New Approaches Towards Automated XSS Flaw Detection

Steinhauser, Antonín

Nové přístupy k automatické detekci XSS chyb

dc.contributor.advisor	Tůma, Petr
dc.creator	Steinhauser, Antonín
dc.date.accessioned	2020-11-27T10:47:53Z
dc.date.available	2020-11-27T10:47:53Z
dc.date.issued	2020
dc.identifier.uri	http://hdl.handle.net/20.500.11956/123563
dc.description.abstract	Cross-site scripting (XSS) flaws are a class of security flaws particular to web applications. XSS flaws generally allow an attacker to supply affected web application with a malicious input that is then included in an output page without being properly encoded (sanitized). Recent advances in web applica- tion technologies and web browsers introduced various prevention mechanisms, narrowing down the scope of possible XSS attacks, but those mechanisms are usually selective and prevent only a subset of XSS flaws. Among the types of XSS flaws that are largely omitted are the context- sensitive XSS flaws. A context-sensitive XSS flaw occurs when the potentially malicious input is sanitized by the affected web application before being included in the output page, but the sanitization is not appropriate for the browser con- text of the sanitized value. Another type of XSS flaws, which is already better known, but still insufficiently prevented, are the stored XSS flaws. Applica- tions affected by the stored XSS flaws store the unsafe client input in persistent storage and return it in another HTTP response to (possibly) another client. Our work is focused on advancing state-of-the-art automated detection of those two types of XSS flaws using various analysis techniques ranging from purely static analysis to dynamic graybox analysis.	en_US
dc.description.abstract	Cross-site scripting (XSS) chyby tvoří jednu z kategorií bezpečnostních chyb webových aplikací. Útočník díky těmto chybám může do zranitelné webové aplikace podstrčit vlastní škodlivý vstup, který je poté zobrazen ve výstupní webové stránce, aniž by byl patřičně zakódován (sanitizován). Pokrok v tech- nologiích webových aplikací i webových prohlížečů v poslední době přinesl různé preventivní mechanismy zužující prostor XSS útoků, nicméně tyto preventivní mechanismy jsou většinou selektivní a zabraňují pouze některým XSS chybám. Mezi chyby, které byly novými preventivními mechanismy vesměs opomenuty, patří tzv. kontextuální XSS chyby. Ke kontextuální XSS chybě dochází, pokud je potenciálně škodlivý vstup webovou aplikací sice sanitizován před jeho zo- brazením ve webové stránce, nicméně použitá sanitizace je nekompatibilní s kontextem webového prohlížeče, ve kterém je sanitizovaná hodnota zobrazena. Dalším typem XSS chyb, který je sice již lépe znám, ale přesto je jeho prevence nedostatečná, patří tzv. uložené XSS chyby. Aplikace obsahující uložené XSS chyby ukládá škodlivý vstup do trvalého uložiště, aby jej později zobrazila v jiné webové stránce a (případně) jinému klientovi....	cs_CZ
dc.language	English	cs_CZ
dc.language.iso	en_US
dc.publisher	Univerzita Karlova, Matematicko-fyzikální fakulta	cs_CZ
dc.subject	XSS	en_US
dc.subject	context-sensitive	en_US
dc.subject	webpage	en_US
dc.subject	security	en_US
dc.subject	analysis	en_US
dc.subject	XSS	cs_CZ
dc.subject	context-sensitive	cs_CZ
dc.subject	webpage	cs_CZ
dc.subject	security	cs_CZ
dc.subject	analysis	cs_CZ
dc.title	New Approaches Towards Automated XSS Flaw Detection	en_US
dc.type	dizertační práce	cs_CZ
dcterms.created	2020
dcterms.dateAccepted	2020-09-15
dc.description.department	Department of Distributed and Dependable Systems	en_US
dc.description.department	Katedra distribuovaných a spolehlivých systémů	cs_CZ
dc.description.faculty	Matematicko-fyzikální fakulta	cs_CZ
dc.description.faculty	Faculty of Mathematics and Physics	en_US
dc.identifier.repId	135883
dc.title.translated	Nové přístupy k automatické detekci XSS chyb	cs_CZ
dc.contributor.referee	Vorobyov, Kostyantyn
dc.contributor.referee	Bureš, Miroslav
thesis.degree.name	Ph.D.
thesis.degree.level	doktorské	cs_CZ
thesis.degree.discipline	Informatika - Softwarové systémy	cs_CZ
thesis.degree.discipline	Computer Science - Software Systems	en_US
thesis.degree.program	Informatika - Softwarové systémy	cs_CZ
thesis.degree.program	Computer Science - Software Systems	en_US
uk.thesis.type	dizertační práce	cs_CZ
uk.taxonomy.organization-cs	Matematicko-fyzikální fakulta::Katedra distribuovaných a spolehlivých systémů	cs_CZ
uk.taxonomy.organization-en	Faculty of Mathematics and Physics::Department of Distributed and Dependable Systems	en_US
uk.faculty-name.cs	Matematicko-fyzikální fakulta	cs_CZ
uk.faculty-name.en	Faculty of Mathematics and Physics	en_US
uk.faculty-abbr.cs	MFF	cs_CZ
uk.degree-discipline.cs	Informatika - Softwarové systémy	cs_CZ
uk.degree-discipline.en	Computer Science - Software Systems	en_US
uk.degree-program.cs	Informatika - Softwarové systémy	cs_CZ
uk.degree-program.en	Computer Science - Software Systems	en_US
thesis.grade.cs	Prospěl/a	cs_CZ
thesis.grade.en	Pass	en_US
uk.abstract.cs	Cross-site scripting (XSS) chyby tvoří jednu z kategorií bezpečnostních chyb webových aplikací. Útočník díky těmto chybám může do zranitelné webové aplikace podstrčit vlastní škodlivý vstup, který je poté zobrazen ve výstupní webové stránce, aniž by byl patřičně zakódován (sanitizován). Pokrok v tech- nologiích webových aplikací i webových prohlížečů v poslední době přinesl různé preventivní mechanismy zužující prostor XSS útoků, nicméně tyto preventivní mechanismy jsou většinou selektivní a zabraňují pouze některým XSS chybám. Mezi chyby, které byly novými preventivními mechanismy vesměs opomenuty, patří tzv. kontextuální XSS chyby. Ke kontextuální XSS chybě dochází, pokud je potenciálně škodlivý vstup webovou aplikací sice sanitizován před jeho zo- brazením ve webové stránce, nicméně použitá sanitizace je nekompatibilní s kontextem webového prohlížeče, ve kterém je sanitizovaná hodnota zobrazena. Dalším typem XSS chyb, který je sice již lépe znám, ale přesto je jeho prevence nedostatečná, patří tzv. uložené XSS chyby. Aplikace obsahující uložené XSS chyby ukládá škodlivý vstup do trvalého uložiště, aby jej později zobrazila v jiné webové stránce a (případně) jinému klientovi....	cs_CZ
uk.abstract.en	Cross-site scripting (XSS) flaws are a class of security flaws particular to web applications. XSS flaws generally allow an attacker to supply affected web application with a malicious input that is then included in an output page without being properly encoded (sanitized). Recent advances in web applica- tion technologies and web browsers introduced various prevention mechanisms, narrowing down the scope of possible XSS attacks, but those mechanisms are usually selective and prevent only a subset of XSS flaws. Among the types of XSS flaws that are largely omitted are the context- sensitive XSS flaws. A context-sensitive XSS flaw occurs when the potentially malicious input is sanitized by the affected web application before being included in the output page, but the sanitization is not appropriate for the browser con- text of the sanitized value. Another type of XSS flaws, which is already better known, but still insufficiently prevented, are the stored XSS flaws. Applica- tions affected by the stored XSS flaws store the unsafe client input in persistent storage and return it in another HTTP response to (possibly) another client. Our work is focused on advancing state-of-the-art automated detection of those two types of XSS flaws using various analysis techniques ranging from purely static analysis to dynamic graybox analysis.	en_US
uk.file-availability	V
uk.grantor	Univerzita Karlova, Matematicko-fyzikální fakulta, Katedra distribuovaných a spolehlivých systémů	cs_CZ
thesis.grade.code	P
uk.publication-place	Praha	cs_CZ