web security basic web security model continued spring
play

Web Security: Basic Web Security Model [continued] - PowerPoint PPT Presentation

Oct 12, 2022 •316 likes •510 views

CSE 484 / CSE M 584: Computer Security and Privacy Web Security: Basic Web Security Model [continued] Spring 2015 Franziska (Franzi) Roesner

  1. CSE ¡484 ¡/ ¡CSE ¡M ¡584: ¡ ¡Computer ¡Security ¡and ¡Privacy ¡ ¡ Web ¡Security: ¡ Basic ¡Web ¡Security ¡Model ¡ [continued] ¡ Spring ¡2015 ¡ ¡ Franziska ¡(Franzi) ¡Roesner ¡ ¡ franzi@cs.washington.edu ¡ Thanks ¡to ¡Dan ¡Boneh, ¡Dieter ¡Gollmann, ¡Dan ¡Halperin, ¡Yoshi ¡Kohno, ¡John ¡Manferdelli, ¡John ¡Mitchell, ¡ John ¡Ousterhout, ¡Vitaly ¡Shmatikov, ¡Bennet ¡Yee, ¡and ¡many ¡others ¡for ¡sample ¡slides ¡and ¡materials ¡... ¡

  2. Admin ¡ • Homework ¡2 ¡(crypto) ¡is ¡out ¡(due ¡5pm ¡on ¡May ¡8) ¡ • Lab ¡1 ¡due ¡5pm ¡ this ¡Friday ¡ • Lab ¡2 ¡(web ¡security) ¡will ¡be ¡out ¡sometime ¡next ¡week ¡ – We’ll ¡ask ¡you ¡for ¡group ¡names ¡(up ¡to ¡3 ¡people) ¡and ¡ passwords ¡soon ¡ • Looking ¡ahead: ¡ – Friday: ¡guest ¡lecture ¡(Chris ¡Hansen, ¡Seattle ¡PD) ¡ – Monday: ¡web ¡application ¡security ¡ – Wednesday: ¡web ¡session ¡management ¡ – Friday: ¡guest ¡lecture ¡(Ben ¡Livshits, ¡MSR) ¡on ¡web ¡malware ¡ 4/29/15 ¡ CSE ¡484 ¡/ ¡CSE ¡M ¡584 ¡-­‑ ¡Spring ¡2015 ¡ 2 ¡

  3. Recall: ¡Two ¡Sides ¡of ¡Web ¡Security ¡ • Web ¡browser ¡ – Responsible ¡for ¡securely ¡confining ¡Web ¡content ¡ presented ¡by ¡visited ¡websites ¡ • Web ¡applications ¡ – Online ¡merchants, ¡banks, ¡blogs, ¡Google ¡Apps ¡… ¡ – Mix ¡of ¡server-­‑side ¡and ¡client-­‑side ¡code ¡ • Server-­‑side ¡code ¡written ¡in ¡PHP, ¡Ruby, ¡ASP, ¡JSP… ¡runs ¡on ¡ the ¡Web ¡server ¡ • Client-­‑side ¡code ¡written ¡in ¡JavaScript… ¡runs ¡in ¡the ¡Web ¡ browser ¡ – Many ¡potential ¡bugs: ¡XSS, ¡XSRF, ¡SQL ¡injection ¡ 4/29/15 ¡ CSE ¡484 ¡/ ¡CSE ¡M ¡584 ¡-­‑ ¡Spring ¡2015 ¡ 3 ¡

  4. Recall: ¡Browser ¡Sandbox ¡ • Goal: ¡safely ¡execute ¡JavaScript ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ code ¡provided ¡by ¡a ¡website ¡ – No ¡direct ¡file ¡access, ¡limited ¡access ¡to ¡OS, ¡network, ¡ browser ¡data, ¡content ¡that ¡came ¡from ¡other ¡websites ¡ • Same ¡origin ¡policy ¡ – Can ¡only ¡access ¡properties ¡of ¡documents ¡and ¡windows ¡ from ¡the ¡same ¡domain, ¡protocol, ¡and ¡port ¡ 4/29/15 ¡ CSE ¡484 ¡/ ¡CSE ¡M ¡584 ¡-­‑ ¡Spring ¡2015 ¡ 4 ¡

  5. Same-­‑Origin ¡Policy ¡ Website ¡origin ¡= ¡(scheme, ¡domain, ¡port) ¡ [Example ¡thanks ¡to ¡Wikipedia.] ¡

  6. Same-­‑Origin ¡Policy: ¡DOM ¡ Only ¡code ¡from ¡same ¡origin ¡can ¡access ¡HTML ¡ elements ¡on ¡another ¡site ¡(or ¡in ¡an ¡iframe). ¡ www.example.com ¡ www.evil.com ¡ ¡ ¡ ¡ ¡ ¡ ¡ www.example.co www.example.co ¡ ¡ m/iframe.html ¡ m/iframe.html ¡ ¡ ¡ ¡ ¡ ¡ ¡ www.example.com ¡(the ¡ www.evil.com ¡(the ¡parent) ¡ parent) ¡ can ¡access ¡HTML ¡ cannot ¡access ¡HTML ¡ elements ¡in ¡the ¡iframe ¡ ¡ elements ¡in ¡the ¡iframe ¡ ¡ (and ¡vice ¡versa). ¡ (and ¡vice ¡versa). ¡

  7. Who ¡Can ¡Navigate ¡a ¡Frame? ¡ awglogin ¡ window.open("https://www.attacker.com/...", ¡"awglogin") ¡ window.open("https://www.google.com/...") ¡ If ¡bad ¡frame ¡can ¡navigate ¡sibling ¡frames, ¡attacker ¡gets ¡password! ¡ 4/29/15 ¡ CSE ¡484 ¡/ ¡CSE ¡M ¡584 ¡-­‑ ¡Spring ¡2015 ¡ 7 ¡

  8. Gadget ¡Hijacking ¡in ¡Mashups ¡ top.frames[1].location ¡= ¡"http:/www.attacker.com/... “ ; ¡ top.frames[2].location ¡= ¡"http:/www.attacker.com/... “ ; ¡ ... ¡ ¡ 4/29/15 ¡ CSE ¡484 ¡/ ¡CSE ¡M ¡584 ¡-­‑ ¡Spring ¡2015 ¡ 8 ¡

  9. Gadget ¡Hijacking ¡in ¡Mashups ¡ Solution: ¡Modern ¡browsers ¡only ¡allow ¡a ¡frame ¡to ¡navigate ¡its ¡“descendent” ¡frames ¡ 4/29/15 ¡ CSE ¡484 ¡/ ¡CSE ¡M ¡584 ¡-­‑ ¡Spring ¡2015 ¡ 9 ¡

  10. Same-­‑Origin ¡Policy: ¡Cookies ¡ • For ¡cookies: ¡ Only ¡code ¡from ¡same ¡origin ¡can ¡ read/write ¡cookies ¡associated ¡with ¡an ¡origin. ¡ – Can ¡be ¡set ¡via ¡Javascript ¡ ( document.cookie=… ) ¡or ¡ via ¡ Set-Cookie ¡header ¡in ¡HTTP ¡response. ¡ – Can ¡narrow ¡to ¡subdomain/path ¡(e.g., ¡ http://example.com ¡ can ¡set ¡cookie ¡scoped ¡to ¡ http://account.example.com/login .) ¡(Caveats ¡soon!) ¡ – Secure ¡cookie: ¡send ¡only ¡via ¡HTTPS. ¡ – HttpOnly ¡cookie: ¡can’t ¡access ¡using ¡JavaScript. ¡

  11. Same-­‑Origin ¡Policy: ¡Cookies ¡ • Browsers ¡automatically ¡include ¡cookies ¡with ¡ HTTP ¡requests. ¡ • First-­‑party ¡cookie: ¡belongs ¡to ¡top-­‑level ¡domain. ¡ • Third-­‑party ¡cookie: ¡belongs ¡to ¡domain ¡of ¡ embedded ¡content. ¡ Bar’s ¡Server ¡ www.bar.com’s ¡ ¡ www.bar.com ¡ cookie ¡(1 st ¡party) ¡ ¡ ¡ www.foo.com’s ¡ ¡ ¡ www.foo.com ¡ ¡ Foo’s ¡Server ¡ cookie ¡(3 rd ¡party) ¡ ¡ ¡

  12. Same ¡Origin ¡Policy: ¡Cookie ¡Writing ¡ domain: ¡ ¡any ¡domain ¡suffix ¡of ¡URL-­‑hostname, ¡except ¡ top-­‑level ¡domain ¡(TLD) ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡Which ¡cookies ¡can ¡be ¡set ¡by ¡ login .site.com ? ¡ ¡ allowed ¡domains ¡ disallowed ¡domains ¡ ü ¡ û ¡ ¡ login.site.com ¡ user.site.com ¡ ü ¡ û ¡ ¡.site.com ¡ othersite.com ¡ ¡ û ¡ .com ¡ ¡ ¡ ¡ ¡ ¡ login.site.com ¡can ¡set ¡cookies ¡for ¡all ¡of ¡ .site.com ¡ ¡ ¡but ¡not ¡for ¡another ¡site ¡or ¡TLD ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡Problematic ¡for ¡sites ¡like ¡.washington.edu ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ path: ¡ ¡anything ¡ 4/29/15 ¡ CSE ¡484 ¡/ ¡CSE ¡M ¡584 ¡-­‑ ¡Spring ¡2015 ¡ 12 ¡

  13. Who ¡Set ¡the ¡Cookie? ¡ • Alice ¡logs ¡in ¡at ¡login.site.com ¡ ¡ ¡ ¡ ¡ – login.site.com ¡sets ¡session-­‑id ¡cookie ¡for ¡.site.com ¡ • Alice ¡visits ¡evil.site.com ¡ – Overwrites ¡.site.com ¡session-­‑id ¡cookie ¡with ¡session-­‑id ¡of ¡ user ¡ “ badguy ” ¡-­‑-­‑ ¡not ¡a ¡violation ¡of ¡SOP! ¡ • Alice ¡visits ¡cse484.site.com ¡to ¡submit ¡homework ¡ – cse484.site.com ¡thinks ¡it ¡is ¡talking ¡to ¡ “ badguy ” ¡ • Problem: ¡cse484.site.com ¡expects ¡session-­‑id ¡from ¡ ¡ login.site.com, ¡cannot ¡tell ¡that ¡session-­‑id ¡cookie ¡ has ¡been ¡overwritten ¡by ¡a ¡ “ sibling ” domain ¡ 4/29/15 ¡ CSE ¡484 ¡/ ¡CSE ¡M ¡584 ¡-­‑ ¡Spring ¡2015 ¡ 13 ¡

  14. Path ¡Separation ¡is ¡Not ¡Secure ¡ • Cookie ¡SOP: ¡path ¡separation ¡ – When ¡the ¡browser ¡visits ¡ x.com/A , ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ it ¡does ¡not ¡send ¡the ¡cookies ¡of ¡ x.com/B ¡ – This ¡is ¡done ¡for ¡efficiency, ¡not ¡security! ¡ ¡ • DOM ¡SOP: ¡no ¡path ¡separation ¡ – A ¡script ¡from ¡ x.com/A ¡can ¡read ¡DOM ¡of ¡ x.com/B ¡ ¡ ¡ ¡ <iframe src=“x.com/B"></iframe> alert(frames[0].document.cookie); 4/29/15 ¡ CSE ¡484 ¡/ ¡CSE ¡M ¡584 ¡-­‑ ¡Spring ¡2015 ¡ 14 ¡

  15. Same-­‑Origin ¡Policy: ¡Scripts ¡ • When ¡a ¡website ¡ includes ¡a ¡script , ¡that ¡script ¡ runs ¡in ¡the ¡context ¡of ¡the ¡embedding ¡website. ¡ www.example.com ¡ The ¡code ¡from ¡ ¡ <head> http://otherdomain.com ¡ ¡ <script src=”http:// ¡ can ¡access ¡HTML ¡elements ¡ ¡ otherdomain.com/ ¡ and ¡cookies ¡on ¡ library.js" ></script> ¡ </head> www.example.com. ¡ ¡ ¡ ¡ • If ¡code ¡in ¡the ¡script ¡sets ¡a ¡cookie, ¡under ¡what ¡ origin ¡will ¡it ¡be ¡set? ¡ ¡

Download Presentation
Download Policy: The content available on the website is offered to you 'AS IS' for your personal information and use only. It cannot be commercialized, licensed, or distributed on other websites without prior consent from the author. To download a presentation, simply click this link. If you encounter any difficulties during the download process, it's possible that the publisher has removed the file from their server.

Recommend

Web Security: Basic Web Security Model Spring 2016 Franziska (Franzi) Roesner

Web Security: Basic Web Security Model Spring 2016 Franziska (Franzi) Roesner

CSE 484 / CSE M 584: Computer Security and Privacy Web Security: Basic Web Security Model Spring 2016 Franziska (Franzi) Roesner franzi@cs.washington.edu Thanks to Dan Boneh, Dieter Gollmann, Dan Halperin, Yoshi Kohno, John Manferdelli, John

498 views • 31 slides
A (re)introduction to Spring Security Agenda Before Spring Security: Acegi security

A (re)introduction to Spring Security Agenda Before Spring Security: Acegi security

A (re)introduction to Spring Security Agenda Before Spring Security: Acegi security Introducing Spring Security View layer security Whats coming in Spring Security 3 E-mail: craig@habuma.com Blog: http://www.springloaded.info

452 views • 19 slides
Web Security [Browser Security Model] Spring 2020 Franziska (Franzi) Roesner

Web Security [Browser Security Model] Spring 2020 Franziska (Franzi) Roesner

CSE 484 / CSE M 584: Computer Security and Privacy Web Security [Browser Security Model] Spring 2020 Franziska (Franzi) Roesner franzi@cs.washington.edu Thanks to Dan Boneh, Dieter Gollmann, Dan Halperin, Yoshi Kohno, Ada Lerner, John

810 views • 24 slides
Secure Networks Starting with Basic Reference Model for Security Architecture A Historic Review

Secure Networks Starting with Basic Reference Model for Security Architecture A Historic Review

Secure Networks Starting with Basic Reference Model for Security Architecture A Historic Review of a Nascent Industry Seattle University CSSE 572 Spring 2008 Mohsen Banan Guest Speaker May 15, 2008 Less Talked About Security

215 views • 19 slides
CS-527 Software Security Basic Security Principles Asst. Prof. Mathias Payer Department of

CS-527 Software Security Basic Security Principles Asst. Prof. Mathias Payer Department of

CS-527 Software Security Basic Security Principles Asst. Prof. Mathias Payer Department of Computer Science Purdue University TA: Kyriakos Ispoglou https://nebelwelt.net/teaching/17-527-SoftSec/ Spring 2017 Security goals Table of Contents

794 views • 26 slides
CSE484/CSE584 BASIC WEB SECURITY MODEL Dr. Benjamin Livshits Web Security Web Attacker Sets up

CSE484/CSE584 BASIC WEB SECURITY MODEL Dr. Benjamin Livshits Web Security Web Attacker Sets up

CSE484/CSE584 BASIC WEB SECURITY MODEL Dr. Benjamin Livshits Web Security Web Attacker Sets up malicious site visited by victim; no control of network Alice Network Security Network Attacker Intercepts and controls network communication

907 views • 44 slides
Web Security Cyber Security Lab Spring '10 04/15/10 Cyber Security Lab 1 Outline Web

Web Security Cyber Security Lab Spring '10 04/15/10 Cyber Security Lab 1 Outline Web

Web Security Cyber Security Lab Spring '10 04/15/10 Cyber Security Lab 1 Outline Web application weaknesses XSS AJAX weaknesses SQL Injection Attacks (Slides from Lars Olson)

588 views • 41 slides
Chapter 7: Unix Security Chapter 7: 1 Objectives Understand the security features provided

Chapter 7: Unix Security Chapter 7: 1 Objectives Understand the security features provided

Chapter 7: Unix Security Chapter 7: 1 Objectives Understand the security features provided by a typical operating system. Introduce the basic Unix security model. See how general security principles are implemented in an actual

733 views • 59 slides
CS 356 Lecture 27 Internet Security Protocols Spring 2013 Review Chapter 1: Basic

CS 356 Lecture 27 Internet Security Protocols Spring 2013 Review Chapter 1: Basic

CS 356 Lecture 27 Internet Security Protocols Spring 2013 Review Chapter 1: Basic Concepts and Terminology Chapter 2: Basic Cryptographic Tools Chapter 3 User Authentication Chapter 4 Access Control Lists

685 views • 30 slides
CS 356 Lecture 25 and 26 Operating System Security Spring 2013 Review Chapter 1: Basic

CS 356 Lecture 25 and 26 Operating System Security Spring 2013 Review Chapter 1: Basic

CS 356 Lecture 25 and 26 Operating System Security Spring 2013 Review Chapter 1: Basic Concepts and Terminology Chapter 2: Basic Cryptographic Tools Chapter 3 User Authentication Chapter 4 Access Control Lists

373 views • 36 slides
eDocument Security Awareness Model 2. eDocument Security Awareness Model THE EDOCUMENT SECURITY

eDocument Security Awareness Model 2. eDocument Security Awareness Model THE EDOCUMENT SECURITY

eDocument Security Awareness Model 2. eDocument Security Awareness Model THE EDOCUMENT SECURITY AWARENESS MODEL (ESAM) IS A SELF-ASSESSMENT TOOL GOAL OF THE EDOCUMENT SECURITY AWARENESS MODEL: Help governments with their secure document

579 views • 28 slides
Network Security: Continued CS 236 On-Line MS Program Networks and Systems Security Peter

Network Security: Continued CS 236 On-Line MS Program Networks and Systems Security Peter

Network Security: Continued CS 236 On-Line MS Program Networks and Systems Security Peter Reiher Lecture 10 Page 1 CS 236 Online Firewall Configuration and Administration Again, the firewall is the point of attack for intruders

375 views • 16 slides
Basic Ciphers Computer Security: Ensure security of data kept on the computer Ahmet Burak

Basic Ciphers Computer Security: Ensure security of data kept on the computer Ahmet Burak

8.10.2019 Information Security Basic Ciphers Computer Security: Ensure security of data kept on the computer Ahmet Burak Can Network Security: Hacettepe University Ensure security of communication over insecure medium

267 views • 10 slides
CS 356 Lecture 29 Wireless Security Spring 2013 Review Chapter 1: Basic Concepts and

CS 356 Lecture 29 Wireless Security Spring 2013 Review Chapter 1: Basic Concepts and

CS 356 Lecture 29 Wireless Security Spring 2013 Review Chapter 1: Basic Concepts and Terminology Chapter 2: Basic Cryptographic Tools Chapter 3 User Authentication Chapter 4 Access Control Lists Chapter 5

469 views • 30 slides
Introduction Operating System Security, Designing trusted operating systems Continued

Introduction Operating System Security, Designing trusted operating systems Continued

Introduction Operating System Security, Designing trusted operating systems Continued Encapsulated environments CS 239 Security for Networks and System Software May 22, 2002 Lecture 14 Lecture 14 Page 1 Page 2 CS 239, Spring

389 views • 15 slides
The lattice model (continued) This satisfies the definition of lattice. There is a single

The lattice model (continued) This satisfies the definition of lattice. There is a single

The lattice model (continued) This satisfies the definition of lattice. There is a single source and sink. The least upper bound of the security classes {x} and {z} is {x,z} and the greatest lower bound of the security classes {x,y} and

698 views • 31 slides
Optimizing early steps of long-read genome assembly ephane VARR Pierre MARIJON, Ma el

Optimizing early steps of long-read genome assembly ephane VARR Pierre MARIJON, Ma el

Optimizing early steps of long-read genome assembly ephane VARR Pierre MARIJON, Ma el KERBIRIOU, Jean-St E, Rayan CHIKHI November 20, 2018 team, Lille 1 Whats a long-read? Third generation reads are : Long &gt; 10kb 1

587 views • 16 slides
Operating Experience with the New RHIC Control Room. Peter Ingrassia. Collider-Accelerator

Operating Experience with the New RHIC Control Room. Peter Ingrassia. Collider-Accelerator

Operating Experience with the New RHIC Control Room. Peter Ingrassia. Collider-Accelerator Department. 27 October, 2014 After six years of planning and construction RHIC operation began in the third generation control room in January

580 views • 25 slides
Overview/Questions Where did computers come from? When were computers first discovered?

Overview/Questions Where did computers come from? When were computers first discovered?

CS101 Lecture 29: Brief History of Computing &quot;There is no reason anyone would want a computer in their home.&quot; -- Ken Olson, founder and CEO of Digital Equipment Corp., 1977 John Magee 1 August 2013 Some images courtesy Wikimedia

238 views • 19 slides
The Multilingual Web Where Are We? Next Generation Localisation Josef van Genabith, CNGL

The Multilingual Web Where Are We? Next Generation Localisation Josef van Genabith, CNGL

The Multilingual Web Where Are We? Next Generation Localisation Josef van Genabith, CNGL &amp; NCLT, DCU Next Generation Localisation The Centre for Next Generation Localisation What is Localisation? Mega-Trends in Localisation/Web Where

238 views • 20 slides
Adaptive Multilevel BDDC Jan Mandel Includes joint work with Clark Dohrmann, Bed rich Soused

Adaptive Multilevel BDDC Jan Mandel Includes joint work with Clark Dohrmann, Bed rich Soused

Adaptive Multilevel BDDC Jan Mandel Includes joint work with Clark Dohrmann, Bed rich Soused k, Jakub stek, Pavel Burda, Marta S Cert kov a, and Jaroslav Novotn y. Center for Computational Mathematics and

955 views • 49 slides
Consistency algorithms Chapter 3 Fall 2010 1 Consistency methods Approximation of inference:

Consistency algorithms Chapter 3 Fall 2010 1 Consistency methods Approximation of inference:

Consistency algorithms Chapter 3 Fall 2010 1 Consistency methods Approximation of inference: Arc, path and i-consistecy Methods that transform the original network into tighter and tighter representations Fall 2010 2 Arc-consistency X

834 views • 60 slides
WORLDS BEST WORKFORCE Lakes Country Service Cooperative Western Lakes Center of Excellence

WORLDS BEST WORKFORCE Lakes Country Service Cooperative Western Lakes Center of Excellence

WORLDS BEST WORKFORCE Lakes Country Service Cooperative Western Lakes Center of Excellence Learning Objective Participants will: Begin writing a plan that will address WBWF legislation Understand the WBWF legislation and its five

567 views • 30 slides
BDDC Domain Decomposition Algorithms Olof B. Widlund Courant Institute, New York University 75th

BDDC Domain Decomposition Algorithms Olof B. Widlund Courant Institute, New York University 75th

BDDC Domain Decomposition Algorithms Olof B. Widlund Courant Institute, New York University 75th Anniversary of Mathematics of Computation November 3, 2018 Olof B. Widlund BDDC Domain Decomposition Algorithms Problems considered BDDC stands

1.42k views • 88 slides

More recommend