Security Testing of WebSockets

Abstract

The current state of WebSocket is not an exception when it comes to security issues in traditional web applications. There are vulnerabilities that commonly exist in WebSocket implementations that any attacker could potentially exploit.

In order to build a protection to avoid these vulnerabilities it needs to be understood what the vulnerabilities are and how they are discovered, how can they be exploited, and how can they be defended against.

Many of the commonly known web application vulnerabilities can be linked to ones found in WebSocket implementations. However, some of them slightly vary from the ones previously known because of the WebSocket protocol level implementation.

Commonly available WebSocket security testing tools are not mature enough for comprehensive security testing compared to traditional web application security testing. This is why a tool needs to be developed for the testing.

The tool was developed with the intend of being able to test all the common security vulnerabilities found from WebSocket implementations in an understandable way. The tool is not automated, but can be used as long as the tester have the necessary expertise in WebSocket implementations and overall web application security testing.

Research was done as a design research utilizing quantitative methodologies.

WebSocketin tietoturvan nykytila ei ole poikkeus verratessa sitä tietoturvan tilaan muissa perinteisissä web-sovelluksissa. WebSocket toteutuksista on yleisesti havaittavissa haavoittuvuuksia, joita hyökkääjä kykenee potentiaalisesti hyväksikäyttämään.

Suojatakseen WebSocket-toteutuksen yleisesti olemassa olevilta haavoittuvuuksilta toteutuksen ylläpitäjän tulee ymmärtää, millaisia haavoittuvuuksia on olemassa, kuinka ne voidaan havaita, kuinka niitä vasten voidaan hyökätä ja kuinka niitä vastaan tulisi suojautua.

Useat WebSocket-toteutuksista löytyvät haavoittuvuudet voidaan yhdistää haavoittuvuuksiin, joita yleisesti havaitaan myös perinteisistä web-sovelluksista. On kuitenkin ymmärrettävä, että osa haavoittuvuuksista on hieman erilaisia johtuen WebSocket-protokollan toteutuksesta.

Yleisesti saatavilla olevat tietoturvatestaustyökalut eivät ole tarpeeksi kehittyneitä kokonaisvaltaiseen WebSocket-toteutuksen tietoturvatestaukseen, kun verrataan perinteiseen web-sovelluksen tietoturvatestaukseen. Täten tutkimuksen pääasiallisena tavoitteena olikin luoda oma työkalu testausta varten.

Työkalu toteutettiin siitä syystä, että olisi yksi työkalu, jolla kyettäisiin testaamaan kaikki yleisesti havaittavat haavoittuvuudet WebSocket-toteutuksista. Työkalun käyttö kuitenkin vaatii testaajalta osaamista WebSocket-toteutuksista ja perinteisestä web-sovellusten tietoturvatestaamisesta.

Tutkimustyö suoritettiin kehittämistutkimuksena käyttäen laadullisia tutkimusmenetelmiä.