web security basic web security model continued spring
play

Web Security: Basic Web Security Model [continued] - PowerPoint PPT Presentation

Oct 12, 2022 •316 likes •510 views

CSE 484 / CSE M 584: Computer Security and Privacy Web Security: Basic Web Security Model [continued] Spring 2015 Franziska (Franzi) Roesner

  1. CSE ¡484 ¡/ ¡CSE ¡M ¡584: ¡ ¡Computer ¡Security ¡and ¡Privacy ¡ ¡ Web ¡Security: ¡ Basic ¡Web ¡Security ¡Model ¡ [continued] ¡ Spring ¡2015 ¡ ¡ Franziska ¡(Franzi) ¡Roesner ¡ ¡ franzi@cs.washington.edu ¡ Thanks ¡to ¡Dan ¡Boneh, ¡Dieter ¡Gollmann, ¡Dan ¡Halperin, ¡Yoshi ¡Kohno, ¡John ¡Manferdelli, ¡John ¡Mitchell, ¡ John ¡Ousterhout, ¡Vitaly ¡Shmatikov, ¡Bennet ¡Yee, ¡and ¡many ¡others ¡for ¡sample ¡slides ¡and ¡materials ¡... ¡

  2. Admin ¡ • Homework ¡2 ¡(crypto) ¡is ¡out ¡(due ¡5pm ¡on ¡May ¡8) ¡ • Lab ¡1 ¡due ¡5pm ¡ this ¡Friday ¡ • Lab ¡2 ¡(web ¡security) ¡will ¡be ¡out ¡sometime ¡next ¡week ¡ – We’ll ¡ask ¡you ¡for ¡group ¡names ¡(up ¡to ¡3 ¡people) ¡and ¡ passwords ¡soon ¡ • Looking ¡ahead: ¡ – Friday: ¡guest ¡lecture ¡(Chris ¡Hansen, ¡Seattle ¡PD) ¡ – Monday: ¡web ¡application ¡security ¡ – Wednesday: ¡web ¡session ¡management ¡ – Friday: ¡guest ¡lecture ¡(Ben ¡Livshits, ¡MSR) ¡on ¡web ¡malware ¡ 4/29/15 ¡ CSE ¡484 ¡/ ¡CSE ¡M ¡584 ¡-­‑ ¡Spring ¡2015 ¡ 2 ¡

  3. Recall: ¡Two ¡Sides ¡of ¡Web ¡Security ¡ • Web ¡browser ¡ – Responsible ¡for ¡securely ¡confining ¡Web ¡content ¡ presented ¡by ¡visited ¡websites ¡ • Web ¡applications ¡ – Online ¡merchants, ¡banks, ¡blogs, ¡Google ¡Apps ¡… ¡ – Mix ¡of ¡server-­‑side ¡and ¡client-­‑side ¡code ¡ • Server-­‑side ¡code ¡written ¡in ¡PHP, ¡Ruby, ¡ASP, ¡JSP… ¡runs ¡on ¡ the ¡Web ¡server ¡ • Client-­‑side ¡code ¡written ¡in ¡JavaScript… ¡runs ¡in ¡the ¡Web ¡ browser ¡ – Many ¡potential ¡bugs: ¡XSS, ¡XSRF, ¡SQL ¡injection ¡ 4/29/15 ¡ CSE ¡484 ¡/ ¡CSE ¡M ¡584 ¡-­‑ ¡Spring ¡2015 ¡ 3 ¡

  4. Recall: ¡Browser ¡Sandbox ¡ • Goal: ¡safely ¡execute ¡JavaScript ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ code ¡provided ¡by ¡a ¡website ¡ – No ¡direct ¡file ¡access, ¡limited ¡access ¡to ¡OS, ¡network, ¡ browser ¡data, ¡content ¡that ¡came ¡from ¡other ¡websites ¡ • Same ¡origin ¡policy ¡ – Can ¡only ¡access ¡properties ¡of ¡documents ¡and ¡windows ¡ from ¡the ¡same ¡domain, ¡protocol, ¡and ¡port ¡ 4/29/15 ¡ CSE ¡484 ¡/ ¡CSE ¡M ¡584 ¡-­‑ ¡Spring ¡2015 ¡ 4 ¡

  5. Same-­‑Origin ¡Policy ¡ Website ¡origin ¡= ¡(scheme, ¡domain, ¡port) ¡ [Example ¡thanks ¡to ¡Wikipedia.] ¡

  6. Same-­‑Origin ¡Policy: ¡DOM ¡ Only ¡code ¡from ¡same ¡origin ¡can ¡access ¡HTML ¡ elements ¡on ¡another ¡site ¡(or ¡in ¡an ¡iframe). ¡ www.example.com ¡ www.evil.com ¡ ¡ ¡ ¡ ¡ ¡ ¡ www.example.co www.example.co ¡ ¡ m/iframe.html ¡ m/iframe.html ¡ ¡ ¡ ¡ ¡ ¡ ¡ www.example.com ¡(the ¡ www.evil.com ¡(the ¡parent) ¡ parent) ¡ can ¡access ¡HTML ¡ cannot ¡access ¡HTML ¡ elements ¡in ¡the ¡iframe ¡ ¡ elements ¡in ¡the ¡iframe ¡ ¡ (and ¡vice ¡versa). ¡ (and ¡vice ¡versa). ¡

  7. Who ¡Can ¡Navigate ¡a ¡Frame? ¡ awglogin ¡ window.open("https://www.attacker.com/...", ¡"awglogin") ¡ window.open("https://www.google.com/...") ¡ If ¡bad ¡frame ¡can ¡navigate ¡sibling ¡frames, ¡attacker ¡gets ¡password! ¡ 4/29/15 ¡ CSE ¡484 ¡/ ¡CSE ¡M ¡584 ¡-­‑ ¡Spring ¡2015 ¡ 7 ¡

  8. Gadget ¡Hijacking ¡in ¡Mashups ¡ top.frames[1].location ¡= ¡"http:/www.attacker.com/... “ ; ¡ top.frames[2].location ¡= ¡"http:/www.attacker.com/... “ ; ¡ ... ¡ ¡ 4/29/15 ¡ CSE ¡484 ¡/ ¡CSE ¡M ¡584 ¡-­‑ ¡Spring ¡2015 ¡ 8 ¡

  9. Gadget ¡Hijacking ¡in ¡Mashups ¡ Solution: ¡Modern ¡browsers ¡only ¡allow ¡a ¡frame ¡to ¡navigate ¡its ¡“descendent” ¡frames ¡ 4/29/15 ¡ CSE ¡484 ¡/ ¡CSE ¡M ¡584 ¡-­‑ ¡Spring ¡2015 ¡ 9 ¡

  10. Same-­‑Origin ¡Policy: ¡Cookies ¡ • For ¡cookies: ¡ Only ¡code ¡from ¡same ¡origin ¡can ¡ read/write ¡cookies ¡associated ¡with ¡an ¡origin. ¡ – Can ¡be ¡set ¡via ¡Javascript ¡ ( document.cookie=… ) ¡or ¡ via ¡ Set-Cookie ¡header ¡in ¡HTTP ¡response. ¡ – Can ¡narrow ¡to ¡subdomain/path ¡(e.g., ¡ http://example.com ¡ can ¡set ¡cookie ¡scoped ¡to ¡ http://account.example.com/login .) ¡(Caveats ¡soon!) ¡ – Secure ¡cookie: ¡send ¡only ¡via ¡HTTPS. ¡ – HttpOnly ¡cookie: ¡can’t ¡access ¡using ¡JavaScript. ¡

  11. Same-­‑Origin ¡Policy: ¡Cookies ¡ • Browsers ¡automatically ¡include ¡cookies ¡with ¡ HTTP ¡requests. ¡ • First-­‑party ¡cookie: ¡belongs ¡to ¡top-­‑level ¡domain. ¡ • Third-­‑party ¡cookie: ¡belongs ¡to ¡domain ¡of ¡ embedded ¡content. ¡ Bar’s ¡Server ¡ www.bar.com’s ¡ ¡ www.bar.com ¡ cookie ¡(1 st ¡party) ¡ ¡ ¡ www.foo.com’s ¡ ¡ ¡ www.foo.com ¡ ¡ Foo’s ¡Server ¡ cookie ¡(3 rd ¡party) ¡ ¡ ¡

  12. Same ¡Origin ¡Policy: ¡Cookie ¡Writing ¡ domain: ¡ ¡any ¡domain ¡suffix ¡of ¡URL-­‑hostname, ¡except ¡ top-­‑level ¡domain ¡(TLD) ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡Which ¡cookies ¡can ¡be ¡set ¡by ¡ login .site.com ? ¡ ¡ allowed ¡domains ¡ disallowed ¡domains ¡ ü ¡ û ¡ ¡ login.site.com ¡ user.site.com ¡ ü ¡ û ¡ ¡.site.com ¡ othersite.com ¡ ¡ û ¡ .com ¡ ¡ ¡ ¡ ¡ ¡ login.site.com ¡can ¡set ¡cookies ¡for ¡all ¡of ¡ .site.com ¡ ¡ ¡but ¡not ¡for ¡another ¡site ¡or ¡TLD ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡Problematic ¡for ¡sites ¡like ¡.washington.edu ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ path: ¡ ¡anything ¡ 4/29/15 ¡ CSE ¡484 ¡/ ¡CSE ¡M ¡584 ¡-­‑ ¡Spring ¡2015 ¡ 12 ¡

  13. Who ¡Set ¡the ¡Cookie? ¡ • Alice ¡logs ¡in ¡at ¡login.site.com ¡ ¡ ¡ ¡ ¡ – login.site.com ¡sets ¡session-­‑id ¡cookie ¡for ¡.site.com ¡ • Alice ¡visits ¡evil.site.com ¡ – Overwrites ¡.site.com ¡session-­‑id ¡cookie ¡with ¡session-­‑id ¡of ¡ user ¡ “ badguy ” ¡-­‑-­‑ ¡not ¡a ¡violation ¡of ¡SOP! ¡ • Alice ¡visits ¡cse484.site.com ¡to ¡submit ¡homework ¡ – cse484.site.com ¡thinks ¡it ¡is ¡talking ¡to ¡ “ badguy ” ¡ • Problem: ¡cse484.site.com ¡expects ¡session-­‑id ¡from ¡ ¡ login.site.com, ¡cannot ¡tell ¡that ¡session-­‑id ¡cookie ¡ has ¡been ¡overwritten ¡by ¡a ¡ “ sibling ” domain ¡ 4/29/15 ¡ CSE ¡484 ¡/ ¡CSE ¡M ¡584 ¡-­‑ ¡Spring ¡2015 ¡ 13 ¡

  14. Path ¡Separation ¡is ¡Not ¡Secure ¡ • Cookie ¡SOP: ¡path ¡separation ¡ – When ¡the ¡browser ¡visits ¡ x.com/A , ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ it ¡does ¡not ¡send ¡the ¡cookies ¡of ¡ x.com/B ¡ – This ¡is ¡done ¡for ¡efficiency, ¡not ¡security! ¡ ¡ • DOM ¡SOP: ¡no ¡path ¡separation ¡ – A ¡script ¡from ¡ x.com/A ¡can ¡read ¡DOM ¡of ¡ x.com/B ¡ ¡ ¡ ¡ <iframe src=“x.com/B"></iframe> alert(frames[0].document.cookie); 4/29/15 ¡ CSE ¡484 ¡/ ¡CSE ¡M ¡584 ¡-­‑ ¡Spring ¡2015 ¡ 14 ¡

  15. Same-­‑Origin ¡Policy: ¡Scripts ¡ • When ¡a ¡website ¡ includes ¡a ¡script , ¡that ¡script ¡ runs ¡in ¡the ¡context ¡of ¡the ¡embedding ¡website. ¡ www.example.com ¡ The ¡code ¡from ¡ ¡ <head> http://otherdomain.com ¡ ¡ <script src=”http:// ¡ can ¡access ¡HTML ¡elements ¡ ¡ otherdomain.com/ ¡ and ¡cookies ¡on ¡ library.js" ></script> ¡ </head> www.example.com. ¡ ¡ ¡ ¡ • If ¡code ¡in ¡the ¡script ¡sets ¡a ¡cookie, ¡under ¡what ¡ origin ¡will ¡it ¡be ¡set? ¡ ¡

Recommend

Web Security: Basic Web Security Model Spring 2016 Franziska (Franzi) Roesner

Web Security: Basic Web Security Model Spring 2016 Franziska (Franzi) Roesner

CSE 484 / CSE M 584: Computer Security and Privacy Web Security: Basic Web Security Model Spring 2016 Franziska (Franzi) Roesner franzi@cs.washington.edu Thanks to Dan Boneh, Dieter Gollmann, Dan Halperin, Yoshi Kohno, John Manferdelli, John

498 views • 31 slides
A (re)introduction to Spring Security Agenda Before Spring Security: Acegi security

A (re)introduction to Spring Security Agenda Before Spring Security: Acegi security

A (re)introduction to Spring Security Agenda Before Spring Security: Acegi security Introducing Spring Security View layer security Whats coming in Spring Security 3 E-mail: craig@habuma.com Blog: http://www.springloaded.info

452 views • 19 slides
Web Security [Browser Security Model] Spring 2020 Franziska (Franzi) Roesner

Web Security [Browser Security Model] Spring 2020 Franziska (Franzi) Roesner

CSE 484 / CSE M 584: Computer Security and Privacy Web Security [Browser Security Model] Spring 2020 Franziska (Franzi) Roesner franzi@cs.washington.edu Thanks to Dan Boneh, Dieter Gollmann, Dan Halperin, Yoshi Kohno, Ada Lerner, John

810 views • 24 slides
Secure Networks Starting with Basic Reference Model for Security Architecture A Historic Review

Secure Networks Starting with Basic Reference Model for Security Architecture A Historic Review

Secure Networks Starting with Basic Reference Model for Security Architecture A Historic Review of a Nascent Industry Seattle University CSSE 572 Spring 2008 Mohsen Banan Guest Speaker May 15, 2008 Less Talked About Security

215 views • 19 slides
CS-527 Software Security Basic Security Principles Asst. Prof. Mathias Payer Department of

CS-527 Software Security Basic Security Principles Asst. Prof. Mathias Payer Department of

CS-527 Software Security Basic Security Principles Asst. Prof. Mathias Payer Department of Computer Science Purdue University TA: Kyriakos Ispoglou https://nebelwelt.net/teaching/17-527-SoftSec/ Spring 2017 Security goals Table of Contents

794 views • 26 slides
CSE484/CSE584 BASIC WEB SECURITY MODEL Dr. Benjamin Livshits Web Security Web Attacker Sets up

CSE484/CSE584 BASIC WEB SECURITY MODEL Dr. Benjamin Livshits Web Security Web Attacker Sets up

CSE484/CSE584 BASIC WEB SECURITY MODEL Dr. Benjamin Livshits Web Security Web Attacker Sets up malicious site visited by victim; no control of network Alice Network Security Network Attacker Intercepts and controls network communication

907 views • 44 slides
Web Security Cyber Security Lab Spring '10 04/15/10 Cyber Security Lab 1 Outline Web

Web Security Cyber Security Lab Spring '10 04/15/10 Cyber Security Lab 1 Outline Web

Web Security Cyber Security Lab Spring '10 04/15/10 Cyber Security Lab 1 Outline Web application weaknesses XSS AJAX weaknesses SQL Injection Attacks (Slides from Lars Olson)

588 views • 41 slides
Chapter 7: Unix Security Chapter 7: 1 Objectives Understand the security features provided

Chapter 7: Unix Security Chapter 7: 1 Objectives Understand the security features provided

Chapter 7: Unix Security Chapter 7: 1 Objectives Understand the security features provided by a typical operating system. Introduce the basic Unix security model. See how general security principles are implemented in an actual

733 views • 59 slides
CS 356 Lecture 27 Internet Security Protocols Spring 2013 Review Chapter 1: Basic

CS 356 Lecture 27 Internet Security Protocols Spring 2013 Review Chapter 1: Basic

CS 356 Lecture 27 Internet Security Protocols Spring 2013 Review Chapter 1: Basic Concepts and Terminology Chapter 2: Basic Cryptographic Tools Chapter 3 User Authentication Chapter 4 Access Control Lists

685 views • 30 slides
CS 356 Lecture 25 and 26 Operating System Security Spring 2013 Review Chapter 1: Basic

CS 356 Lecture 25 and 26 Operating System Security Spring 2013 Review Chapter 1: Basic

CS 356 Lecture 25 and 26 Operating System Security Spring 2013 Review Chapter 1: Basic Concepts and Terminology Chapter 2: Basic Cryptographic Tools Chapter 3 User Authentication Chapter 4 Access Control Lists

373 views • 36 slides
eDocument Security Awareness Model 2. eDocument Security Awareness Model THE EDOCUMENT SECURITY

eDocument Security Awareness Model 2. eDocument Security Awareness Model THE EDOCUMENT SECURITY

eDocument Security Awareness Model 2. eDocument Security Awareness Model THE EDOCUMENT SECURITY AWARENESS MODEL (ESAM) IS A SELF-ASSESSMENT TOOL GOAL OF THE EDOCUMENT SECURITY AWARENESS MODEL: Help governments with their secure document

579 views • 28 slides
Network Security: Continued CS 236 On-Line MS Program Networks and Systems Security Peter

Network Security: Continued CS 236 On-Line MS Program Networks and Systems Security Peter

Network Security: Continued CS 236 On-Line MS Program Networks and Systems Security Peter Reiher Lecture 10 Page 1 CS 236 Online Firewall Configuration and Administration Again, the firewall is the point of attack for intruders

375 views • 16 slides
Basic Ciphers Computer Security: Ensure security of data kept on the computer Ahmet Burak

Basic Ciphers Computer Security: Ensure security of data kept on the computer Ahmet Burak

8.10.2019 Information Security Basic Ciphers Computer Security: Ensure security of data kept on the computer Ahmet Burak Can Network Security: Hacettepe University Ensure security of communication over insecure medium

267 views • 10 slides
CS 356 Lecture 29 Wireless Security Spring 2013 Review Chapter 1: Basic Concepts and

CS 356 Lecture 29 Wireless Security Spring 2013 Review Chapter 1: Basic Concepts and

CS 356 Lecture 29 Wireless Security Spring 2013 Review Chapter 1: Basic Concepts and Terminology Chapter 2: Basic Cryptographic Tools Chapter 3 User Authentication Chapter 4 Access Control Lists Chapter 5

469 views • 30 slides
Introduction Operating System Security, Designing trusted operating systems Continued

Introduction Operating System Security, Designing trusted operating systems Continued

Introduction Operating System Security, Designing trusted operating systems Continued Encapsulated environments CS 239 Security for Networks and System Software May 22, 2002 Lecture 14 Lecture 14 Page 1 Page 2 CS 239, Spring

389 views • 15 slides
The lattice model (continued) This satisfies the definition of lattice. There is a single

The lattice model (continued) This satisfies the definition of lattice. There is a single

The lattice model (continued) This satisfies the definition of lattice. There is a single source and sink. The least upper bound of the security classes {x} and {z} is {x,z} and the greatest lower bound of the security classes {x,y} and

698 views • 31 slides
CS590-SWS/527 Software Security OS Security Asst. Prof. Mathias Payer Department of Computer

CS590-SWS/527 Software Security OS Security Asst. Prof. Mathias Payer Department of Computer

CS590-SWS/527 Software Security OS Security Asst. Prof. Mathias Payer Department of Computer Science Purdue University TA: Kyriakos Ispoglou https://nebelwelt.net/teaching/16-527-SoftSec/ Spring 2016 Unix security model Table of Contents

505 views • 27 slides
Web Security [Web Application Security] Spring 2020 Franziska (Franzi) Roesner

Web Security [Web Application Security] Spring 2020 Franziska (Franzi) Roesner

CSE 484 / CSE M 584: Computer Security and Privacy Web Security [Web Application Security] Spring 2020 Franziska (Franzi) Roesner franzi@cs.washington.edu Thanks to Dan Boneh, Dieter Gollmann, Dan Halperin, Yoshi Kohno, Ada Lerner, John

540 views • 29 slides
Operating System Security CS 111 Operating Systems Peter Reiher Lecture 17 CS 111 Page 1

Operating System Security CS 111 Operating Systems Peter Reiher Lecture 17 CS 111 Page 1

Operating System Security CS 111 Operating Systems Peter Reiher Lecture 17 CS 111 Page 1 Spring 2015 Outline Basic concepts in computer security Design principles for security Important security tools for operating systems

844 views • 56 slides
CS-527 Software Security OS Security Asst. Prof. Mathias Payer Department of Computer Science

CS-527 Software Security OS Security Asst. Prof. Mathias Payer Department of Computer Science

CS-527 Software Security OS Security Asst. Prof. Mathias Payer Department of Computer Science Purdue University TA: Kyriakos Ispoglou https://nebelwelt.net/teaching/17-527-SoftSec/ Spring 2017 Unix security model Table of Contents Unix

463 views • 28 slides
Model-based Security Security: ganzheitliche Engineering Eigenschaft: Jan Jrjens

Model-based Security Security: ganzheitliche Engineering Eigenschaft: Jan Jrjens

2 Herausforderung: Security Model-based Security Security: ganzheitliche Engineering Eigenschaft: Jan Jrjens Sicherheits-Mechanismen umgehen statt brechen. Sichere Systems aus Computing Department unsicheren Komponenten ? The

314 views • 6 slides
Web Security: Web Application Security Spring 2016 Franziska (Franzi) Roesner

Web Security: Web Application Security Spring 2016 Franziska (Franzi) Roesner

CSE 484 / CSE M 584: Computer Security and Privacy Web Security: Web Application Security Spring 2016 Franziska (Franzi) Roesner franzi@cs.washington.edu Thanks to Dan Boneh, Dieter Gollmann, Dan Halperin, Yoshi Kohno, John Manferdelli, John

874 views • 34 slides
Outline Security Principles and Policies Security terms and concepts CS 239 Security

Outline Security Principles and Policies Security terms and concepts CS 239 Security

Outline Security Principles and Policies Security terms and concepts CS 239 Security policies Computer Security Basic concepts Peter Reiher Security policies for real systems January 13, 2005 Lecture 2 Lecture 2 Page 1

347 views • 9 slides
secmon Basic Oracle Security Monitoring Basic Oracle Security Monitoring motivation &amp; start

secmon Basic Oracle Security Monitoring Basic Oracle Security Monitoring motivation &amp; start

secmon Basic Oracle Security Monitoring Basic Oracle Security Monitoring motivation &amp; start motivation &amp; start internet security evaluate password cracker to check security of passwords passwords problems problems default

703 views • 27 slides

More recommend