Möchtest du mit deinem Team teilnehmen? Profitiere von unseren Gruppenrabatten! Schreib an events@dpunkt.de

Finding and Fixing DOM-based XSS – with Static Analysis

Cross-Site Scripting (XSS) consistently ranks highest in the list of the most prevalent security problems within web applications. In particular, DOM-based XSS exposes one of the most severe issues facing Single Page Applications and Electron Apps.

This talk will examine the root causes of DOM-based XSS and provide fundamental insights into using static analysis to detect problematic code at scale. Furthermore, practical tips will show how to ease adoption of these techniques when dealing with potential false positives or large codebases. In conclusion, there will be an outlook on upcoming web standards which aim to support web developers to tackle DOM-based XSS once and for all

Vorkenntnisse

  • Ein grobes Verständnis von JavaScript und HTML reicht aus
  • Der Vortrag wird XSS erklären, genau so wie er auch statische Sourcecode-Analyse erklärt
  • Motivation und Ausblick zielen eher auf praktische Anwendbarkeit ab, aber der Vortrag ist auch ohne direkten Einsatz von eslint nützlich

Lernziele

  • Ursachen von DOM-based Cross-Site-Scripting (XSS) im Quelltext
  • Wie JavaScript-Linter funktionieren
  • Vor- und Nachteile von statischer Sourcecode-Analyse
  • Wie man Sicherheitslücken in Legacy-/existierendem Code aufdeckt und graduell eliminiert
  • Wie man eigene Linter-Plug-ins entwickeln könnte

Speaker

 

Frederik Braun
Frederik Braun arbeitet als Security Engineer für Mozilla Firefox in Berlin. Als Mitglied der W3C Web Application Security Working Group hat er außerdem den Standard "Subresource Integrity" mitentwickelt. Wenn Frederik nicht gerade arbeitet, liest er entweder einen guten Roman oder fährt mit seiner vierköpfigen Familie auf langen Radreisen quer durch Europa. Oder beides.


Silber-Sponsor

adesso

enterJS-Newsletter

Du möchtest über die enterJS
auf dem Laufenden gehalten werden?

 

Anmelden