Název: Nové přístupy k automatické detekci XSS chyb
Překlad názvu: New Approaches Towards Automated XSS Flaw Detection
Autoři: Steinhauser, Antonín ; Tůma, Petr (vedoucí práce) ; Vorobyov, Kostyantyn (oponent) ; Bureš, Miroslav (oponent)
Typ dokumentu: Disertační práce
Rok: 2020
Jazyk: eng
Abstrakt: [eng] [cze]
Cross-site scripting (XSS) flaws are a class of security flaws particular to web applications. XSS flaws generally allow an attacker to supply affected web application with a malicious input that is then included in an output page without being properly encoded (sanitized). Recent advances in web applica- tion technologies and web browsers introduced various prevention mechanisms, narrowing down the scope of possible XSS attacks, but those mechanisms are usually selective and prevent only a subset of XSS flaws. Among the types of XSS flaws that are largely omitted are the context- sensitive XSS flaws. A context-sensitive XSS flaw occurs when the potentially malicious input is sanitized by the affected web application before being included in the output page, but the sanitization is not appropriate for the browser con- text of the sanitized value. Another type of XSS flaws, which is already better known, but still insufficiently prevented, are the stored XSS flaws. Applica- tions affected by the stored XSS flaws store the unsafe client input in persistent storage and return it in another HTTP response to (possibly) another client. Our work is focused on advancing state-of-the-art automated detection of those two types of XSS flaws using various analysis techniques ranging from purely static analysis to dynamic graybox analysis. Cross-site scripting (XSS) chyby tvoří jednu z kategorií bezpečnostních chyb webových aplikací. Útočník díky těmto chybám může do zranitelné webové aplikace podstrčit vlastní škodlivý vstup, který je poté zobrazen ve výstupní webové stránce, aniž by byl patřičně zakódován (sanitizován). Pokrok v tech- nologiích webových aplikací i webových prohlížečů v poslední době přinesl různé preventivní mechanismy zužující prostor XSS útoků, nicméně tyto preventivní mechanismy jsou většinou selektivní a zabraňují pouze některým XSS chybám. Mezi chyby, které byly novými preventivními mechanismy vesměs opomenuty, patří tzv. kontextuální XSS chyby. Ke kontextuální XSS chybě dochází, pokud je potenciálně škodlivý vstup webovou aplikací sice sanitizován před jeho zo- brazením ve webové stránce, nicméně použitá sanitizace je nekompatibilní s kontextem webového prohlížeče, ve kterém je sanitizovaná hodnota zobrazena. Dalším typem XSS chyb, který je sice již lépe znám, ale přesto je jeho prevence nedostatečná, patří tzv. uložené XSS chyby. Aplikace obsahující uložené XSS chyby ukládá škodlivý vstup do trvalého uložiště, aby jej později zobrazila v jiné webové stránce a (případně) jinému klientovi....
Klíčová slova: analysis; context-sensitive; security; webpage; XSS; analysis; context-sensitive; security; webpage; XSS

Instituce: Fakulty UK (VŠKP) (web)
Informace o dostupnosti dokumentu: Dostupné v digitálním repozitáři UK.
Původní záznam: http://hdl.handle.net/20.500.11956/123563

Trvalý odkaz NUŠL: http://www.nusl.cz/ntk/nusl-437019


Záznam je zařazen do těchto sbírek:
Školství > Veřejné vysoké školy > Univerzita Karlova > Fakulty UK (VŠKP)
Vysokoškolské kvalifikační práce > Disertační práce