RUB » Bibliotheksportal

Ashar Javed

• This dissertation looks into three important areas of web applications i.e., input handling, account recovery and privacy. For the input handling part, we look into popular desktop & mobile applications including Alexa top 100, PHP based XSS protections and WYSIWYG editors. We also propose three XSS mitigation solutions. The solutions are based on regular expressions, context aware encoding and fine-grained policy language respectively. Modsecurity is using our regular expression based solution while a popular CMS is using our context-aware mitigation approach. Further, we also found an attack called Trusted Friend Attack (TFA) on Facebook's password recovery mechanism. Furthermore, this thesis also shed light on Chain Trusted Friend Attack (CTFA) on Facebook along with a study of 50 popular social networking sites's account recovery procedures. In the end, we present TTPCookie, a fine-grained Firefox add-on for better control over cookies in order to minimize privacy risks.
• Diese Dissertation befasst sich mit drei wichtigen Bereichen bei Webapplikationen: Dem Umgang mit Benutzereingaben, der "Passwort vergessen"-Funktionen sowie der Privatsphäre. Wir betrachten bekannte Webapplikationen (u.a. Alexa Top 100), PHP basierte XSS Schutzmechanismen und WYSIWYG Editoren. Daraus leiten wir drei XSS Abwehrmöglichkeiten ab. Diese basieren auf regulären Ausdrücken, applikationskontext bezogener Kodierung sowie einer granularen Richtlinien-Sprache. Zur Abwehr von XSS nutzt "Modsecurity" u.a. unsere regulären Ausdrücke, unsere Richtlinien-Sprache kommt in einem bekannten CMS zum Einsatz. Am Beispiel von Facebook‘s "Passwort vergessen"-Funktion erörtern wir die sog. "Trusted Friend Attack" (TFA) sowie die "Chain Trusted Friend Attack" (CTFA). Zudem betrachten wir die "Passwort-vergessen" Funktionen 50 populärer sozialer Netzwerke. Zur Stärkung der Privatsphäre stellen wir abschließend TTPCookie, eine Firefox Browsererweiterung, vor.