Auflistung nach Autor:in "Johns, Martin"
1 - 5 von 5
Treffer pro Seite
Sortieroptionen
- TextdokumentCode-injection Verwundbarkeit in Web Anwendungen am Beispiel von Cross-site Scripting(Ausgezeichnete Informatikdissertationen 2009, 2010) Johns, Martin
- KonferenzbeitragDOM-basiertes Cross-Site Scripting im Web: Reise in ein unerforschtes Land(Sicherheit 2014 – Sicherheit, Schutz und Zuverlässigkeit, 2014) Stock, Ben; Lekies, Sebastian; Johns, MartinCross-site Scripting (XSS) ist eine weit verbreitete Verwundbarkeitsklasse in Web-Anwendungen und kann sowohl von server-seitigem als auch von clientseitigem Code verursacht werden. Allerdings wird XSS primär als ein server-seitiges Problem wahrgenommen, motiviert durch das Offenlegen von zahlreichen entsprechenden XSS-Schwächen. In den letzten Jahren jedoch kann eine zunehmende Verlagerung von Anwendungslogik in den Browser beobachtet werden eine Entwicklung die im Rahmen des sogenannten Web 2.0 begonnen hat. Dies legt die Vermutung nahe, dass auch client-seitiges XSS an Bedeutung gewinnen könnte. In diesem Beitrag stellen wir eine umfassende Studie vor, in der wir, mittels eines voll-automatisierten Ansatzes, die führenden 5000 Webseiten des Alexa Indexes auf DOM-basiertes XSS untersucht haben. Im Rahmen dieser Studie, konnten wir 6.167 derartige Verwundbarkeiten identifizieren, die sich auf 480 der untersuchten Anwendungen verteilen.
- KonferenzbeitragPseudonyme Biometrik: Ein Signatur-basierter Ansatz(BIOSIG 2003 – Biometrics and electronic signatures, 2003) Johns, MartinDieser Artikel stellt einen Ansatz zur Pseudonymisierung biometrischer Daten vor. Im Unterschied zu bisher bestehenden Ansätzen, setzt die Pseudonymisierung bereits bei der Berechnung der biometrischen Signatur an. Es werden Anforderungen und Vorausetzungen für ein derartiges Verfahren erarbeitet und anhand des Algorithmus von John Daugman ein Beispiel für die Anwendung des Ansatzes gegeben.
- KonferenzbeitragSession fixation – the forgotten vulnerability?(Sicherheit 2010. Sicherheit, Schutz und Zuverlässigkeit, 2010) Schrank, Michael; Braun, Bastian; Johns, Martin; Posegga, JoachimThe term 'Session Fixation vulnerability' subsumes issues in Web applications that under certain circumstances enable the adversary to perform a session hijacking attack through controlling the victim's session identifier value. We explore this vulnerability pattern. First, we give an analysis of the root causes and document existing attack vectors. Then we take steps to assess the current attack surface of Session Fixation. Finally, we present a transparent server-side method for mitigating vulnerabilities.
- KonferenzbeitragTowards stateless, client-side driven cross-site request forgery protection for web applications(SICHERHEIT 2012 – Sicherheit, Schutz und Zuverlässigkeit, 2012) Lekies, Sebastian; Tighzert, Walter; Johns, MartinCross-site request forgery (CSRF) is one of the dominant threats in the Web application landscape. In this paper, we present a lightweight and stateless protection mechanism that can be added to an existing application without requiring changes to the application's code. The key functionality of the approach, which is based on the double-submit technique, is purely implemented on the client-side. This way full coverage of client-side generation of HTTP requests is provided.