| Description |
1 online resource (222 pages) |
| Contents |
Vorwort; Inhaltsverzeichnis; I Einleitung und Grundlagen; 1 Einleitung; 2 Grundlagen; 2.1 Hypertext Transfer Protocol; 2.2 Sprachen; 2.2.1 Hypertext Markup Language; 2.2.1.1 Formulare; 2.2.1.2 Framesets und Frames; 2.2.1.3 Eingebettete Frames; 2.2.1.4 HTML5; 2.2.1.5 Validierung; 2.2.2 Cascading Style Sheets; 2.2.2.1 Anwendungsbeispiel; 2.2.3 JavaScript; 2.2.3.1 Anwendungsbeispiel; 2.2.3.2 Document Object Model; 2.2.4 Extensible Markup Language; 2.2.4.1 Asynchronous JavaScript and XML; 2.2.4.2 Scalable Vector Graphics; 2.3 Anmerkungen und Literaturtipps |
|
II Angriffe und Sicherheitsmechanismen im Webbrowser3 Bekannte Angriffe und Schwachstellen; 3.1 Social Engineering und Information Disclosure; 3.2 Logical Flaws; 3.3 Cross-Site Request Forgery; 3.4 Cross-Site Scripting; 3.4.1 Nichtpersistentes XSS; 3.4.2 Persistentes XSS; 3.4.3 DOM-basiertes XSS; 3.5 Session Hijacking; 4 Sicherheitsmechanismen im Webbrowser; 4.1 Same-Origin-Policy; 4.2 HTML5-Angriffe; 4.2.1 Selbstauslösende Event-Handler mit autofocus; 4.2.2 XSS via formaction; 4.3 Opera und SVG; III UI-Redressing und Clickjacking; 5 Einordnung von UI-Redressing und Clickjacking |
|
6 UI-Redressing -- Definition und Angriffe6.1 Clickjacking; 6.1.1 Classic-Clickjacking; 6.1.2 Likejacking und Sharejacking; 6.1.3 Ein Mausklick genügt; 6.1.4 Cursorjacking; 6.1.5 Filejacking; 6.1.6 Drag & Drop-Operationen; 6.1.7 Content extraction; 6.1.8 Cookiejacking; 6.1.9 Tabnabbing und Tapjacking; 6.1.9.1 Ausnutzung von window.open; 6.1.9.2 Chrome to Phone fernsteuern; 6.1.10 Kombinationen mit CSRF, XSS und CSS; 6.1.10.1 Der Twitter-Wurm; 6.1.10.2 Eventjacking; 6.1.10.3 Classjacking mit jQuery; 6.1.10.4 Pointer-Events; 6.1.10.5 Whole-page Clickjacking; 6.2 Strokejacking |
|
6.2.1 Keylogging ohne die Verwendung von Skriptsprachen6.3 Pop-up-Blocker umgehen & Event-Recycling; 6.3.1 Double-Clickjacking; 6.4 SVG-Maskierungen; 6.5 Clickjacking Tool; 7 Die Abwehrmaßnahmen: Frame-Busting; 7.1 JavaScript; 7.2 X-Frame-Options; 7.3 Content Security Policy; 7.4 NoScript; 8 Angriffe auf Abwehrmaßnahmen: Busting-Frame-Busting; 8.1 Mobile und nicht mobile Webseiten; 8.2 Doppeltes Framing; 8.3 onBeforeUnload-Event-Handler ausnutzen; 8.3.1 Normales Verhalten; 8.3.2 Der HTTP-Header 204; 8.4 XSS-Filter im IE und Chrome; 8.4.1 Microsoft Internet Explorer; 8.4.2 Google Chrome |
|
8.5 JavaScript deaktivieren8.5.1 Beschränkte Frames im Internet Explorer; 8.5.2 Das sandbox-Attribut; 8.5.3 Der Design-Modus; 8.6 Sicherheitsverletzungen durch das location-Objekt; 8.6.1 Microsoft Internet Explorer; 8.6.2 Apple Safari; 8.7 Ausnahmen beim Referrer benutzen; 9 Das Katz- und Mausspiel; 9.1 Der "ultimative" Frame-Busting-Code; 9.2 Die defineProperty-Funktion; IV Ergänzende Informationen; 10 Statistiken; 10.1 Frame-Buster; 10.2 X-Frame-Options; 10.3 Transparente Frames und Clickjacking-Angriffe; 11 Die häufigsten Irrtümer; 11.1 Clickjacking ist UI-Redressing |
| Summary |
Hauptbeschreibung Das Buch befasst sich mit den Themen Clickjacking und UI-Redressing. Hierbei handelt es sich um eine Art der Webseitenmanipulation, um Benutzer vermeintlich sichere Aktionen ausführen zu lassen. Ziel des Buches ist es ein tiefgehendes und praxisorientiertes Verständnis über derzeit vorhandene Angriffe zu vermitteln. Dabei werden verschiedene Angriffsszenarien und entsprechende Gegenmaßnahmen vorgestellt, u.a. ein automatisches Erkennungssystem für Clickjacking. Mit Blick auf die Zukunft von UI-Redressing wird analysiert, welchen Effekt diese Technologie auf zukünft |
| Notes |
11.2 Clickjacking benötigt JavaScript-Code |
| Bibliography |
Includes bibliographical references and index |
| Notes |
Print version record |
| Subject |
Computer security
|
|
Electronic commerce -- Corrupt practices
|
|
Internet advertising -- Corrupt practices
|
|
Computer Security
|
|
Computer security
|
| Form |
Electronic book
|
| ISBN |
9783864911149 |
|
3864911141 |
|
389864796X |
|
9783898647960 |
|
3389864792 |
|
9783389864791 |
|
