Cross-site zranitelnosti v prohlížečích
Cross-site Vulnerabilities in Web Browsers
Typ dokumentu
bakalářská prácebachelor thesis
Autor
Karolína Lhotská
Vedoucí práce
Kokeš Josef
Oponent práce
Kiezler Tomáš
Studijní obor
Bezpečnost a informační technologieStudijní program
Informatika 2009Instituce přidělující hodnost
katedra počítačových systémůPráva
A university thesis is a work protected by the Copyright Act. Extracts, copies and transcripts of the thesis are allowed for personal use only and at one?s own expense. The use of thesis should be in compliance with the Copyright Act http://www.mkcr.cz/assets/autorske-pravo/01-3982006.pdf and the citation ethics http://knihovny.cvut.cz/vychova/vskp.htmlVysokoškolská závěrečná práce je dílo chráněné autorským zákonem. Je možné pořizovat z něj na své náklady a pro svoji osobní potřebu výpisy, opisy a rozmnoženiny. Jeho využití musí být v souladu s autorským zákonem http://www.mkcr.cz/assets/autorske-pravo/01-3982006.pdf a citační etikou http://knihovny.cvut.cz/vychova/vskp.html
Metadata
Zobrazit celý záznamAbstrakt
Tato bakalářská práce se zabývá Cross-Site zranitelnostmi v prohlížečích. Popisuje a vysvětluje princip zranitelnosti Cross-Site Scripting a její podtypy Self-Cross-Site Scripting a Mutated Cross-Site Scripting, následně Cross-Site Request Forgery, Cross-Site Script Inclusion, Cross-Site History Manipulation, Cross-Site Malicious CAPTCHA a Cross-Domain Referer Leakage. Na základě těchto znalostí byly vytvořeny praktické ukázky v podobě webových stránek napsaných v jazycích HTML, PHP a JavaScript. Tyto ukázky byly vyzkoušeny na aktuálních verzích prohlížečů Google Chrome, Opera, Mozilla Firefox a Microsoft Edge. Bylo zjištěno, že obrana v podobě automatického nastavení vlastnosti SameSite u Cookie na~Lax je zavedena a aplikována v prohlížečích Google Chrome, Opera a Microsoft Edge a~díky tomu je mnoho analyzovaných zranitelností již v těchto verzích nefunkčních. V prohlížeči Mozilla Firefox tato funkcionalita sice existuje, ale není automaticky zapnutá. Dále je v prohlížeči Mozilla Firefox možné změnit nastavení Referrer-Policy, která zabraňuje zranitelnosti Cross-Domain Referer Leakage. Ve zbylých třech zmíněných prohlížečích je toto nastavení zavedené již automaticky a změnit nelze. Práce může být užitečná jak pro běžného uživatele internetu, který může na základě práce vyhodnotit, který webový prohlížeč je pro něj nejlepší, dále pro webové vývojáře, aby věděli, jaké aktuální obrany existují a mohli je použít, a nakonec i pro penetrační testery webových aplikací, neboť z práce vychází i závěr, že prohlížeč Mozilla Firefox je pro testování bezpečnosti aktuálně nejlepší variantou. Každá zranitelnost je doplněna o doporučení obran jak pro běžného uživatele webového prohlížeče, tak i pro webové vývojáře. Tyto obrany si lze také v přiložené ukázce ve formě webové aplikace vyzkoušet. Nakonec je uveden návod, jak lze změnit nastavení v prohlížeči Mozilla Firefox, aby tento prohlížeč poskytoval stejné obrany jako ostatní zkoumané prohlížeče. This bachelor thesis is analysing Cross-Site vulnerabilities in browsers. It describes and explains the principle of vulnerabilities Cross-Site Scripting and its subtypes Self-Cross-Site Scripting and Mutated Cross-Site Scripting, then Cross-Site Request Forgery, Cross-Site Script Inclusion, Cross-Site History Manipulation, Cross-Site Malicious CAPTCHA and Cross-Domain Referer Leakage. Based on this knowledge practical examples were created in a form of websites written in~HTML, PHP and JavaScript. These examples were tested on current versions of Google Chrome, Opera, Mozilla Firefox and Microsoft Edge browsers. It was discovered that the protection in the form of automatically set SameSite attribute on Cookie to Lax is implemented and enabled in Google Chrome, Opera and Microsoft Edge browsers and because of this many of analysed vulnerabilities are not working anymore in these versions. There is this functionality also in Mozilla Firefox browser, however it is not enabled by default. In addition there is functionality Referrer-Policy in Mozilla Firefox browser which can be changed that protects against vulnerability Cross-Domain Referer Leakage. There is this functionality automatically enabled in other browsers by default and cannot be changed there. The thesis can be useful for a regular user of Internet who can decide which web browser is the best for him based on this thesis, or for web developers so that they know what protections there are now and how to use them, and eventually also for web application pentesters, because its conclusion is that Mozilla Firefox browser is currently the best option for penetration testing. Each vulnerability has recommendations of protections not only for users of web browsers, but also for web developers. These protections can be tested in the implemented example. In the end there is a manual how to set the Mozilla Firefox browser so that this browser provides same protections as other analysed browsers.
Kolekce
- Bakalářské práce - 18104 [348]
Související záznamy
Zobrazují se záznamy příbuzné na základě názvu, autora a předmětu.
-
Technicko-ekonomická studie využití kabelů s polyetylenovou izolací pro rekonstrukci rozvodu elektrické energie napájející objekt
Autor: Nikolaeva Irina; Vedoucí práce: Vítek Miroslav; Oponent práce: Švec Jan
(České vysoké učení technické v Praze. Vypočetní a informační centrum.Czech Technical University in Prague. Computing and Information Centre., 2018-06-07)In my muster thesis I investigated the issue of the possible reconstruction of the power supply scheme in the Tomsk enterprise of heavy industry "Sibelektromotor". The urgency of the work lies in old-fashioned material ... -
Bezpečnost železničních přejezdů
Autor: Janků Vojtěch; Vedoucí práce: Schmidt Drahomír; Oponent práce: Novák Jan
(České vysoké učení technické v Praze. Vypočetní a informační centrum.Czech Technical University in Prague. Computing and Information Centre., 2015-08-24)Předmětem bakalářské práce je rešerše nejdůležitějších informací z problematiky železničních přejezdů v České republice. Tento popis úvodní části práce vzešel ze současně užívaných směrnic, kdy je železniční přejezd uveden ... -
Bezpečnost chodců na přechodech pro chodce v České republice a Dánsku
Autor: Lehká Eva; Vedoucí práce: Mičunek Tomáš; Oponent práce: Šachlová Zora
(České vysoké učení technické v Praze. Vypočetní a informační centrum.Czech Technical University in Prague. Computing and Information Centre., 2015-08-24)Předmětem bakalářské práce "Bezpečnost chodců na přechodech pro chodce v České republice a Dánsku" je poskytnutí informací o legislativních a technických opatřeních pro přecházení přes komunikace v kontextu sociokulturních ...