Logo des Repositoriums

Auflistung nach Autor:in "Lekies, Sebastian"

1 - 2 von 2
  • Konferenzbeitrag
    DOM-basiertes Cross-Site Scripting im Web: Reise in ein unerforschtes Land
    (Sicherheit 2014 – Sicherheit, Schutz und Zuverlässigkeit, 2014) Stock, Ben; Lekies, Sebastian; Johns, Martin
    Cross-site Scripting (XSS) ist eine weit verbreitete Verwundbarkeitsklasse in Web-Anwendungen und kann sowohl von server-seitigem als auch von clientseitigem Code verursacht werden. Allerdings wird XSS primär als ein server-seitiges Problem wahrgenommen, motiviert durch das Offenlegen von zahlreichen entsprechenden XSS-Schwächen. In den letzten Jahren jedoch kann eine zunehmende Verlagerung von Anwendungslogik in den Browser beobachtet werden eine Entwicklung die im Rahmen des sogenannten Web 2.0 begonnen hat. Dies legt die Vermutung nahe, dass auch client-seitiges XSS an Bedeutung gewinnen könnte. In diesem Beitrag stellen wir eine umfassende Studie vor, in der wir, mittels eines voll-automatisierten Ansatzes, die führenden 5000 Webseiten des Alexa Indexes auf DOM-basiertes XSS untersucht haben. Im Rahmen dieser Studie, konnten wir 6.167 derartige Verwundbarkeiten identifizieren, die sich auf 480 der untersuchten Anwendungen verteilen.
  • Konferenzbeitrag
    Towards stateless, client-side driven cross-site request forgery protection for web applications
    (SICHERHEIT 2012 – Sicherheit, Schutz und Zuverlässigkeit, 2012) Lekies, Sebastian; Tighzert, Walter; Johns, Martin
    Cross-site request forgery (CSRF) is one of the dominant threats in the Web application landscape. In this paper, we present a lightweight and stateless protection mechanism that can be added to an existing application without requiring changes to the application's code. The key functionality of the approach, which is based on the double-submit technique, is purely implemented on the client-side. This way full coverage of client-side generation of HTTP requests is provided.