TaintJSec: um método de análise estática de marcação em código Javascript para detecção de vazamento de dados sensíveis
| Autor(a) principal: | |
|---|---|
| Data de Publicação: | 2017 |
| Outros Autores: | |
| Tipo de documento: | Dissertação |
| Idioma: | por |
| Título da fonte: | Biblioteca Digital de Teses e Dissertações da UFAM |
| Texto Completo: | https://tede.ufam.edu.br/handle/tede/6267 |
Resumo: | Javascript é uma das linguagens de programação mais utilizadas no mundo e continua expandindo-se gradativamente. Tal expansão deve-se à grande flexibilidade e dinamicidade que a linguagem possui, o que facilita bastante a criação de aplicações. Porém, essa mesma característica que a torna uma linguagem de sucesso é também o que torna difícil a análise estática do fluxo de execução, processo esse que visa identificar a presença de códigos maliciosos nas aplicações. Este trabalho apresenta o TaintJSec, uma nova abordagem que utiliza análise estática de marcação de código JavaScript para identificar e prevenir o vazamento de informação sensível. O diferencial do TaintJSec em relação aos outros trabalhos que utilizam análise estática de marcação é que ele consegue analisar o fluxo de códigos implícitos, acompanha a propagação do taint tag na execução da função eval e identifica o vazamento de informação em códigos ofuscados. Para validar a eficácia da abordagem, foram realizados testes de propagação do taint tag, dividos em 13 grupos de testes distintos. Em seguida, foram realizados testes para avaliar a propagação na execução da função eval. Por fim, a abordagem foi testada em um código malicioso, ofuscado por cinco ferramentas diferentes, específicas para tal finalidade. Os resultados obtidos demonstraram que a abordagem é eficaz na detecção do vazamento de informação e mais eficiente que outros métodos do estado da arte. |
| id |
UFAM_b6ced0c0b6e10f54b1882988cc59c553 |
|---|---|
| oai_identifier_str |
oai:https://tede.ufam.edu.br/handle/:tede/6267 |
| network_acronym_str |
UFAM |
| network_name_str |
Biblioteca Digital de Teses e Dissertações da UFAM |
| repository_id_str |
6592 |
| spelling |
TaintJSec: um método de análise estática de marcação em código Javascript para detecção de vazamento de dados sensíveisVazamento de InformaçãoDados SensíveisJavaScriptCIENCIAS EXATAS E DA TERRA: CIENCIA DA COMPUTACAOJavascript é uma das linguagens de programação mais utilizadas no mundo e continua expandindo-se gradativamente. Tal expansão deve-se à grande flexibilidade e dinamicidade que a linguagem possui, o que facilita bastante a criação de aplicações. Porém, essa mesma característica que a torna uma linguagem de sucesso é também o que torna difícil a análise estática do fluxo de execução, processo esse que visa identificar a presença de códigos maliciosos nas aplicações. Este trabalho apresenta o TaintJSec, uma nova abordagem que utiliza análise estática de marcação de código JavaScript para identificar e prevenir o vazamento de informação sensível. O diferencial do TaintJSec em relação aos outros trabalhos que utilizam análise estática de marcação é que ele consegue analisar o fluxo de códigos implícitos, acompanha a propagação do taint tag na execução da função eval e identifica o vazamento de informação em códigos ofuscados. Para validar a eficácia da abordagem, foram realizados testes de propagação do taint tag, dividos em 13 grupos de testes distintos. Em seguida, foram realizados testes para avaliar a propagação na execução da função eval. Por fim, a abordagem foi testada em um código malicioso, ofuscado por cinco ferramentas diferentes, específicas para tal finalidade. Os resultados obtidos demonstraram que a abordagem é eficaz na detecção do vazamento de informação e mais eficiente que outros métodos do estado da arte.Javascript is one of the most used programming languages in the world and continues to expand gradually. Such success is due to the great flexibility and dynamicity that the language has, which greatly facilitates the creation of applications. However, this same characteristic that makes it a successful language is also what makes it difficult to analyze static execution flow, which aims to identify the presence of malicious code in applications. This work presents TaintJSec, a new approach that uses static code marking analysis to identify and prevent leakage of sensitive information in web applications. Unlike other works based on static analysis, TaintJSec is able to check the explicit and implicit code flow, accompanies the propagation of the taint tag in the execution of the eval function, and is able to identify information leakage in obfuscated codes. To validate the effectiveness of the approach, taint tag propagation tests were performed in a range of tests divided into 13 different test groups. Then, tests were performed to evaluate the propagation of the eval function. Finally, the approach was tested in a malicious code, obscured by five different tools, specific for that purpose. The results demonstrated that the approach is effective in detecting information leakage and more efficient than other methods of the state of the art.Universidade Federal do AmazonasInstituto de ComputaçãoBrasilUFAMPrograma de Pós-graduação em InformáticaSouto, Eduardo James Pereirahttp://lattes.cnpq.br/3875301617975895Feitosa, Eduardo LuzeiroGrégio, André Ricardo AbedMartins, Gilbert BrevesDamasceno, Alexandre Bragahttp://lattes.cnpq.br/04858838114804242018-03-27T13:38:50Z2017-12-22info:eu-repo/semantics/publishedVersioninfo:eu-repo/semantics/masterThesisapplication/pdfDAMASCENO, Alexandre Braga. TaintJSec: um método de análise estática de marcação em código Javascript para detecção de vazamento de dados sensíveis. 2017. 129 f. Dissertação (Mestrado em Informática) - Universidade Federal do Amazonas, Manaus, 2017.https://tede.ufam.edu.br/handle/tede/6267porhttp://creativecommons.org/licenses/by-nc-nd/4.0/info:eu-repo/semantics/openAccessreponame:Biblioteca Digital de Teses e Dissertações da UFAMinstname:Universidade Federal do Amazonas (UFAM)instacron:UFAM2018-03-28T05:03:47Zoai:https://tede.ufam.edu.br/handle/:tede/6267Biblioteca Digital de Teses e Dissertaçõeshttp://200.129.163.131:8080/PUBhttp://200.129.163.131:8080/oai/requestddbc@ufam.edu.br||ddbc@ufam.edu.bropendoar:65922018-03-28T05:03:47Biblioteca Digital de Teses e Dissertações da UFAM - Universidade Federal do Amazonas (UFAM)false |
| dc.title.none.fl_str_mv |
TaintJSec: um método de análise estática de marcação em código Javascript para detecção de vazamento de dados sensíveis |
| title |
TaintJSec: um método de análise estática de marcação em código Javascript para detecção de vazamento de dados sensíveis |
| spellingShingle |
TaintJSec: um método de análise estática de marcação em código Javascript para detecção de vazamento de dados sensíveis Damasceno, Alexandre Braga Vazamento de Informação Dados Sensíveis JavaScript CIENCIAS EXATAS E DA TERRA: CIENCIA DA COMPUTACAO |
| title_short |
TaintJSec: um método de análise estática de marcação em código Javascript para detecção de vazamento de dados sensíveis |
| title_full |
TaintJSec: um método de análise estática de marcação em código Javascript para detecção de vazamento de dados sensíveis |
| title_fullStr |
TaintJSec: um método de análise estática de marcação em código Javascript para detecção de vazamento de dados sensíveis |
| title_full_unstemmed |
TaintJSec: um método de análise estática de marcação em código Javascript para detecção de vazamento de dados sensíveis |
| title_sort |
TaintJSec: um método de análise estática de marcação em código Javascript para detecção de vazamento de dados sensíveis |
| author |
Damasceno, Alexandre Braga |
| author_facet |
Damasceno, Alexandre Braga http://lattes.cnpq.br/0485883811480424 |
| author_role |
author |
| author2 |
http://lattes.cnpq.br/0485883811480424 |
| author2_role |
author |
| dc.contributor.none.fl_str_mv |
Souto, Eduardo James Pereira http://lattes.cnpq.br/3875301617975895 Feitosa, Eduardo Luzeiro Grégio, André Ricardo Abed Martins, Gilbert Breves |
| dc.contributor.author.fl_str_mv |
Damasceno, Alexandre Braga http://lattes.cnpq.br/0485883811480424 |
| dc.subject.por.fl_str_mv |
Vazamento de Informação Dados Sensíveis JavaScript CIENCIAS EXATAS E DA TERRA: CIENCIA DA COMPUTACAO |
| topic |
Vazamento de Informação Dados Sensíveis JavaScript CIENCIAS EXATAS E DA TERRA: CIENCIA DA COMPUTACAO |
| description |
Javascript é uma das linguagens de programação mais utilizadas no mundo e continua expandindo-se gradativamente. Tal expansão deve-se à grande flexibilidade e dinamicidade que a linguagem possui, o que facilita bastante a criação de aplicações. Porém, essa mesma característica que a torna uma linguagem de sucesso é também o que torna difícil a análise estática do fluxo de execução, processo esse que visa identificar a presença de códigos maliciosos nas aplicações. Este trabalho apresenta o TaintJSec, uma nova abordagem que utiliza análise estática de marcação de código JavaScript para identificar e prevenir o vazamento de informação sensível. O diferencial do TaintJSec em relação aos outros trabalhos que utilizam análise estática de marcação é que ele consegue analisar o fluxo de códigos implícitos, acompanha a propagação do taint tag na execução da função eval e identifica o vazamento de informação em códigos ofuscados. Para validar a eficácia da abordagem, foram realizados testes de propagação do taint tag, dividos em 13 grupos de testes distintos. Em seguida, foram realizados testes para avaliar a propagação na execução da função eval. Por fim, a abordagem foi testada em um código malicioso, ofuscado por cinco ferramentas diferentes, específicas para tal finalidade. Os resultados obtidos demonstraram que a abordagem é eficaz na detecção do vazamento de informação e mais eficiente que outros métodos do estado da arte. |
| publishDate |
2017 |
| dc.date.none.fl_str_mv |
2017-12-22 2018-03-27T13:38:50Z |
| dc.type.status.fl_str_mv |
info:eu-repo/semantics/publishedVersion |
| dc.type.driver.fl_str_mv |
info:eu-repo/semantics/masterThesis |
| format |
masterThesis |
| status_str |
publishedVersion |
| dc.identifier.uri.fl_str_mv |
DAMASCENO, Alexandre Braga. TaintJSec: um método de análise estática de marcação em código Javascript para detecção de vazamento de dados sensíveis. 2017. 129 f. Dissertação (Mestrado em Informática) - Universidade Federal do Amazonas, Manaus, 2017. https://tede.ufam.edu.br/handle/tede/6267 |
| identifier_str_mv |
DAMASCENO, Alexandre Braga. TaintJSec: um método de análise estática de marcação em código Javascript para detecção de vazamento de dados sensíveis. 2017. 129 f. Dissertação (Mestrado em Informática) - Universidade Federal do Amazonas, Manaus, 2017. |
| url |
https://tede.ufam.edu.br/handle/tede/6267 |
| dc.language.iso.fl_str_mv |
por |
| language |
por |
| dc.rights.driver.fl_str_mv |
http://creativecommons.org/licenses/by-nc-nd/4.0/ info:eu-repo/semantics/openAccess |
| rights_invalid_str_mv |
http://creativecommons.org/licenses/by-nc-nd/4.0/ |
| eu_rights_str_mv |
openAccess |
| dc.format.none.fl_str_mv |
application/pdf |
| dc.publisher.none.fl_str_mv |
Universidade Federal do Amazonas Instituto de Computação Brasil UFAM Programa de Pós-graduação em Informática |
| publisher.none.fl_str_mv |
Universidade Federal do Amazonas Instituto de Computação Brasil UFAM Programa de Pós-graduação em Informática |
| dc.source.none.fl_str_mv |
reponame:Biblioteca Digital de Teses e Dissertações da UFAM instname:Universidade Federal do Amazonas (UFAM) instacron:UFAM |
| instname_str |
Universidade Federal do Amazonas (UFAM) |
| instacron_str |
UFAM |
| institution |
UFAM |
| reponame_str |
Biblioteca Digital de Teses e Dissertações da UFAM |
| collection |
Biblioteca Digital de Teses e Dissertações da UFAM |
| repository.name.fl_str_mv |
Biblioteca Digital de Teses e Dissertações da UFAM - Universidade Federal do Amazonas (UFAM) |
| repository.mail.fl_str_mv |
ddbc@ufam.edu.br||ddbc@ufam.edu.br |
| _version_ |
1809732025621413888 |