Drucksache: windows.developer Magazin 3.2014 - JavaScript in Angreiferhand
Im windows.developer 3.2014 ist ein Artikel über Angriffe über JavaScript erschienen.
JavaScript-Code kann so wie jedes andere Computerprogramm auch Schwachstellen enthalten, und so wie in jeder anderer Programmiersprache können auch in JavaScript Schadprogramme geschrieben werden. Beide Möglichkeiten werden natürlich von Angreifern ausgenutzt - warum sollten sie auch darauf verzichten?
Und den Angreifern bieten sich viele Mäglichkeiten, angefangen bei den klassischen XSS-Angriffen, denen in Zeiten von Web 2.0 und HTML5 viel mehr Möglichkeiten offen stehen, über Angriffe auf die immer stärker in den Client ausgelagerte Anwendungslogik bis zu Browser-basierten Botnets, die sich kaum entdecken lassen und nach dem Beenden des JavaScript-Schadcodes keinerlei Spuren auf dem Rechner hinterlassen.
Und hier noch die Links und Literaturverweise aus dem Artikel:
- [1] Amit Klein: "DOM Based Cross Site Scripting or XSS of the Third Kind"
- [2] OWASP: ESAPI (OWASP Enterprise Security API)
- [3] OWASP: DOM based XSS Prevention Cheat Sheet
- [4] Artur Janc, 28C3: "Rootkits in your Web application"
- [5] Carsten Eilers: "Rootkits - Schadsoftware im System"
- [6] Phil Purviance, Joshua Brashars; Black Hat USA 2012: "Blended Threats and JavaScript: A Plan for Permanent Network Compromise"
- [7] Robert McArdle, TrendLabs Security Intelligence Blog: "HTML5 – The Ugly"
- [8] Jeremiah Grossman, Matt Johansen; Black Hat USA 2013: "Million Browser Botnet"
- [9] Carsten Eilers: "Drive-by-Infektionen - Gefahren drohen überall"
- [10] Marc Blanchou, Black Hat Europe 2013: "Harnessing GP2Us Building Better Browser Based Botnets"
- [11] Chema Alonso, Manu "The Sur"; Black Hat USA 2012: "Owning Bad Guys {& Mafia} with JavaScript Botnets"
- [12] BeEF - The Browser Exploitation Framework Project
- [13] joostbijl, Fox-IT International blog: "Malicious advertisements served via Yahoo"
Trackbacks
Dipl.-Inform. Carsten Eilers am : Drucksache: windows.developer Magazin 4.2015 - Der Browser im Visier - ganz praktisch
Vorschau anzeigen