Nástroj na analýzu JavaScriptu pro detekci DOM XSS zranitelností ve webových aplikacích

Cieľom práce bolo navrhnúť nástroj na analýzu JavaScriptu za účelom detekovať zraniteľnosť DOM--based XSS vo webových aplikáciách, následne ho implementovať a eticky otestovať. Cross--site Scripting (XSS) je jedným z najbežnejších injekčných útokov na webové aplikácie, ktorý vkladá škodlivý kód do inak dôveryhodnej stránky. Na detekciu a následnú exploatáciu DOM--based XSS zraniteľností je potrebná interpretovaná odpoveď prehliadačom preto navrhnutý nástroj odchytáva odpoveď z proxy serveru Burp Suite. Analýza tejto odpovedi využíva dva samostatné regulárne výrazy zamerané na vyhľadávanie vstupov (sources) a výstupov (sinks) v zdrojovom kóde odpovede. Pomocou sady payloadov sa zistí, či je stránka exploitovateľná. Následne je užívateľ upozornený na možné nebezpečenstvo. Výstupom je textový súbor so sumarizáciou výsledkov pre danú URL.
The main goal of this thesis is to design a tool for analisys of JavaScript to detect DOM--based XSS vulnerability in web applications. Then to implement it and test it ethically. Cross--side Scripting (XSS) is one of the most common injection attacks on web applications that insert malicious code in an otherwise trusted site. An interpreted response by the browser is required for the detection and subsequent exploitation of DOM--based XSS vulnerabilities, therefore the tool captures the response from the Burp Suite proxy server. The analysis of this response uses two separate regular expressions aimed at searching for sources and sinks in the source code of the response. A set of payloads is used to determine if a site is exploitable. Subsequently, the user is warned of the possible danger. The output is a text file summarizing the results for the URL.

Keywords

XSS, DOM--based, HTTP, zraniteľnosť, útok, skriptovanie, detekcia zraniteľnosti, JavaScript, XSS, DOM--based, HTTP, vulnerabilities, attack, scripting, detection of vulnerabilities, JavaScript

Citation

BARNOVÁ, D. Nástroj na analýzu JavaScriptu pro detekci DOM XSS zranitelností ve webových aplikacích [online]. Brno: Vysoké učení technické v Brně. Fakulta informačních technologií. 2021.

Language of document

sk

Study field

Informační technologie

Comittee

prof. Ing. Tomáš Hruška, CSc. (předseda) prof. Ing. Adam Herout, Ph.D. (místopředseda) doc. Ing. Michal Bidlo, Ph.D. (člen) Ing. František Grézl, Ph.D. (člen) Ing. Aleš Smrčka, Ph.D. (člen)

Date of acceptance

2021-08-24

Defence

Studentka nejprve prezentovala výsledky, kterých dosáhla v rámci své práce. Komise se poté seznámila s hodnocením vedoucího a posudkem oponenta práce. Studentka následně odpověděla na otázky oponenta a na další otázky přítomných. Komise se na základě posudku oponenta, hodnocení vedoucího, přednesené prezentace a odpovědí studentky na položené otázky rozhodla práci hodnotit stupněm E. Otázky u obhajoby: Proč je nutná opakovaná interakce se serverem při ověřování zranitelnosti webové aplikace? Vysvětlete, jak probíhalo testování vaši aplikace. Jak si program poradí s minifikovaným a obfuskovaným kódem? Porovnejte vaše řešení s řešeními popisovanými v části 5.1, vyzdvihněte přednosti vašeho řešení. Jak je vaše řešení používáno ve firmě AEC, spol. s.r.o.? Jakou jste měla testovací sadu? Můžete komisi prezentovat, jak bylo obtížné implementovat (relativně stručný) zdrojový kód, který jste odevzdala jakou součást práce? Co považujete za váš největší přínos? Porovnávala jste nějak vaše řešení s dalšími nástroji?

Result of defence

práce byla úspěšně obhájena

Document licence

Standardní licenční smlouva - přístup k plnému textu bez omezení