Security & Hacking

Author: Stan Benjamins

  • Week 1 Opdracht 5

    CSS Injectie

    Een CSS injectie is wanneer je via een post systeem, zoals een forum post of een log in screen, CSS kan invullen en dat het dan geëmbed wordt in de website door bijvoorbeeld door:

    <style>
body {
background-color: #AA0000;
}
</style>

    wat de achtergrond kleur aanpast naar rood. Maar je kan ook andere dingen aanpassen zoals font-family (het font van de website) of font-size (tekstgrootte).
    

    HTML Injectie

    Een HTML Injectie is wanner je via een post systeem, zoals een forum post of een log in screen, HTML kan laten embedden in een webpage en via daar de website te breken zoals gedaan in de code hieronder:

     <table>
  <tr>
    <th>Company</th>
    <th>Contact</th>
    <th>Country</th>
  </tr>
  <tr>
    <td>Alfreds Futterkiste</td>
    <td>Maria Anders</td>
    <td>Germany</td>
  </tr>
  <tr>
    <td>Centro comercial Moctezuma</td>
    <td>Francisco Chang</td>
    <td>Mexico</td>
  </tr>
</table>

    Dit stuk code plaatst een tabel op de webpage met het data dat in de tabellen staat. Je kan ook andere dingen invoegen zoals een form, een image of een link naar een andere webpage met embed.

    JavaScript Injectie

    Een JavaScript Injectie is wanneer je via een post systeem, zoals een form of een log in screen, JavaScript kan invoegen om bijvoorbeeld een alert te plaatsen zoals hieronder wordt:

    <script>
alert("This is an error.");
</script>

    Je kan ook bijvoorbeeld een for loop constructie gebruiken om de server altijd een functie uit te laten voeren.

    Cookies stelen

    Cookies stelen (ook bekend als cookie hijacking of session hijacking) er zijn meerdere manieren hiervoor hieronder staan ze:

    • Session fixation, waarbij de user’s session ID die bekent is bij degene die de cookies wil stelen.
    • Session side jacking, waarbij de aanvaller packet sniffing gebruikt om netwerk verkeer uit te lezen tussen twee partijen om de cookies te stelen
    • Cross-site scripting, waarbij de attacker de user computer verleid om een stuk code te runnen dat gezien wordt als betrouwbaar gezien, daardoor kan de aanvaller een kopie van de cookies krijgen of andere acties uitvoeren
    • Malware of andere ongewenste software kunnen gebruikt worden om cookies te stelen en kopiëren of andere ongewenste acties uit te voeren.