6 research outputs found
XSS-FP: Browser Fingerprinting using HTML Parser Quirks
There are many scenarios in which inferring the type of a client browser is
desirable, for instance to fight against session stealing. This is known as
browser fingerprinting. This paper presents and evaluates a novel
fingerprinting technique to determine the exact nature (browser type and
version, eg Firefox 15) of a web-browser, exploiting HTML parser quirks
exercised through XSS. Our experiments show that the exact version of a web
browser can be determined with 71% of accuracy, and that only 6 tests are
sufficient to quickly determine the exact family a web browser belongs to
Towards elimination of XSS attacks with a trusted and capability controlled DOM
Diese Arbeit widmet sich der Thematik komplexer Skript-gesteuerter Angriffe, die im Browser ausgefĂŒhrt und konkret gegen Anwender gerichtet werden. Dabei wird insbesondere der Wirkungsgrad existierender Schutzmöglichkeiten und Technologien beleuchtet. Signifikanter Forschungsanteil ist die grĂŒndliche Analyse und nachfolgenden Invalidierung der Sicherheitsversprechen, die die existierenden Schutztechniken aussprechen. Aus den empirisch gesammelten Daten ĂŒber die Sicherheit der analysierten Schutztechniken wird die grundlegende Problematik in Form eines nicht zu reparierenden Sichtbarkeits-Problems abgeleitet. Im Anschluss wird die Architektur eines auf Basis der zuvor extrahierten Erkenntnisse spezifizierten Filtersystems adressiert. Final diskutiert werden verbleibende Herausforderungen und Limitierungen, zukĂŒnftige Entwicklungen im Bereich der Browsertechnologien und Auswirkungen auf die beschriebene neuartige Schutzsoftware
Web Application Obfuscation: '-WAFsEvasionFiltersalert(Obfuscation)-'
Web applications are used every day by millions of users, which is why they are one of the most popular vectors for attackers. Obfuscation of code has allowed hackers to take one attack and create hundreds-if not millions-of variants that can evade your security measures. Web Application Obfuscation takes a look at common Web infrastructure and security controls from an attacker's perspective, allowing the reader to understand the shortcomings of their security systems. Find out how an attacker would bypass different types of security controls, how these very security controls introduce new t
Fingerprinting de Navigateurs
National audienceDe nombreuses techniques servent Ă l'identification d'un navigateur. GĂ©nĂ©ralement le serveur web se base sur le champ User-Agent (UA) prĂ©sent dans les en-tĂȘtes des requĂȘtes HTTP. En cas de doute sur son authenticitĂ©, il est possible de retrouver cette information Ă partir de l'observation des spĂ©cificitĂ©s de comportement du navigateur au niveau rĂ©seau, HTML, DOM, JavaScript ou CSS. Les usages rĂ©els de ces spĂ©cificitĂ©s de comportement se limitent essentiellement Ă l'Ă©vasion de filtres anti-XSS et Ă l'identification du type de navigateur lors d'attaques par Drive by download. Nous prĂ©senterons les techniques actuelles d'identification de navigateur web et leurs limites. Nous vous proposerons ensuite une nouvelle technique de prise d'empreinte axĂ©e sur l'identification du moteur HTML et son couplage avec un moteur JavaScript donnĂ©. L'Ă©tude de ces techniques permet de dĂ©jouer les mĂ©canismes de dĂ©tection mis en place par les Exploit Kits dans le cadre de la lutte contre les botnets