Bezpečnostní plugin do prohlížeče

Nedávná globální pandemie ukázala, jak důležitá je přítomnost v online světě a tím i zdůraznila potřebu kyberbezpečnosti. Tato práce si klade za cíl prozkoumat možnosti prohlížečových doplňků s ohledem na testování bezpečnosti webových aplikací. Dále je cílem navrhnout takový doplněk, který by mohl být používán pro snadné automatizované bezpečnostní testování webových aplikací, a mohl by tak zároveň zvýšit povědomí o běžných bezpečnostních problémech. Nejprve byla provedena revize existujících nástrojů, projektů a informačních zdrojů pro lepší představu o aktuálním stavu testování bezpečnosti webových aplikací. Práce se dále zaměřila na metody detekce problémů, ať už z pohledu relevantních standardů, metod používaných existujícími nástroji, či alternativních metod navržených výzkumníky. Probraná metodologie zahrnuje sběr informací, detekci citlivých dat, detekci zranitelných komponent a aktivní skenovaní zranitelností. Dále byla provedena analýza Chromium doplňků z hlediska architektury, oprávnění a omezení vzhledem k metodám pro bezpečnostní testování webových aplikací. V důsledku nedávných změn ve specifikacích a implementaci standardů WebSocket a WebRTC byl navržen alternativní způsob skenování portů využívající vyšší oprávnění doplňků. Následně bylo navrhnuto a implementováno proof-of-concept řešení, na kterém byla demonstrována možnost využití prohlížečových doplňků k testování bezpečnosti webových aplikací.

The recent global pandemic highlighted the importance of online presence, as well as the need for good cyber security. This thesis aims to explore and propose a browser extension for automated web security testing that could be easily adopted by developers, raising awareness of various common security risks. Existing tools, projects, and resources were first reviewed to provide an overview of the web security testing field. It was then extended in terms of issue detection methods, including many of the associated standards, approaches used by existing tools, and novel methods proposed by researchers. Explored issues included information gathering, sensitive information detection, vulnerable component detection, and active vulnerability detection. Chromium extensions were then analyzed in terms of architecture, permissions, and inherent limitations they pose for web security testing. An alternative solution to port scanning from within the extension is proposed, overcoming the recent developments in WebSocket and WebRTC specifications and Chromium's source code. A proof-of-concept extension is then proposed and implemented to demonstrate the viability of the browser extension environment for this purpose.

Keywords

webová bezpečnost, bezpečnostní testování, aktivní skenování, pasivní skenování, detekce zranitelností, web security, security testing, active scanning, passive scanning, vulnerability detection

Permanent link

http://hdl.handle.net/10467/101341

Rights/License

A university thesis is a work protected by the Copyright Act of the Czech Republic. Extracts, copies and transcripts of the thesis are allowed for personal use only and at one`s own expense. The use of thesis should be in compliance with the Copyright Act.

Vysokoškolská závěrečná práce je dílo chráněné autorským zákonem. Je možné pořizovat z něj na své náklady a pro svoji osobní potřebu výpisy, opisy a rozmnoženiny. Jeho využití musí být v souladu s autorským zákonem v platném znění.

Collections

Master Theses - 13136

Full item page

Browser Extension for Secure Web Development