Detecção automática de ataques de Cross-Site Scripting em páginas Web
Autor(a) principal: | |
---|---|
Data de Publicação: | 2013 |
Tipo de documento: | Dissertação |
Idioma: | por |
Título da fonte: | Biblioteca Digital de Teses e Dissertações da UFAM |
Texto Completo: | http://tede.ufam.edu.br/handle/tede/2904 |
Resumo: | A evolução no desenvolvimento para aplicações web favoreceu o surgimento de páginas dinâmicas. Tal evolução foi possível através da criação de novas tecnologias como funções de script e recursos avançados em navegadores web que proporcionaram a inserção de novas funcionalidades e criação de serviços interativos, tais como Internet banking, redes sociais, e-commerce, blogs e fóruns. A utilização desses recursos e funcionalidades tem melhorado gradativamente a interatividade e usabilidade das aplicações web. Por outro lado, o uso inadequado dessas funcionalidades acarretou no surgimento de diversos ataques, entre eles, o Cross-Site Scripting (XSS). Este ataque tem recebido muito destaque nos últimos anos, por estar no topo de listas e relatórios das maiores ameaças para aplicações web nos últimos anos. Este trabalho demonstra a viabilidade de uso de uma metodologia capaz de detectar ataques XSS em aplicações web através da análise de informações contidas nas aplicações. Um protótipo da metodologia, denominado de ETSSDetector, foi desenvolvido e comparado com outras ferramentas similares. Os resultados obtidos mostram que, através da análise dos campos de entrada, é possível a geração de testes mais efetivos, diminuindo a quantidade de requisições realizadas na aplicação. Além disso, a habilidade de preenchimento dos campos da aplicação apenas com informações válidas garante a submissão dos formulários das páginas, aumentando a taxa de detecção de ataques XSS. |
id |
UFAM_d3c6aaa476616611510faa9124ef5462 |
---|---|
oai_identifier_str |
oai:https://tede.ufam.edu.br/handle/:tede/2904 |
network_acronym_str |
UFAM |
network_name_str |
Biblioteca Digital de Teses e Dissertações da UFAM |
repository_id_str |
6592 |
spelling |
Detecção automática de ataques de Cross-Site Scripting em páginas WebAplicações webCross-site scriptingTestes de vulnerabilidadesWeb applicationsCross-site scriptingVulnerability testsCIÊNCIAS EXATAS E DA TERRA: CIÊNCIA DA COMPUTAÇÃOA evolução no desenvolvimento para aplicações web favoreceu o surgimento de páginas dinâmicas. Tal evolução foi possível através da criação de novas tecnologias como funções de script e recursos avançados em navegadores web que proporcionaram a inserção de novas funcionalidades e criação de serviços interativos, tais como Internet banking, redes sociais, e-commerce, blogs e fóruns. A utilização desses recursos e funcionalidades tem melhorado gradativamente a interatividade e usabilidade das aplicações web. Por outro lado, o uso inadequado dessas funcionalidades acarretou no surgimento de diversos ataques, entre eles, o Cross-Site Scripting (XSS). Este ataque tem recebido muito destaque nos últimos anos, por estar no topo de listas e relatórios das maiores ameaças para aplicações web nos últimos anos. Este trabalho demonstra a viabilidade de uso de uma metodologia capaz de detectar ataques XSS em aplicações web através da análise de informações contidas nas aplicações. Um protótipo da metodologia, denominado de ETSSDetector, foi desenvolvido e comparado com outras ferramentas similares. Os resultados obtidos mostram que, através da análise dos campos de entrada, é possível a geração de testes mais efetivos, diminuindo a quantidade de requisições realizadas na aplicação. Além disso, a habilidade de preenchimento dos campos da aplicação apenas com informações válidas garante a submissão dos formulários das páginas, aumentando a taxa de detecção de ataques XSS.The evolution in web applications development favored the emergence of dynamic pages. This development was made possible through the creation of new technologies like script functions and web browser advanced features that provided the insertion of new features and creation of interactive services, such as Internet banking, social networks, e-commerce, blogs and forums. The use of these new resources and features has gradually improved the interactivity and usability of web applications. Moreover, the inappropriate use of these features resulted in the emergence of several attacks, including, Cross-Site Scripting (XSS) that is highlighted at the top of lists and reports of the greatest threats to web applications in recent years. This works demonstrates the feasibility of using a methodology that is capable to detect XSS attacks by analyzing the information contained in applications. A prototype of the methodology, called ETSSDetector, was developed and compared with similar tools. The results show that by analyzing the input fields, it is possible to generate more effective tests, decreasing the amount of requests made in the application. Furthermore, the ability to fill the fields with only valid information ensures the submission of forms on pages, increasing the detection rate of XSS attacks.Universidade Federal do AmazonasInstituto de ComputaçãoBRUFAMPrograma de Pós-graduação em InformáticaSouto, Eduardo James Pereirahttp://lattes.cnpq.br/3875301617975895Rocha, Thiago de Souza2015-04-11T14:02:46Z2013-11-052013-04-05info:eu-repo/semantics/publishedVersioninfo:eu-repo/semantics/masterThesisapplication/pdfROCHA, Thiago de Souza. Detecção automática de ataques de Cross-Site Scripting em páginas Web. 2013. 77 f. Dissertação (Mestrado em Informática) - Universidade Federal do Amazonas, Manaus, 2013.http://tede.ufam.edu.br/handle/tede/2904porinfo:eu-repo/semantics/openAccessreponame:Biblioteca Digital de Teses e Dissertações da UFAMinstname:Universidade Federal do Amazonas (UFAM)instacron:UFAM2016-05-25T05:05:04Zoai:https://tede.ufam.edu.br/handle/:tede/2904Biblioteca Digital de Teses e Dissertaçõeshttp://200.129.163.131:8080/PUBhttp://200.129.163.131:8080/oai/requestddbc@ufam.edu.br||ddbc@ufam.edu.bropendoar:65922016-05-25T05:05:04Biblioteca Digital de Teses e Dissertações da UFAM - Universidade Federal do Amazonas (UFAM)false |
dc.title.none.fl_str_mv |
Detecção automática de ataques de Cross-Site Scripting em páginas Web |
title |
Detecção automática de ataques de Cross-Site Scripting em páginas Web |
spellingShingle |
Detecção automática de ataques de Cross-Site Scripting em páginas Web Rocha, Thiago de Souza Aplicações web Cross-site scripting Testes de vulnerabilidades Web applications Cross-site scripting Vulnerability tests CIÊNCIAS EXATAS E DA TERRA: CIÊNCIA DA COMPUTAÇÃO |
title_short |
Detecção automática de ataques de Cross-Site Scripting em páginas Web |
title_full |
Detecção automática de ataques de Cross-Site Scripting em páginas Web |
title_fullStr |
Detecção automática de ataques de Cross-Site Scripting em páginas Web |
title_full_unstemmed |
Detecção automática de ataques de Cross-Site Scripting em páginas Web |
title_sort |
Detecção automática de ataques de Cross-Site Scripting em páginas Web |
author |
Rocha, Thiago de Souza |
author_facet |
Rocha, Thiago de Souza |
author_role |
author |
dc.contributor.none.fl_str_mv |
Souto, Eduardo James Pereira http://lattes.cnpq.br/3875301617975895 |
dc.contributor.author.fl_str_mv |
Rocha, Thiago de Souza |
dc.subject.por.fl_str_mv |
Aplicações web Cross-site scripting Testes de vulnerabilidades Web applications Cross-site scripting Vulnerability tests CIÊNCIAS EXATAS E DA TERRA: CIÊNCIA DA COMPUTAÇÃO |
topic |
Aplicações web Cross-site scripting Testes de vulnerabilidades Web applications Cross-site scripting Vulnerability tests CIÊNCIAS EXATAS E DA TERRA: CIÊNCIA DA COMPUTAÇÃO |
description |
A evolução no desenvolvimento para aplicações web favoreceu o surgimento de páginas dinâmicas. Tal evolução foi possível através da criação de novas tecnologias como funções de script e recursos avançados em navegadores web que proporcionaram a inserção de novas funcionalidades e criação de serviços interativos, tais como Internet banking, redes sociais, e-commerce, blogs e fóruns. A utilização desses recursos e funcionalidades tem melhorado gradativamente a interatividade e usabilidade das aplicações web. Por outro lado, o uso inadequado dessas funcionalidades acarretou no surgimento de diversos ataques, entre eles, o Cross-Site Scripting (XSS). Este ataque tem recebido muito destaque nos últimos anos, por estar no topo de listas e relatórios das maiores ameaças para aplicações web nos últimos anos. Este trabalho demonstra a viabilidade de uso de uma metodologia capaz de detectar ataques XSS em aplicações web através da análise de informações contidas nas aplicações. Um protótipo da metodologia, denominado de ETSSDetector, foi desenvolvido e comparado com outras ferramentas similares. Os resultados obtidos mostram que, através da análise dos campos de entrada, é possível a geração de testes mais efetivos, diminuindo a quantidade de requisições realizadas na aplicação. Além disso, a habilidade de preenchimento dos campos da aplicação apenas com informações válidas garante a submissão dos formulários das páginas, aumentando a taxa de detecção de ataques XSS. |
publishDate |
2013 |
dc.date.none.fl_str_mv |
2013-11-05 2013-04-05 2015-04-11T14:02:46Z |
dc.type.status.fl_str_mv |
info:eu-repo/semantics/publishedVersion |
dc.type.driver.fl_str_mv |
info:eu-repo/semantics/masterThesis |
format |
masterThesis |
status_str |
publishedVersion |
dc.identifier.uri.fl_str_mv |
ROCHA, Thiago de Souza. Detecção automática de ataques de Cross-Site Scripting em páginas Web. 2013. 77 f. Dissertação (Mestrado em Informática) - Universidade Federal do Amazonas, Manaus, 2013. http://tede.ufam.edu.br/handle/tede/2904 |
identifier_str_mv |
ROCHA, Thiago de Souza. Detecção automática de ataques de Cross-Site Scripting em páginas Web. 2013. 77 f. Dissertação (Mestrado em Informática) - Universidade Federal do Amazonas, Manaus, 2013. |
url |
http://tede.ufam.edu.br/handle/tede/2904 |
dc.language.iso.fl_str_mv |
por |
language |
por |
dc.rights.driver.fl_str_mv |
info:eu-repo/semantics/openAccess |
eu_rights_str_mv |
openAccess |
dc.format.none.fl_str_mv |
application/pdf |
dc.publisher.none.fl_str_mv |
Universidade Federal do Amazonas Instituto de Computação BR UFAM Programa de Pós-graduação em Informática |
publisher.none.fl_str_mv |
Universidade Federal do Amazonas Instituto de Computação BR UFAM Programa de Pós-graduação em Informática |
dc.source.none.fl_str_mv |
reponame:Biblioteca Digital de Teses e Dissertações da UFAM instname:Universidade Federal do Amazonas (UFAM) instacron:UFAM |
instname_str |
Universidade Federal do Amazonas (UFAM) |
instacron_str |
UFAM |
institution |
UFAM |
reponame_str |
Biblioteca Digital de Teses e Dissertações da UFAM |
collection |
Biblioteca Digital de Teses e Dissertações da UFAM |
repository.name.fl_str_mv |
Biblioteca Digital de Teses e Dissertações da UFAM - Universidade Federal do Amazonas (UFAM) |
repository.mail.fl_str_mv |
ddbc@ufam.edu.br||ddbc@ufam.edu.br |
_version_ |
1809732003965173760 |