διαδικτυακές επιθέσεις τύπου XSS - προστασία

...το μέρος για να ξεκινήσετε!

Συντονιστής: adem1

Κανόνες Δ. Συζήτησης
Παρακαλώ να επιλέξετε, με προσοχή, την άδεια που θέλετε να έχουν οι οδηγοί που συγγράφετε.
Πληροφορίες για τις άδειες μπορείτε να βρείτε εδώ.
Άμα επιθυμείτε κάποια άλλη άδεια επικοινωνήστε με κάποιο Διαχειριστή είτε Συντονιστή.

Σημαντικό είναι να χρησιμοποιήσετε την υπηρεσία http://imagebin.ubuntu-gr.org για τις εικόνες.

διαδικτυακές επιθέσεις τύπου XSS - προστασία

Δημοσίευσηαπό stavrosLinux » 28 Μάιος 2011, 22:31

Έχουν γίνει της μόδας τελευταία οι διαδικτιακές επιθέσεις τύπου XSS (περισσότερα http://el.wikipedia.org/wiki/Cross-site_scripting)

Πολύ συνοπτικά:
Αυτού του τύπου οι επιθέσεις δεν έχουν να κάνουν με το λειτουργικό σύστημα καθεαυτό αλλά με τον browser, δηλαδή επηρεάζουν KAI το ubuntu όπως τα windows (σχεδόν).

Οι τεχνολογίες που έχουν το πρόβλημα με τις επιθέσεις XSS είναι κυρίως JavaScript αλλά και Java, ActiveX, VBScript, Flash. Οι ActiveX και VBScript δεν μας ενδιαφέρουν γιατί είναι windows τεχνολογίες. Άρα κυρίως το πρόβλημα σε linux εστιάζεται σε JavaScript και Flash.

Μπορούμε να πάρουμε μέτρα για να ελαχιστοποιήσουμε τον κίνδυνο.

- χρησιμοποιούμε τους browsers Firefox και Chromium (είτε linux, είτε windows) :clap:
- τους ενημερώνουμε άμεσα (update) στον αμέσως επόμενο stable, καθώς και στο αντίστοιχο flash plugin. :|
- χρησιμοποιούμε https εκεί που πρέπει (email, twitter, τραπεζικές συναλλαγές κλπ).
- αποφεύγουμε "περίεργα" sites και αν πρέπει μπαίνουμε από virtualbox ή από κάποιο guest account που έχουμε δημιουργήσει. ;)
- δεν αποθηκεύουμε passwords στον browser γιατί μπορεί να υποκλαπούν. :geek:

Παρακάτω είναι μερικές από τις ρυθμίσεις για firefox και chromium που μπορούμε να κάνουμε:
Υ.Γ. είναι πιθανό μετά από update του browser να χρειαστεί να ξανακάνουμε τις ρυθμίσεις :roll:

http://imageshack.us/photo/my-images/545/001wn.png
http://imageshack.us/photo/my-images/825/002wc.png
http://imageshack.us/photo/my-images/717/002ao.png
http://imageshack.us/photo/my-images/545/002bm.png
http://imageshack.us/photo/my-images/827/003vi.png
http://imageshack.us/photo/my-images/703/004ekf.png


Ξέρω ότι υπάρχουν και πρόσθετα για τους browsers που κάνουν flashblock, noscript κλπ, αλλά με αυτές τις επιλογές ενεργοποιημένες δεν δουλεύει το μισό web, οπότε δεν είναι πολύ καλή λύση.
Τελευταία επεξεργασία από stavrosLinux και 29 Μάιος 2011, 14:27, έχει επεξεργασθεί 1 φορά/ες συνολικά
Επ. Γνώσεων: Linux, Μέτριο┃ Προγρ/σμός, Όχι ┃ Αγγλικά, Kαλά
PC's: i) Lubuntu 13.10 @ Lenovo G550 "Droopy" broadcom BCM4312 {PCI-ID 14e4:4315} Intel GMA 4500MHD
ii) CentOS 6.4 @ "Speedy Gonzales" Core2duo E6400 2.13 Gz, ATI Radeon X1950 (free driver)
iii) Lubuntu 13.10 @ "monkey" Pentium D 3.40 GHZ, NV44 [GeForce 6200 LE](rev a1)
Άβαταρ μέλους
stavrosLinux
saintTUX
saintTUX
 
Δημοσιεύσεις: 1319
Εγγραφή: 26 Νοέμ 2008, 19:20
Τοποθεσία: Μυτιλήνη
Εκτύπωση

Re: διαδικτυακές επιθέσεις τύπου XSS - προστασία

Δημοσίευσηαπό the_eye » 28 Μάιος 2011, 23:47

Ο κίνδυνος είναι για τον server που έχει την ευπάθεια. Δεν έχει να κάνει με χρήστες. Δεν κινδυνεύουμε εμείς που σερφάρουμε.
Όσο λιγότερο κλειστό λογισμικό έχεις, τόσα λιγότερα προβλήματα.
1 Γνώσεις ⇛ Linux: Καλό ┃ Προγραμματισμός: Ναι PHP, MySQL ┃ Αγγλικά: Καλά
2 Ubuntu 22.04 Jammy Jellyfish 5.15.0-58-generic 64bit (el_GR.UTF-8, ubuntu:GNOME ubuntu)
3 Intel Core i3-6100 CPU @ 3.70GHz ‖ RAM 7836 MiB ‖ Gigabyte B150M-HD3 DDR3-CF - Gigabyte B150M-HD3 DDR3
4 Intel HD Graphics 530 [8086:1912] {i915}
5 enp1s0: Realtek RTL8111/8168/8411 PCI Express Gigabit Ethernet Controller [10ec:8168] (rev 15)
Οδηγοί Ubuntu Βίντεο Οδηγοί
Άβαταρ μέλους
the_eye
Διαχειριστής
Διαχειριστής
 
Δημοσιεύσεις: 11671
Εγγραφή: 16 Μαρ 2010, 17:19
Launchpad: ntoulasd
IRC: the_eye_
Εκτύπωση

Re: διαδικτυακές επιθέσεις τύπου XSS - προστασία

Δημοσίευσηαπό mpekatsoula » 29 Μάιος 2011, 00:18

Ο κίνδυνος είναι για τον χρήστη! Ο κώδικας εκτελείται στον client και όχι στον Server λολ.
Και δεν έχει κανένα ρόλο αν χρησιμοποιείται https, ή ΙΕ.
εδώ τα λέει αναλυτικά: https://www.owasp.org/index.php/Cross-s ... _%28XSS%29
Volos LUG
stack0verflow
As a wise Chinese man once said: ‘do not anger one who has shell on your server’.
mpekatsoula
babeTUX
babeTUX
 
Δημοσιεύσεις: 28
Εγγραφή: 09 Ιουν 2010, 13:26
Τοποθεσία: Volos/Xalkida
IRC: mpekatsoula
Εκτύπωση

Re: διαδικτυακές επιθέσεις τύπου XSS - προστασία

Δημοσίευσηαπό simosx » 29 Μάιος 2011, 00:25

the_eye έγραψε:Ο κίνδυνος είναι για τον server που έχει την ευπάθεια. Δεν έχει να κάνει με χρήστες. Δεν κινδυνεύουμε εμείς που σερφάρουμε.


Σε XSS, ένας ευπαθής δικτυκός τόπος μπορεί να δεχθεί κώδικα π.χ. Javascript που βάζει ένας κακόβουλος χρήστης.
Για παράδειγμα, θα μπορούσα να γράψω

ON ON javascript:alert("Oh my God!") (λέμε τώρα)

και αν το παραπάνω, λόγω XSS, γίνει ενεργό Javascript, τότε οι επισκέπτες που έρχονται στη σελίδα θα βλέπουν ένα παράξενο Alert().
Και το javascript μπορεί να είναι κάτι άλλο, όπου υποκλέπτει κωδικούς και άλλα πράγματα.
προσωπικό ιστολόγιο ϗ πλανήτης Ubuntu-gr
Συμβάλετε και εσείς στο ελληνικό βιβλίο Ubuntu!
1 Γνώσεις Linux: Πολύ καλό ┃ Προγραμματισμού: Πολύ καλό ┃ Αγγλικών: Πολύ καλό
2 Ubuntu 13.10 saucy 3.11.0-031100rc1-generic 64bit (el_GR.UTF-8, Unity ubuntu)
3 AMD E-450 APU with Radeon HD Graphics ‖ RAM 3555 MiB ‖ Sony Corporation VAIO
4 AMD nee ATI Wrestler [Radeon HD 6320] [1002:9806] {fglrx_pci}
5 eth0: Atheros Inc. AR8151 v2.0 Gigabit Ethernet [1969:1083] (rev c0) ⋮ wlan0: Atheros Inc. AR9285 [168c:002b] (rev 01)
Φτιάξτε και εσείς τη δική σας υπογραφή (παραπάνω κείμενο) αυτόματα με κλικ εδώ!
simosx
Επίτιμο μέλος
Επίτιμο μέλος
 
Δημοσιεύσεις: 10334
Εγγραφή: 11 Μάιος 2008, 18:52
Launchpad: simosx
IRC: simosx
Εκτύπωση

Re: διαδικτυακές επιθέσεις τύπου XSS - προστασία

Δημοσίευσηαπό the_eye » 29 Μάιος 2011, 00:34

Ο κίνδυνος που δημιουργείτε στο χρήστη είναι έμμεσος, αν επισκεφθεί έναν μολυσμένο server. Τότε ο "κακός" μέσω του μολυσμένου server μπορεί να υποκλέψει στοιχεία.
Όσο λιγότερο κλειστό λογισμικό έχεις, τόσα λιγότερα προβλήματα.
1 Γνώσεις ⇛ Linux: Καλό ┃ Προγραμματισμός: Ναι PHP, MySQL ┃ Αγγλικά: Καλά
2 Ubuntu 22.04 Jammy Jellyfish 5.15.0-58-generic 64bit (el_GR.UTF-8, ubuntu:GNOME ubuntu)
3 Intel Core i3-6100 CPU @ 3.70GHz ‖ RAM 7836 MiB ‖ Gigabyte B150M-HD3 DDR3-CF - Gigabyte B150M-HD3 DDR3
4 Intel HD Graphics 530 [8086:1912] {i915}
5 enp1s0: Realtek RTL8111/8168/8411 PCI Express Gigabit Ethernet Controller [10ec:8168] (rev 15)
Οδηγοί Ubuntu Βίντεο Οδηγοί
Άβαταρ μέλους
the_eye
Διαχειριστής
Διαχειριστής
 
Δημοσιεύσεις: 11671
Εγγραφή: 16 Μαρ 2010, 17:19
Launchpad: ntoulasd
IRC: the_eye_
Εκτύπωση

Re: διαδικτυακές επιθέσεις τύπου XSS - προστασία

Δημοσίευσηαπό stavrosLinux » 29 Μάιος 2011, 14:31

mpekatsoula έγραψε:Ο κίνδυνος είναι για τον χρήστη! Ο κώδικας εκτελείται στον client και όχι στον Server λολ.
Και δεν έχει κανένα ρόλο αν χρησιμοποιείται https, ή ΙΕ.
εδώ τα λέει αναλυτικά: https://www.owasp.org/index.php/Cross-s ... _%28XSS%29


στο τέλος θα γράψουμε διαγώνισμα :lol:
Φυσικά και παίζει ρόλο το https στα πλαίσια της γενικότερης ασφάλειας και του τι μπορεί να κάνει το XSS !
Επ. Γνώσεων: Linux, Μέτριο┃ Προγρ/σμός, Όχι ┃ Αγγλικά, Kαλά
PC's: i) Lubuntu 13.10 @ Lenovo G550 "Droopy" broadcom BCM4312 {PCI-ID 14e4:4315} Intel GMA 4500MHD
ii) CentOS 6.4 @ "Speedy Gonzales" Core2duo E6400 2.13 Gz, ATI Radeon X1950 (free driver)
iii) Lubuntu 13.10 @ "monkey" Pentium D 3.40 GHZ, NV44 [GeForce 6200 LE](rev a1)
Άβαταρ μέλους
stavrosLinux
saintTUX
saintTUX
 
Δημοσιεύσεις: 1319
Εγγραφή: 26 Νοέμ 2008, 19:20
Τοποθεσία: Μυτιλήνη
Εκτύπωση

Re: διαδικτυακές επιθέσεις τύπου XSS - προστασία

Δημοσίευσηαπό mpekatsoula » 29 Μάιος 2011, 17:39

Στην γενικότερη ασφάλεια ναι. Το ότι κρυπτογραφείται το connection δεν παίζει κάποιο ιδιαίτερο ρόλο σε αυτό το είδος επίθεσης. Ότι είναι να γίνει θα γίνει, απλά θα είναι ecrypted.

στο τέλος θα γράψουμε διαγώνισμα

Χμμ ένα online test-άκι δεν θα ήταν κακή ιδέα για να τεστάρει όποιος θέλει τις γνώσεις του :P
Volos LUG
stack0verflow
As a wise Chinese man once said: ‘do not anger one who has shell on your server’.
mpekatsoula
babeTUX
babeTUX
 
Δημοσιεύσεις: 28
Εγγραφή: 09 Ιουν 2010, 13:26
Τοποθεσία: Volos/Xalkida
IRC: mpekatsoula
Εκτύπωση

Re: διαδικτυακές επιθέσεις τύπου XSS - προστασία

Δημοσίευσηαπό simosx » 29 Μάιος 2011, 18:13

mpekatsoula έγραψε:Χμμ ένα online test-άκι δεν θα ήταν κακή ιδέα για να τεστάρει όποιος θέλει τις γνώσεις του :P


Έχεις webhosting όπου θα μπορούσες να βάλεις κάποια demo;
Ξέρεις αν υπάρχουν έτοιμα, μόνο και μόνο για εκμάθηση;
προσωπικό ιστολόγιο ϗ πλανήτης Ubuntu-gr
Συμβάλετε και εσείς στο ελληνικό βιβλίο Ubuntu!
1 Γνώσεις Linux: Πολύ καλό ┃ Προγραμματισμού: Πολύ καλό ┃ Αγγλικών: Πολύ καλό
2 Ubuntu 13.10 saucy 3.11.0-031100rc1-generic 64bit (el_GR.UTF-8, Unity ubuntu)
3 AMD E-450 APU with Radeon HD Graphics ‖ RAM 3555 MiB ‖ Sony Corporation VAIO
4 AMD nee ATI Wrestler [Radeon HD 6320] [1002:9806] {fglrx_pci}
5 eth0: Atheros Inc. AR8151 v2.0 Gigabit Ethernet [1969:1083] (rev c0) ⋮ wlan0: Atheros Inc. AR9285 [168c:002b] (rev 01)
Φτιάξτε και εσείς τη δική σας υπογραφή (παραπάνω κείμενο) αυτόματα με κλικ εδώ!
simosx
Επίτιμο μέλος
Επίτιμο μέλος
 
Δημοσιεύσεις: 10334
Εγγραφή: 11 Μάιος 2008, 18:52
Launchpad: simosx
IRC: simosx
Εκτύπωση

Re: διαδικτυακές επιθέσεις τύπου XSS - προστασία

Δημοσίευσηαπό mpekatsoula » 29 Μάιος 2011, 18:31

Hosting έχω. Δεν έχω ψάξει αν υπάρχει κάτι τέτοιο όμως (ειδικά στα ελληνικά). Αν θέλετε πάντως να το τρέξουμε np
Volos LUG
stack0verflow
As a wise Chinese man once said: ‘do not anger one who has shell on your server’.
mpekatsoula
babeTUX
babeTUX
 
Δημοσιεύσεις: 28
Εγγραφή: 09 Ιουν 2010, 13:26
Τοποθεσία: Volos/Xalkida
IRC: mpekatsoula
Εκτύπωση

Re: διαδικτυακές επιθέσεις τύπου XSS - προστασία

Δημοσίευσηαπό simosx » 29 Μάιος 2011, 18:52

mpekatsoula έγραψε:Hosting έχω. Δεν έχω ψάξει αν υπάρχει κάτι τέτοιο όμως (ειδικά στα ελληνικά). Αν θέλετε πάντως να το τρέξουμε np


Θα μας ενδιέφερε να εμβαθύνουμε. Αν μπορείς να βρεις κάτι εύκολο (π.χ. σε PHP) για επίδειξη του XSS, πιστεύω ότι θα βοηθήσει αρκετά όλους μας.
Δεν πειράζει αν αυτό που βρεις είναι στην Αγγλική γλώσσα, μιας και πρόκειται για επίδειξη μόνο.
προσωπικό ιστολόγιο ϗ πλανήτης Ubuntu-gr
Συμβάλετε και εσείς στο ελληνικό βιβλίο Ubuntu!
1 Γνώσεις Linux: Πολύ καλό ┃ Προγραμματισμού: Πολύ καλό ┃ Αγγλικών: Πολύ καλό
2 Ubuntu 13.10 saucy 3.11.0-031100rc1-generic 64bit (el_GR.UTF-8, Unity ubuntu)
3 AMD E-450 APU with Radeon HD Graphics ‖ RAM 3555 MiB ‖ Sony Corporation VAIO
4 AMD nee ATI Wrestler [Radeon HD 6320] [1002:9806] {fglrx_pci}
5 eth0: Atheros Inc. AR8151 v2.0 Gigabit Ethernet [1969:1083] (rev c0) ⋮ wlan0: Atheros Inc. AR9285 [168c:002b] (rev 01)
Φτιάξτε και εσείς τη δική σας υπογραφή (παραπάνω κείμενο) αυτόματα με κλικ εδώ!
simosx
Επίτιμο μέλος
Επίτιμο μέλος
 
Δημοσιεύσεις: 10334
Εγγραφή: 11 Μάιος 2008, 18:52
Launchpad: simosx
IRC: simosx
Εκτύπωση

Επόμενο

Επιστροφή στο Οδηγοί - How to - Tutorials