Název:
Nástroj na analýzu JavaScriptu pro detekci DOM XSS zranitelností ve webových aplikacích
Překlad názvu:
Tool for Analysis of JavaScript to Detect DOM XSS Vulnerabilities in Web Applications
Autoři:
Barnová, Diana ; Polčák, Libor (oponent) ; Homoliak, Ivan (vedoucí práce) Typ dokumentu: Bakalářské práce
Rok:
2021
Jazyk:
slo
Nakladatel: Vysoké učení technické v Brně. Fakulta informačních technologií
Abstrakt: [slo][eng]
Cieľom práce bolo navrhnúť nástroj na analýzu JavaScriptu za účelom detekovať zraniteľnosť DOM--based XSS vo webových aplikáciách, následne ho implementovať a eticky otestovať. Cross--site Scripting (XSS) je jedným z najbežnejších injekčných útokov na webové aplikácie, ktorý vkladá škodlivý kód do inak dôveryhodnej stránky. Na detekciu a následnú exploatáciu DOM--based XSS zraniteľností je potrebná interpretovaná odpoveď prehliadačom preto navrhnutý nástroj odchytáva odpoveď z proxy serveru Burp Suite. Analýza tejto odpovedi využíva dva samostatné regulárne výrazy zamerané na vyhľadávanie vstupov (sources) a výstupov (sinks) v zdrojovom kóde odpovede. Pomocou sady payloadov sa zistí, či je stránka exploitovateľná. Následne je užívateľ upozornený na možné nebezpečenstvo. Výstupom je textový súbor so sumarizáciou výsledkov pre danú URL.
The main goal of this thesis is to design a tool for analisys of JavaScript to detect DOM--based XSS vulnerability in web applications. Then to implement it and test it ethically. Cross--side Scripting (XSS) is one of the most common injection attacks on web applications that insert malicious code in an otherwise trusted site. An interpreted response by the browser is required for the detection and subsequent exploitation of DOM--based XSS vulnerabilities, therefore the tool captures the response from the Burp Suite proxy server. The analysis of this response uses two separate regular expressions aimed at searching for sources and sinks in the source code of the response. A set of payloads is used to determine if a site is exploitable. Subsequently, the user is warned of the possible danger. The output is a text file summarizing the results for the URL.
Klíčová slova:
attack; detection of vulnerabilities; DOM--based; HTTP; JavaScript; scripting; vulnerabilities; XSS
Instituce: Vysoké učení technické v Brně
(web)
Informace o dostupnosti dokumentu:
Plný text je dostupný v Digitální knihovně VUT. Původní záznam: http://hdl.handle.net/11012/201119