkennung von extern durchgefĂŒhrten Angriffen, als auch zur Identifikation von InnentĂ€tern. Hierbei werden statistische Methoden auf Basis einer verhaltensbasierten Detektion genutzt, so dass keine EntschlĂŒsselung des Datenverkehrs erforderlich ist. Im Gegensatz zu bisherigen Methoden benötigt das System hierbei keine Lernphasen. Ausgehend von einem Szenario der IT-Struktur heutiger Unternehmen werden die Anforderungen an ein System zur Ein- und Ausbruchserkennung definiert. Da eine Detektion die Kenntnis entsprechender, messbarer Ansatzpunkte benötigt, erfolgt eine detaillierte Analyse einer AngriffsdurchfĂŒhrung. Auf dieser Basis sowie den Ergebnissen der Untersuchung des State-of-the-Art im Bereich der Ein- und Ausbruchserkennung wird identifiziert, warum heutige Systeme nicht in der Lage sind, ausgefeilte Angriffe zur erkennen. Anhand einer Betrachtung, welche Parameter bei verschlĂŒsselten Verbindungen fĂŒr eine Evaluation noch zur VerfĂŒgung stehen, werden Möglichkeiten zur Detektion von bösartigem Verhalten entwickelt. Hierauf basierend wird eine neue Architektur mit mehreren Teilmodulen zur Ein- und Ausbruchserkennung in verschlĂŒsselten Umgebungen vorgestellt. Eine anschließende Evaluation zeigt die FunktionsfĂ€higkeit der vorgestellten Architektur.The evolution of the Internet took place with a matchless speed over the past decades. Today, the Internet is established in numerous areas of everyday life. Purchase orders or money transfers are only two examples. The financial values which are moved over the Internet are alluring criminals. Attacks with the aid of the Internet can be executed from a safe distance, different IT laws of the countries hamper the transboundary criminal prosecution. Therefore, an underground market worth billions has been established over the past years. For the protection of systems and networks, procedures for intrusion detection are under development for more than 30 years. Numerous systems are available and are integral security components in every bigger network today. However, even with these strong efforts, the number of security incidents is steadily increasing. Todays systems are not able to cope with challenges like targeted attacks, encrypted communication and connections or the insider threat. The contribution of this thesis is the design and development of an architecture for intrusion and extrusion detection in encrypted environments. The architecture consists of components for the detection of external attacks as well as the identification of insiders. Statistical methods and behavior-based techniques are used, therefore there is no need for a deciphering of the data traffic. In contrast to existing approaches, the proposed architecture does not need a learning phase. Based on a scenario of the IT infrastructure of a company, the requirements for a system for intrusion and extrusion detection are defined. Because measuring points must be located for being able to carry out a detection, an in-depth analysis of the execution of an attack is done. Afterwards, reasons for the failure of the detection of sophisticated attacks by current systems are identified based on an evaluation of the State-of-the-Art of in- and extrusion detection. An examination of encrypted network connections is used to deduce parameters which are still available after an encryption and which can be used for a detection of malicious behavior. The identified starting points are used for the development of a new architecture consisting of multiple modules for intrusion as well as extrusion detection in encrypted environments. A subsequent evaluation verifies the efficiency of the proposed architecture

    Human Practice. Digital Ecologies. Our Future. : 14. Internationale Tagung Wirtschaftsinformatik (WI 2019) : Tagungsband

    Get PDF
    Erschienen bei: universi - UniversitĂ€tsverlag Siegen. - ISBN: 978-3-96182-063-4Aus dem Inhalt: Track 1: Produktion & Cyber-Physische Systeme Requirements and a Meta Model for Exchanging Additive Manufacturing Capacities Service Systems, Smart Service Systems and Cyber- Physical Systems—What’s the difference? Towards a Unified Terminology Developing an Industrial IoT Platform – Trade-off between Horizontal and Vertical Approaches Machine Learning und Complex Event Processing: Effiziente Echtzeitauswertung am Beispiel Smart Factory Sensor retrofit for a coffee machine as condition monitoring and predictive maintenance use case Stakeholder-Analyse zum Einsatz IIoT-basierter Frischeinformationen in der Lebensmittelindustrie Towards a Framework for Predictive Maintenance Strategies in Mechanical Engineering - A Method-Oriented Literature Analysis Development of a matching platform for the requirement-oriented selection of cyber physical systems for SMEs Track 2: Logistic Analytics An Empirical Study of Customers’ Behavioral Intention to Use Ridepooling Services – An Extension of the Technology Acceptance Model Modeling Delay Propagation and Transmission in Railway Networks What is the impact of company specific adjustments on the acceptance and diffusion of logistic standards? Robust Route Planning in Intermodal Urban Traffic Track 3: Unternehmensmodellierung & Informationssystemgestaltung (Enterprise Modelling & Information Systems Design) Work System Modeling Method with Different Levels of Specificity and Rigor for Different Stakeholder Purposes Resolving Inconsistencies in Declarative Process Models based on Culpability Measurement Strategic Analysis in the Realm of Enterprise Modeling – On the Example of Blockchain-Based Initiatives for the Electricity Sector Zwischenbetriebliche Integration in der Möbelbranche: Konfigurationen und Einflussfaktoren Novices’ Quality Perceptions and the Acceptance of Process Modeling Grammars Entwicklung einer Definition fĂŒr Social Business Objects (SBO) zur Modellierung von Unternehmensinformationen Designing a Reference Model for Digital Product Configurators Terminology for Evolving Design Artifacts Business Role-Object Specification: A Language for Behavior-aware Structural Modeling of Business Objects Generating Smart Glasses-based Information Systems with BPMN4SGA: A BPMN Extension for Smart Glasses Applications Using Blockchain in Peer-to-Peer Carsharing to Build Trust in the Sharing Economy Testing in Big Data: An Architecture Pattern for a Development Environment for Innovative, Integrated and Robust Applications Track 4: Lern- und Wissensmanagement (e-Learning and Knowledge Management) eGovernment Competences revisited – A Literature Review on necessary Competences in a Digitalized Public Sector Say Hello to Your New Automated Tutor – A Structured Literature Review on Pedagogical Conversational Agents Teaching the Digital Transformation of Business Processes: Design of a Simulation Game for Information Systems Education Conceptualizing Immersion for Individual Learning in Virtual Reality Designing a Flipped Classroom Course – a Process Model The Influence of Risk-Taking on Knowledge Exchange and Combination Gamified Feedback durch Avatare im Mobile Learning Alexa, Can You Help Me Solve That Problem? - Understanding the Value of Smart Personal Assistants as Tutors for Complex Problem Tasks Track 5: Data Science & Business Analytics Matching with Bundle Preferences: Tradeoff between Fairness and Truthfulness Applied image recognition: guidelines for using deep learning models in practice Yield Prognosis for the Agrarian Management of Vineyards using Deep Learning for Object Counting Reading Between the Lines of Qualitative Data – How to Detect Hidden Structure Based on Codes Online Auctions with Dual-Threshold Algorithms: An Experimental Study and Practical Evaluation Design Features of Non-Financial Reward Programs for Online Reviews: Evaluation based on Google Maps Data Topic Embeddings – A New Approach to Classify Very Short Documents Based on Predefined Topics Leveraging Unstructured Image Data for Product Quality Improvement Decision Support for Real Estate Investors: Improving Real Estate Valuation with 3D City Models and Points of Interest Knowledge Discovery from CVs: A Topic Modeling Procedure Online Product Descriptions – Boost for your Sales? EntscheidungsunterstĂŒtzung durch historienbasierte Dienstreihenfolgeplanung mit Pattern A Semi-Automated Approach for Generating Online Review Templates Machine Learning goes Measure Management: Leveraging Anomaly Detection and Parts Search to Improve Product-Cost Optimization Bedeutung von Predictive Analytics fĂŒr den theoretischen Erkenntnisgewinn in der IS-Forschung Track 6: Digitale Transformation und Dienstleistungen Heuristic Theorizing in Software Development: Deriving Design Principles for Smart Glasses-based Systems Mirroring E-service for Brick and Mortar Retail: An Assessment and Survey Taxonomy of Digital Platforms: A Platform Architecture Perspective Value of Star Players in the Digital Age Local Shopping Platforms – Harnessing Locational Advantages for the Digital Transformation of Local Retail Outlets: A Content Analysis A Socio-Technical Approach to Manage Analytics-as-a-Service – Results of an Action Design Research Project Characterizing Approaches to Digital Transformation: Development of a Taxonomy of Digital Units Expectations vs. Reality – Benefits of Smart Services in the Field of Tension between Industry and Science Innovation Networks and Digital Innovation: How Organizations Use Innovation Networks in a Digitized Environment Characterising Social Reading Platforms— A Taxonomy-Based Approach to Structure the Field Less Complex than Expected – What Really Drives IT Consulting Value Modularity Canvas – A Framework for Visualizing Potentials of Service Modularity Towards a Conceptualization of Capabilities for Innovating Business Models in the Industrial Internet of Things A Taxonomy of Barriers to Digital Transformation Ambidexterity in Service Innovation Research: A Systematic Literature Review Design and success factors of an online solution for cross-pillar pension information Track 7: IT-Management und -Strategie A Frugal Support Structure for New Software Implementations in SMEs How to Structure a Company-wide Adoption of Big Data Analytics The Changing Roles of Innovation Actors and Organizational Antecedents in the Digital Age Bewertung des Kundennutzens von Chatbots fĂŒr den Einsatz im Servicedesk Understanding the Benefits of Agile Software Development in Regulated Environments Are Employees Following the Rules? On the Effectiveness of IT Consumerization Policies Agile and Attached: The Impact of Agile Practices on Agile Team Members’ Affective Organisational Commitment The Complexity Trap – Limits of IT Flexibility for Supporting Organizational Agility in Decentralized Organizations Platform Openness: A Systematic Literature Review and Avenues for Future Research Competence, Fashion and the Case of Blockchain The Digital Platform Otto.de: A Case Study of Growth, Complexity, and Generativity Track 8: eHealth & alternde Gesellschaft Security and Privacy of Personal Health Records in Cloud Computing Environments – An Experimental Exploration of the Impact of Storage Solutions and Data Breaches Patientenintegration durch Pfadsysteme Digitalisierung in der StressprĂ€vention – eine qualitative Interviewstudie zu Nutzenpotenzialen User Dynamics in Mental Health Forums – A Sentiment Analysis Perspective Intent and the Use of Wearables in the Workplace – A Model Development Understanding Patient Pathways in the Context of Integrated Health Care Services - Implications from a Scoping Review Understanding the Habitual Use of Wearable Activity Trackers On the Fit in Fitness Apps: Studying the Interaction of Motivational Affordances and Users’ Goal Orientations in Affecting the Benefits Gained Gamification in Health Behavior Change Support Systems - A Synthesis of Unintended Side Effects Investigating the Influence of Information Incongruity on Trust-Relations within Trilateral Healthcare Settings Track 9: Krisen- und KontinuitĂ€tsmanagement Potentiale von IKT beim Ausfall kritischer Infrastrukturen: Erwartungen, Informationsgewinnung und Mediennutzung der Zivilbevölkerung in Deutschland Fake News Perception in Germany: A Representative Study of People’s Attitudes and Approaches to Counteract Disinformation Analyzing the Potential of Graphical Building Information for Fire Emergency Responses: Findings from a Controlled Experiment Track 10: Human-Computer Interaction Towards a Taxonomy of Platforms for Conversational Agent Design Measuring Service Encounter Satisfaction with Customer Service Chatbots using Sentiment Analysis Self-Tracking and Gamification: Analyzing the Interplay of Motivations, Usage and Motivation Fulfillment Erfolgsfaktoren von Augmented-Reality-Applikationen: Analyse von Nutzerrezensionen mit dem Review-Mining-Verfahren Designing Dynamic Decision Support for Electronic Requirements Negotiations Who is Stressed by Using ICTs? A Qualitative Comparison Analysis with the Big Five Personality Traits to Understand Technostress Walking the Middle Path: How Medium Trade-Off Exposure Leads to Higher Consumer Satisfaction in Recommender Agents Theory-Based Affordances of Utilitarian, Hedonic and Dual-Purposed Technologies: A Literature Review Eliciting Customer Preferences for Shopping Companion Apps: A Service Quality Approach The Role of Early User Participation in Discovering Software – A Case Study from the Context of Smart Glasses The Fluidity of the Self-Concept as a Framework to Explain the Motivation to Play Video Games Heart over Heels? An Empirical Analysis of the Relationship between Emotions and Review Helpfulness for Experience and Credence Goods Track 11: Information Security and Information Privacy Unfolding Concerns about Augmented Reality Technologies: A Qualitative Analysis of User Perceptions To (Psychologically) Own Data is to Protect Data: How Psychological Ownership Determines Protective Behavior in a Work and Private Context Understanding Data Protection Regulations from a Data Management Perspective: A Capability-Based Approach to EU-GDPR On the Difficulties of Incentivizing Online Privacy through Transparency: A Qualitative Survey of the German Health Insurance Market What is Your Selfie Worth? A Field Study on Individuals’ Valuation of Personal Data Justification of Mass Surveillance: A Quantitative Study An Exploratory Study of Risk Perception for Data Disclosure to a Network of Firms Track 12: Umweltinformatik und nachhaltiges Wirtschaften KommunikationsfĂ€den im Nadelöhr – Fachliche Prozessmodellierung der Nachhaltigkeitskommunikation am Kapitalmarkt Potentiale und Herausforderungen der Materialflusskostenrechnung Computing Incentives for User-Based Relocation in Carsharing Sustainability’s Coming Home: Preliminary Design Principles for the Sustainable Smart District Substitution of hazardous chemical substances using Deep Learning and t-SNE A Hierarchy of DSMLs in Support of Product Life-Cycle Assessment A Survey of Smart Energy Services for Private Households Door-to-Door Mobility Integrators as Keystone Organizations of Smart Ecosystems: Resources and Value Co-Creation – A Literature Review Ein EntscheidungsunterstĂŒtzungssystem zur ökonomischen Bewertung von Mieterstrom auf Basis der Clusteranalyse Discovering Blockchain for Sustainable Product-Service Systems to enhance the Circular Economy Digitale RĂŒckverfolgbarkeit von Lebensmitteln: Eine verbraucherinformatische Studie Umweltbewusstsein durch audiovisuelles Content Marketing? Eine experimentelle Untersuchung zur Konsumentenbewertung nachhaltiger Smartphones Towards Predictive Energy Management in Information Systems: A Research Proposal A Web Browser-Based Application for Processing and Analyzing Material Flow Models using the MFCA Methodology Track 13: Digital Work - Social, mobile, smart On Conversational Agents in Information Systems Research: Analyzing the Past to Guide Future Work The Potential of Augmented Reality for Improving Occupational First Aid Prevent a Vicious Circle! The Role of Organizational IT-Capability in Attracting IT-affine Applicants Good, Bad, or Both? Conceptualization and Measurement of Ambivalent User Attitudes Towards AI A Case Study on Cross-Hierarchical Communication in Digital Work Environments ‘Show Me Your People Skills’ - Employing CEO Branding for Corporate Reputation Management in Social Media A Multiorganisational Study of the Drivers and Barriers of Enterprise Collaboration Systems-Enabled Change The More the Merrier? The Effect of Size of Core Team Subgroups on Success of Open Source Projects The Impact of Anthropomorphic and Functional Chatbot Design Features in Enterprise Collaboration Systems on User Acceptance Digital Feedback for Digital Work? Affordances and Constraints of a Feedback App at InsurCorp The Effect of Marker-less Augmented Reality on Task and Learning Performance Antecedents for Cyberloafing – A Literature Review Internal Crowd Work as a Source of Empowerment - An Empirical Analysis of the Perception of Employees in a Crowdtesting Project Track 14: GeschĂ€ftsmodelle und digitales Unternehmertum Dividing the ICO Jungle: Extracting and Evaluating Design Archetypes Capturing Value from Data: Exploring Factors Influencing Revenue Model Design for Data-Driven Services Understanding the Role of Data for Innovating Business Models: A System Dynamics Perspective Business Model Innovation and Stakeholder: Exploring Mechanisms and Outcomes of Value Creation and Destruction Business Models for Internet of Things Platforms: Empirical Development of a Taxonomy and Archetypes Revitalizing established Industrial Companies: State of the Art and Success Principles of Digital Corporate Incubators When 1+1 is Greater than 2: Concurrence of Additional Digital and Established Business Models within Companies Special Track 1: Student Track Investigating Personalized Price Discrimination of Textile-, Electronics- and General Stores in German Online Retail From Facets to a Universal Definition – An Analysis of IoT Usage in Retail Is the Technostress Creators Inventory Still an Up-To-Date Measurement Instrument? Results of a Large-Scale Interview Study Application of Media Synchronicity Theory to Creative Tasks in Virtual Teams Using the Example of Design Thinking TrustyTweet: An Indicator-based Browser-Plugin to Assist Users in Dealing with Fake News on Twitter Application of Process Mining Techniques to Support Maintenance-Related Objectives How Voice Can Change Customer Satisfaction: A Comparative Analysis between E-Commerce and Voice Commerce Business Process Compliance and Blockchain: How Does the Ethereum Blockchain Address Challenges of Business Process Compliance? Improving Business Model Configuration through a Question-based Approach The Influence of Situational Factors and Gamification on Intrinsic Motivation and Learning Evaluation von ITSM-Tools fĂŒr Integration und Management von Cloud-Diensten am Beispiel von ServiceNow How Software Promotes the Integration of Sustainability in Business Process Management Criteria Catalog for Industrial IoT Platforms from the Perspective of the Machine Tool Industry Special Track 3: Demos & Prototyping Privacy-friendly User Location Tracking with Smart Devices: The BeaT Prototype Application-oriented robotics in nursing homes Augmented Reality for Set-up Processe Mixed Reality for supporting Remote-Meetings Gamification zur Motivationssteigerung von Werkern bei der Betriebsdatenerfassung Automatically Extracting and Analyzing Customer Needs from Twitter: A “Needmining” Prototype GaNEsHA: Opportunities for Sustainable Transportation in Smart Cities TUCANA: A platform for using local processing power of edge devices for building data-driven services Demonstrator zur Beschreibung und Visualisierung einer kritischen Infrastruktur Entwicklung einer alltagsnahen persuasiven App zur Bewegungsmotivation fĂŒr Ă€ltere Nutzerinnen und Nutzer A browser-based modeling tool for studying the learning of conceptual modeling based on a multi-modal data collection approach Exergames & Dementia: An interactive System for People with Dementia and their Care-Network Workshops Workshop Ethics and Morality in Business Informatics (Workshop Ethik und Moral in der Wirtschaftsinformatik – EMoWI’19) Model-Based Compliance in Information Systems - Foundations, Case Description and Data Set of the MobIS-Challenge for Students and Doctoral Candidates Report of the Workshop on Concepts and Methods of Identifying Digital Potentials in Information Management Control of Systemic Risks in Global Networks - A Grand Challenge to Information Systems Research Die Mitarbeiter von morgen - Kompetenzen kĂŒnftiger Mitarbeiter im Bereich Business Analytics Digitaler Konsum: Herausforderungen und Chancen der Verbraucherinformati

    Clientseitiges Cross-Site-Scripting: Ausnutzung, Erkennung, Mitigierung und PrÀvention

    No full text
    Cross-Site Scripting (XSS) is a code injection vulnerability commonly found in web applications. In fact, XSS is the most prevalent web vulnerability and a constant problem of the Web platform since its birth in the 1990s. Despite more than two decades of research and thousands of publications on the topic, XSS is still an omnipresent and unsolved issue today. In the year 2000, when Cross-Site Scripting was formally described for the first time [25], it was believed to be a server-side problem, which consisted of two variants - reflected and persistent XSS. However, since then, XSS evolved towards the client-side. In 2005 Amit Klein discovered the client-side variant DOM-based XSS or how he named it - the XSS of the third kind. Until today, most researchers distinguish three different kinds of XSS. Over the course of the years, XSS has shifted more and more towards the client-side. In fact, all newly discovered XSS variants in recent years are client-side variants such as Universal XSS, Plugin-based XSS, Persistent DOM-based XSS, Same- Origin Method Execution, Mutation-based XSS, Expression-based XSS, Content-Sniffing XSS, Gadget-based XSS, etc. This development is fueled by the evolution of the browser and hints at the fact that XSS is deeply rooted in the Web platform. Many existing research papers, however, aim at solving XSS on the application level. In this thesis, we show that XSS is a fundamental problem of the Web platform that should be addressed at the platform level. XSS vulnerabilities are omnipresent in modern applications, because they are rooted in the underlying protocols and APIs. String-to-code conversions are causing these injection vulnerabilities. At the same time these string-to-code conversions are baked into the HTTP protocol and the main browser APIs. The current environment makes it hard for developers to create web applications free of Cross-Site Scripting vulnerabilities. The problem of XSS has not been solved, because these root causes have never been addressed in the last 20 years. To solve the XSS problem, the core of the Web platform needs to be changed. In this thesis, we propose changes to the Web platform to solve client-side XSS. We do so in four parts: First, the thesis provides an in-depth introduction to Cross-Site Scripting. It explores this vulnerability class’s ongoing evolution, summarizes the various vulnerability types and attacks, and finally analyzes mitigation and prevention techniques. Second, the thesis explores client-side XSS on the Web. To do so, we study the real- world prevalence and nature of both persistent and reflected client-side XSS variants via two empirical studies. In the first one, we show that the introduction of persistent browser APIs enables persistent vulnerability variants that are wide-spread in practice. Additionally, we investigate reflected client-side XSS. To do so, we present a taint- tracking-based toolchain capable of detecting client-side XSS issues with a zero false- positive rate. Based on this tool, we conducted an empirical study on the prevalence of client-side XSS within the Alexa top 5000 web pages. This study discovered more than 6000 unique client-side XSS vulnerabilities on roughly 10 % of the investigated sites. The high number of detected vulnerabilities suggest that current prevention techniques are not suitable for real-world web applications. Third, we demonstrate that current XSS mitigation techniques are ineffective in practice. Instead of preventing vulnerabilities, mitigation techniques aim at preventing exploitation of a vulnerability. To analyze these techniques, we first present a security analysis of Chrome’s XSS auditor and demonstrate that it can be circumvented in a fully automated fashion on at least 80 % of real-world, vulnerable web applications. Furthermore, we present a novel code-reuse attack technique that is able to circumvent all existing application- and infrastructure-level XSS mitigation techniques. Via a large- scale empirical study, we demonstrate that almost all modern frameworks, libraries, and applications are prone to these attacks. Based on these results, we conclude that mitigation techniques are becoming less effective in modern, real-world web applications. Last, we propose a new way of addressing the problem of client-side XSS: Instead of focusing on mitigation techniques and application-level defenses, we propose a new type system for JavaScript addressing the root cause on the web-platform-level. To do so we adopt Kern’s statically enforced safe types proposal [85]. However, we trans- form it’s compiler-based checks into a runtime enforcement system. Using our approach, we replace unsafe legacy APIs with typed, secure alternatives. Through our system, the browser APIs become secure-by-default and it is possible to enforce type contracts throughout complex applications. Given an XSS-safe type contract, it becomes impossible for a developer to introduce XSS vulnerabilities. Our mechanism has been adopted by Chromium-based web browsers and thus widely available on the Web. For backward compatibility, we additionally provide a polyfill library.Cross-Site Scripting (XSS) ist eine Code Injection Verwundbarkeit, die hĂ€ufig in web Anwendungen gefunden wird. XSS ist eine der am weit verbreitetsten web Verwundbarkeiten und ein konstantes Problem der web-Plattform seit ihrer Geburt in den 1990ern. Trotz mehr als zwei Jahrzehnten an Forschung und tausenden Veröffentlichungen zu diesem Thema, ist XSS bis heute immer noch allgegenwĂ€rtig und ungelöst. Im Jahr 2000, als XSS zum ersten Mal formal beschrieben wurde[25], glaubten Forscher, dass XSS ein serverseitiges Problem sei, welches aus zwei Varianten besteht: reflektiertes und persistentes XSS. Jedoch stellte sich schnell heraus, dass XSS auch auf der client Seite existiert. Im Jahr 2005 entdeckte Amit Klein die clientseitige Variante DOM- based XSS, oder wie er sie nannte - XSS der dritten Art. Bis heute unterscheiden die meisten Forscher diese drei Arten von XSS. Im Laufe der Jahre bewegte sich das XSS Problem immer mehr hin zur client Seite. TatsĂ€chlich sind alle neu entdeckten XSS Varianten in den vergangenen Jahren clientseitige Varianten, wie zum Beispiel Universal XSS, Plugin-based XSS, Persistent DOM-based XSS, Same-Origin Method Execution, Mutation-based XSS, Expression-based XSS, Content-Sniffing XSS, Gadget-based XSS, usw. Diese Entwicklung wird hauptsĂ€chlich durch die Weiterentwicklung des Browsers befeuert und deutet darauf hin das XSS Verwundbarkeiten ihren Ursprung in der web- Plattform haben. Viele existierende Publikationen versuchen jedoch das XSS Problem auf der Anwendungsebene zu lösen. In dieser Arbeit zeigen wir, dass XSS ein grundlegendes Problem der web-Plattform ist und dass dieses Problem daher auf der Plattform ebene gelöst werden muss. XSS Verwundbarkeiten sind deshalb so omniprĂ€sent in modernen Anwendungen, weil ihre Ursache in den zugrundeliegenden Protokollen und APIs verwurzelt ist. String-zu-code Konvertierungen verursachen diese Injection Verwundbarkeit. Gleichzeitig sind diese String-zu-code Konvertierungen fester Bestandteil des HTTP Protokolls als auch der meist verwendeten Browser APIs. Das aktuelle Design der web-Plattform macht es Entwicklern schwer sichere web Anwendungen zu erstellen, die frei von XSS Verwundbarkeiten sind. Das XSS Problem wurde bisher nicht gelöst, weil die Ursachen in den letzten 20 Jahren nie adressiert wurden. Um XSS zu lösen, muss die web-Plattform grundlegend verĂ€ndert werden. In dieser Arbeit schlagen wir Änderungen zur web-Plattform vor, um clientseitiges XSS zu lösen. Wir tun dies in vier Abschnitten: Zuerst gibt diese Arbeit eine umfangreiche EinfĂŒhrung zum Thema Cross-Site Script- ing. Die Arbeit beleuchtet die grundlegende Entwicklung dieser Verwundbarkeit, fasst die verschiedenen Verwundbarkeitsklassen und Angriffe zusammen, und stellt gĂ€ngige PrĂ€ventions- und Abwehrmassnahmen vor. Der zweite Teil der Arbeit untersucht clientseitiges XSS im web. Hierzu prĂ€sentieren wir zwei empirische Studien zur Verbreitung von persistenten und reflektierten clientseitigen XSS Verwundbarkeiten. In der ersten Studie demonstrieren wir wie die EinfĂŒhrung einer persistenten Browser API zuvor unbekannte persistente XSS Varianten ermöglicht, die auch weitverbreitet in Praxis sind. ZusĂ€tzlich untersuchen wir reflektierte clientseitige XSS Verwundbarkeiten in einer empirischen Studie. Hierzu stellen wir ein taint-tracking-basiertes Werkzeug vor, das in der Lage ist clientseitige XSS Verwundbarkeiten ohne Fehlalarme zu erkennen. Mit Hilfe dieses Werkzeugs, fĂŒhren wir eine empirische Studie zur Verbreitung von XSS Verwundbarkeiten in den Alexa Top 5000 web Seiten durch. Hierbei entdeckten wir mehr als 6000 verschiedene clientseitige XSS Verwundbarkeiten auf ungefĂ€hr 10 % aller untersuchten web Seiten. Die hohe Anzahl an entdeck- ten Verwundbarkeiten legt nahe, dass aktuelle PrĂ€ventionsmechanismen unpraktikable sind. Drittens, zeigen wir, dass aktuelle Angriffsabwehrmechanismen in der Praxis ineffektiv sind. Anstatt Verwundbarkeiten zu verhindern, setzen diese Abwehrmechanismen darauf, Angriffe auf eine existierende Verwundbarkeit zu stoppen. Um diese Mechanismen zu untersuchen, prĂ€sentieren wir zuerst eine Sicherheitsanalyse zum XSS Filters des Chrome Browsers. Dabei zeigen wir, dass der Filter in 80 % der F ̈alle voll automatisch umgangen werden kann. DarĂŒberhinaus, stellen wir eine neue code-reuse Angriffstechnik vor, die in der Lage ist alle existierenden XSS Abwehrmechanismen zu umgehen. Mittels einer empirischen Studie zeigen wir, dass fast alle modernen Frameworks, Bibliotheken und Anwendungen fu ̈r diesen Angriff anfĂ€llig sind. Basierend auf diesen Resultaten, schlussfolgern wir, dass Abwehrmassnahmen in modernen web Anwendungen weniger wirksam sind. Daher schlagen wir eine neue Lösung fu ̈r das clientseitige XSS Problem vor. Anstelle von Abwehrmassnahmen und Lösungen auf der Applikationsebene, schlagen wir ein neues Typsystem fĂŒr JavaScript vor um die Ursache des Problems in der web-Plattform zu lösen. Hierzu adaptieren wir Kerns Safe Types System [85], das auf statischer Code- Analyse basiert. Jedoch transformieren wir die statischen, Compiler-basierten PrĂŒfungen in ein System, das die PrĂŒfungen zur Laufzeit vornimmt. Mithilfe dieses Systems ersetzen wir unsichere APIs mit sicheren Alternativen und ermöglichen es einen type contract in einer komplexen Anwendung durchzusetzen. Mit einem sicheren type contract wird es unmöglich unabsichtlich eine XSS Verwundbarkeit in eine Anwendung einzubauen. Unser Mechanismus wurde bereits in Chromium-basierten Browsern eingebaut und ist daher fu ̈r die breite Masse verfĂŒgbar. Um mit Ă€lteren und anderen Browsern kompatibel zu sein, stellen wir darĂŒber hinaus eine Polyfill Bibliothek zur VerfĂŒgung
    corecore