Bezpečnostní plugin do prohlížeče
Browser Extension for Secure Web Development
Type of document
diplomová prácemaster thesis
Author
Michal Šípek
Supervisor
Novák Daniel
Opponent
García Sebastián
Field of study
Kybernetická bezpečnostStudy program
Otevřená informatikaInstitutions assigning rank
katedra počítačůRights
A university thesis is a work protected by the Copyright Act. Extracts, copies and transcripts of the thesis are allowed for personal use only and at one?s own expense. The use of thesis should be in compliance with the Copyright Act http://www.mkcr.cz/assets/autorske-pravo/01-3982006.pdf and the citation ethics http://knihovny.cvut.cz/vychova/vskp.htmlVysokoškolská závěrečná práce je dílo chráněné autorským zákonem. Je možné pořizovat z něj na své náklady a pro svoji osobní potřebu výpisy, opisy a rozmnoženiny. Jeho využití musí být v souladu s autorským zákonem http://www.mkcr.cz/assets/autorske-pravo/01-3982006.pdf a citační etikou http://knihovny.cvut.cz/vychova/vskp.html
Metadata
Show full item recordAbstract
Nedávná globální pandemie ukázala, jak důležitá je přítomnost v online světě a tím i zdůraznila potřebu kyberbezpečnosti. Tato práce si klade za cíl prozkoumat možnosti prohlížečových doplňků s ohledem na testování bezpečnosti webových aplikací. Dále je cílem navrhnout takový doplněk, který by mohl být používán pro snadné automatizované bezpečnostní testování webových aplikací, a mohl by tak zároveň zvýšit povědomí o běžných bezpečnostních problémech. Nejprve byla provedena revize existujících nástrojů, projektů a informačních zdrojů pro lepší představu o aktuálním stavu testování bezpečnosti webových aplikací. Práce se dále zaměřila na metody detekce problémů, ať už z pohledu relevantních standardů, metod používaných existujícími nástroji, či alternativních metod navržených výzkumníky. Probraná metodologie zahrnuje sběr informací, detekci citlivých dat, detekci zranitelných komponent a aktivní skenovaní zranitelností. Dále byla provedena analýza Chromium doplňků z hlediska architektury, oprávnění a omezení vzhledem k metodám pro bezpečnostní testování webových aplikací. V důsledku nedávných změn ve specifikacích a implementaci standardů WebSocket a WebRTC byl navržen alternativní způsob skenování portů využívající vyšší oprávnění doplňků. Následně bylo navrhnuto a implementováno proof-of-concept řešení, na kterém byla demonstrována možnost využití prohlížečových doplňků k testování bezpečnosti webových aplikací. The recent global pandemic highlighted the importance of online presence, as well as the need for good cyber security. This thesis aims to explore and propose a browser extension for automated web security testing that could be easily adopted by developers, raising awareness of various common security risks. Existing tools, projects, and resources were first reviewed to provide an overview of the web security testing field. It was then extended in terms of issue detection methods, including many of the associated standards, approaches used by existing tools, and novel methods proposed by researchers. Explored issues included information gathering, sensitive information detection, vulnerable component detection, and active vulnerability detection. Chromium extensions were then analyzed in terms of architecture, permissions, and inherent limitations they pose for web security testing. An alternative solution to port scanning from within the extension is proposed, overcoming the recent developments in WebSocket and WebRTC specifications and Chromium's source code. A proof-of-concept extension is then proposed and implemented to demonstrate the viability of the browser extension environment for this purpose.
Collections
- Diplomové práce - 13136 [892]