Alternatiivne lähenemine automatiseeritud DOM-XSS haavatavuste tuvastamisele

Nimi
Wael Mohamed Fathi Ahmed AbuSeada
Kokkuvõte
Käesolevas lõputöös pakutakse välja alternatiivne meetod DOM-XSS tuvastamiseks, toetudes juba olemasolevatele lähenemistele, mida kasutavad erinevad XSS tuvastamise veebiskännerid. Veebiskännerite üldine lähenemine on selline, et kõikidesse skännitavatesse veebisisenditesse sisestatakse kood ning kontrollitakse HTML vastust, et tuvastada potentsiaalne XSS haavatavus. Antud lõputöös tehakse ettepanek tuua sisse lisaskännimise kiht, mis kujutab endast eraldi veebilehitsejat. See veebilehitseja vastutaks veebiserverisse kõikide päringute saatmise ja HTML vastuste kuvamise eest. Vastuse kuvamine käivitaks kõik lehel olevad programmikoodid. Iga kood, mis muudab veebi sisu dünaamiliselt põhjustades DOM-XSS, kajastuks renderdatud vastuses. Kuvatud vastuses kontrollitakse XSS haavatavuse olemasolu. Käesoleva lõputöö meetod võimaldab tuvastada nii DOM-XSS kui ka teisi XSS liike. Selleks, et seda meetodit tõestada, on lõputöö autor loonud veebipõhise tööriista XSS tuvastamiseks. Antud tööriist suudab avada ja kontrollida veebilehitsejat, mis võimaldab automaatselt kuvatud veebilehe haavatavust kontrollida. Lõpuks annab tööriist väljundiks skännimisest tekkinud raporti, mis näitab potentsiaalseid XSS vastu haavatavaid sisendeid. See tööriist aitab penetratsiooni testijaid, kes eelistavad manuaalset testimist.
Lõputöö keel
inglise
Lõputöö tüüp
Magister - Küberkaitse
Juhendaja(d)
Olaf Manuel Maennel, Raimundas Matulevičius
Kaitsmise aasta
2017
 
PDF