Cross-site zranitelnosti v prohlížečích

Abstract

Tato bakalářská práce se zabývá Cross-Site zranitelnostmi v prohlížečích. Popisuje a vysvětluje princip zranitelnosti Cross-Site Scripting a její podtypy Self-Cross-Site Scripting a Mutated Cross-Site Scripting, následně Cross-Site Request Forgery, Cross-Site Script Inclusion, Cross-Site History Manipulation, Cross-Site Malicious CAPTCHA a Cross-Domain Referer Leakage. Na základě těchto znalostí byly vytvořeny praktické ukázky v podobě webových stránek napsaných v jazycích HTML, PHP a JavaScript. Tyto ukázky byly vyzkoušeny na aktuálních verzích prohlížečů Google Chrome, Opera, Mozilla Firefox a Microsoft Edge. Bylo zjištěno, že obrana v podobě automatického nastavení vlastnosti SameSite u Cookie na~Lax je zavedena a aplikována v prohlížečích Google Chrome, Opera a Microsoft Edge a~díky tomu je mnoho analyzovaných zranitelností již v těchto verzích nefunkčních. V prohlížeči Mozilla Firefox tato funkcionalita sice existuje, ale není automaticky zapnutá. Dále je v prohlížeči Mozilla Firefox možné změnit nastavení Referrer-Policy, která zabraňuje zranitelnosti Cross-Domain Referer Leakage. Ve zbylých třech zmíněných prohlížečích je toto nastavení zavedené již automaticky a změnit nelze. Práce může být užitečná jak pro běžného uživatele internetu, který může na základě práce vyhodnotit, který webový prohlížeč je pro něj nejlepší, dále pro webové vývojáře, aby věděli, jaké aktuální obrany existují a mohli je použít, a nakonec i pro penetrační testery webových aplikací, neboť z práce vychází i závěr, že prohlížeč Mozilla Firefox je pro testování bezpečnosti aktuálně nejlepší variantou. Každá zranitelnost je doplněna o doporučení obran jak pro běžného uživatele webového prohlížeče, tak i pro webové vývojáře. Tyto obrany si lze také v přiložené ukázce ve formě webové aplikace vyzkoušet. Nakonec je uveden návod, jak lze změnit nastavení v prohlížeči Mozilla Firefox, aby tento prohlížeč poskytoval stejné obrany jako ostatní zkoumané prohlížeče.

This bachelor thesis is analysing Cross-Site vulnerabilities in browsers. It describes and explains the principle of vulnerabilities Cross-Site Scripting and its subtypes Self-Cross-Site Scripting and Mutated Cross-Site Scripting, then Cross-Site Request Forgery, Cross-Site Script Inclusion, Cross-Site History Manipulation, Cross-Site Malicious CAPTCHA and Cross-Domain Referer Leakage. Based on this knowledge practical examples were created in a form of websites written in~HTML, PHP and JavaScript. These examples were tested on current versions of Google Chrome, Opera, Mozilla Firefox and Microsoft Edge browsers. It was discovered that the protection in the form of automatically set SameSite attribute on Cookie to Lax is implemented and enabled in Google Chrome, Opera and Microsoft Edge browsers and because of this many of analysed vulnerabilities are not working anymore in these versions. There is this functionality also in Mozilla Firefox browser, however it is not enabled by default. In addition there is functionality Referrer-Policy in Mozilla Firefox browser which can be changed that protects against vulnerability Cross-Domain Referer Leakage. There is this functionality automatically enabled in other browsers by default and cannot be changed there. The thesis can be useful for a regular user of Internet who can decide which web browser is the best for him based on this thesis, or for web developers so that they know what protections there are now and how to use them, and eventually also for web application pentesters, because its conclusion is that Mozilla Firefox browser is currently the best option for penetration testing. Each vulnerability has recommendations of protections not only for users of web browsers, but also for web developers. These protections can be tested in the implemented example. In the end there is a manual how to set the Mozilla Firefox browser so that this browser provides same protections as other analysed browsers.