Original title:
Detekce podezřelých síťových požadavků webových stránek
Translated title:
Detection of Suspicious Requests Made by Web Pages
Authors:
Pohner, Pavel ; Burget, Radek (referee) ; Polčák, Libor (advisor) Document type: Master’s theses
Year:
2020
Language:
cze Publisher:
Vysoké učení technické v Brně. Fakulta informačních technologií Abstract:
[cze][eng]
Cílem této práce je zamezit webovým stránkám ve veřejné síti internet zneužívat webový prohlížeč uživatele jako proxy (prostředníka). V řešení tohoto problému byly využity znalosti o bezpečnostním mechanismu moderních prohlížečů - same-origin policy a možnostech implementace prohlížečových rozšíření pomocí WebExtensions. Navržené řešení využívá aplikační rozhraní WebRequest, které se zaměřuje na zachytávání HTTP požadavků, a rozšiřuje funkcionalitu již existujícího prohlížečového rozšíření JavaScript Restrictor o schopnost detekce a ochrany webového prohlížeče před zneužitím jako proxy pro skenování a vykonávání akcí ve vnitřní síti uživatele. Implementované řešení bylo otestováno a přijato jako součást JavaScript Restrictoru. Hlavním přínosem této práce je ochrana před možným zneužitím prohlížeče jako proxy, která v existujících rozšířeních chybí.
The purpose of this thesis is to prevent websites located in public internet from accessing user's internal network through web browser. Acquired knowdledge about modern browser's security mechanism - same-origin policy and options of implementing the web browser extensions using WebExtensions, was used in the solution. Proposed solution is based on WebRequest API, which intercepts and modifies HTTP requests, and extends functionality of existing browser extension JavaScript Restrictor with the ability to detect and prevent the browser to be abused as a proxy for scanning and accessing user's internal network. The implemented solution was tested and accepted as a part of JavaScript Restrictor. The main benefit of this thesis is the protection from possible abusement of a web browser as a proxy, which is not present in existing extensions.
Keywords:
abusement of the web browser as proxy; JavaScript; JavaScript Restrictor; same-origin policy; web browser security; WebExtensions; WebRequest API; bezpečnost internetových prohlížečů; JavaScript; JavaScript Restrictor; politika stejného původu; WebExtensions; WebRequest API; zneužití prohlížeče jako proxy
Institution: Brno University of Technology
(web)
Document availability information: Fulltext is available in the Brno University of Technology Digital Library. Original record: http://hdl.handle.net/11012/192454