<p>Voor veel van deze opdrachten heb je een eigen website nodig. Als je niet een eigen website hebt kan je natuurlijk ook gebruik maken van de student.aii.avans.nl webruimte</p>
<p>Zorg dat je de VM op NAT zet zodat deze de de laatste opdrachten kan dowloaden.</p>
<figcaption>Iemand heeft <i>iets</i> veranderd aan de HTML, durf je nog in te loggen?</figcaption>
</figure>
<p>Deze week gaan we kijken naar cross-site scripting, op het web zie je dit vaak afgekort als <b>XSS</b> (omdat 'CSS' al was gepikt door de bekende stylesheets taal). Bij een XSS aanval probeert de aanvaller een extra stukje HTML toe te voegen op de pagina. Als iemand onbedoeld extra HTML tags of zelfs Javascript met de <script> tag kan toevoegen is er sprake van een XSS aanval.</p>
<p>Het gevaar van deze extra HTML is dat het gebruikt kan worden om mensen te misleiden om bijvoorbeeld een formulier met login gegevens te veranderen zodat die wordt gestuurd naar de server van de aanvaller. Of om Javascript toe te voegen die automatisch jouw session cookie doorstuurt zodat de aanvaller kan verder surfen in jouw account.</p>
<figcaption>Informatie uit de URL wordt herhaald in de pagina. Een mogelijke XSS aanval.</figcaption>
</figure>
<p>Bij een reflected attack worden gegevens uit de URL letterlijk weergegeven in de pagina. Gegevens uit de URL printen is iets wat pagina's regelmatig doen. Denk maar eens aan een zoekpagina waar de queryterm zowel in een GET parameter staat als op de webpagina zelf.</p>
<p>Als de website zich niet tegen XSS heeft beveiligd kan je via de URL HTML 'injecten' in de pagina en zo op allerlei manieren de functionaliteit van de pagina veranderen. Het enige wat je hoeft te doen is een gebruiker op jouw URL laten klikken. Met een beetje javascript magie kan je zelfs de lange URL met HTML er in vervangen door iets wat er onschuldig uitziet. The perfect crime!</p>
<h3>Stored</h3>
<p>Een andere manier om jouw scriptjes te laten draaien in andermans pagina is via de database. Stel er is een site met een invoerveld waar een gebruiker wat kan invullen dat wordt opgeslagen in een database (denk aan: forumposts, comments, wiki's). En stel die informatie wordt later weer aan gebruikers getoond (niet zo'n heel hypothetisch geval, dit beschrijft zo'n 90% van alle websites). Als de site niet goed beveiligd is kan je in de database <script> tags met Javascript opslaan die vervolgens in de browsers van andere gebruikers kan laten runnen.</p>
<p>Zo'n aanval is vaak veel schadelijker omdat gebruikers dan niet naar een specifieke URL hoeven te gaan om de code uit te laten voeren, maar met alleen maar 'normaal' de site te gebruiken al de klos zijn</p>
<h1>Opdrachten</h1>
<p>Voor sommige van deze opdrachten heb je een eigen website nodig. Als je niet een eigen website hebt kan je natuurlijk ook gebruik maken van de student.aii.avans.nl webruimte</p>
<h2>Bank</h2>
<p>We gaan opnieuw kijken naar de Bank website. Ze hebben tijdelijk hun login formulier uitgeschakeld, maar daarmee zijn ze nog steeds niet veilig van hun beveiligingsproblemen.</p>
@ -24,13 +73,23 @@
</div>
<divclass="question">
<spanclass="question-string">Bekijk de broncode: <ahref="https://github.com/Avans/Security-Workshop/blob/master/bank/message.php#L38">https://github.com/Avans/Security-Workshop/blob/master/bank/message.php#L38</a> Voeg een fix toe om deze aanval te voorkomen.</span>
<spanclass="question-string">Bekijk de <ahref="https://github.com/Avans/Security-Workshop/blob/master/bank/message.php#L38"target="_blank">broncode</a>. Voeg een fix toe om deze aanval te voorkomen.</span>
<p>Een slimme gebruiker ziet aan de URL nu natuurlijk meteen dat er iets verdachts aan de hand is. Maar het is met een beetje extra Javascript mogelijk om de URL te veranderen zodat deze er weer onschuldig uitziet.</p>
<pclass="hint"><strong>Hint:</strong> Zoek eens naar <code>window.history.pushState</code>.</p>
<divclass="question">
<spanclass="question-string">Maak weer een URL die een nep inlogformulier laat zien, en zorg ervoor dat in de adresbalk de URL van de echte inlogpagina komt te staan.</span>
<p>Leaky heeft zijn webshop uitgebreid: je kan nu op de product pagina's doorklikken op de plaatjes voor een grote ingezoomde afbeelding. Op deze pagina is echter ook een XSS beveiligingslek. Dit is de site <spanclass="website">"Webshop (replace)</span>.</p>
<p>Leaky heeft zijn webshop uitgebreid: je kan nu op de product pagina's doorklikken op de plaatjes voor een grote ingezoomde afbeelding. Op deze pagina is echter ook een XSS beveiligingslek. Dit is de site <spanclass="website">Webshop (replace)</span>.</p>
<p>De website heeft nu ook PHP session cookies waar jij als hacker natuurlijk erg in geïnteresseerd bent.</p>
<pclass="hint"><strong>Hint:</strong> Op <ahref="http://jdstiles.com/java/cct.html"target="_blank">deze site</a> kan je Javascript zonder quotejes genereren</a></p>
<divclass="question">
<spanclass="question-string">Verander de url naar image_zoom_escapehtml.php. Alle speciale HTML tekens (<>"&) zijn nu geëscapet. Maar het is nog steeds mogelijk om een aanval uit te voeren! Maak een nieuwe URL die de sessie cookie naar je eigen website verstuurd. Let goed op de quotejes.</span>
<p>Op deze site kan je Javascript zonder quotejes genereren: <ahref="http://jdstiles.com/java/cct.html"target="_blank">http://jdstiles.com/java/cct.html</a></p>
<divclass="question">
<spanclass="question-string">Bekijk de broncode op <ahref="https://github.com/Avans/Security-Workshop/blob/master/webshop/image_zoom_escapehtml.php#L55"target="_blank">https://github.com/Avans/Security-Workshop/blob/master/webshop/image_zoom_escapehtml.php#L55</a> Voeg een simpele fix toe die dit probleem oplost. Je kan dit op twee manieren doen: 1. HTML aanpassen 2. PHP aanpassen (lees documentatie op <ahref="http://php.net/htmlspecialchars"target="_blank">http://php.net/htmlspecialchars</a> )</span>
<spanclass="question-string">Bekijk de <ahref="https://github.com/Avans/Security-Workshop/blob/master/webshop/image_zoom_escapehtml.php#L49"target="_blank">broncode</a>. Voeg een simpele fix toe die dit probleem oplost. Je kan dit op twee manieren doen: 1. HTML aanpassen 2. PHP aanpassen (lees documentatie op <ahref="http://php.net/htmlspecialchars"target="_blank">http://php.net/htmlspecialchars</a> )</span>
<p>We gaan nu een aanval doen op een populaire nieuwssite. Ga naar de <spanclass="website">"Nieuws"</span> pagina voor de volgende opdrachten.</p>
<p>We gaan nu een aanval doen op een populaire nieuwssite. Ga naar de <spanclass="website">"Nieuws"</span> pagina voor de volgende opdrachten.</p>
<p>Deze site heeft geen plekken waar we via de URL's javascript aan de pagina kunnen toevoegen. Bovendien zijn de administrators van deze site veel te slim om op rare links te klikken in vage e-mailtjes. We gaan het via een stored XSS attack te doen.</p>
<p>Maak de opgave "6112 - OWASP 2010 - A2 - Cross-Site Scripting" uit het OWASP Top Ten event.</p>
<p>Ga naar de <spanclass="website">Wereldwijs (XSS)</span> pagina. Deze site hebben ze helemaal Web 3.0 gemaakt door alle pagina's met Javascript te tonen. Helaas hebben ze het weer niet zo nauw genomen met de veiligheid en zit er een XSS mogelijkheid in de site. Ga op zoek in de broncode van de pagina naar manieren om Javascript uit te voeren op de pagina.</p>
<pclass="hint"><strong>Hint 1: </strong> jQuery wordt op een onveilige manier gebruikt, op internet kan je vinden hoe je dit kan uitbuiten.</p>
<pclass="hint"><strong>Hint 2: </strong> Met de $('') functie van jQuery kan je ook nieuwe DOM elementen maken Bijvoorbeeld: $('<div>'). Deze versie van jQuery vindt het niet erg als daar ook nog een # voorstaat.</p>
<divclass="question">
<spanclass="question-string">Beschrijf hoe je de aanval hebt uitgevoerd. Hoe had deze aanval voorkomen kunnen worden?</span>
