Cross-Site Scripting (XSS) : analyysi suojausten tehokkuudesta

Abstract

Tämä opinnäytetyö käsitteli verkkosovellusten yleistä haavoittuvuutta Cross-Site Scripting (XSS). Opinnäytetyön tavoitteena oli tutkia ja arvioida, mitkä suojausmenetelmät ovat tehokkaimpia ja kuinka näitä suojausmenetelmiä voidaan kiertää. Opinnäytetyön sisällössä käsitellään Cross-Site Scripting (XSS)-hyökkäysten perusteet, suojausmenetelmät Cross-Site Scripting (XSS)-hyökkäyksiä vastaan ja suojausmenetelmien kiertämiseen hyödynnettyjä tekniikoita.

Suojausmenetelmien tehokkuuden tutkimisessa hyödynnettiin suljettua ja hallittua testiympäristöä. Suojausten tehokkuutta tutkittiin hyödyntämällä laajaa hyökkäyskoodien listaa, joka syötettiin verkkosovellukseen manuaalisesti ja automaation avulla. Suojausten toimintaa ja tehokkuutta arvioitiin syötettyjen hyökkäyskoodien avulla. Suojausmenetelmien tutkimisessa esitettiin myös tilanteita, joissa puutteellisia ja virheellisiä suojauksia kierrettiin.

Suojausmenetelmien tehokkuuden tutkinnan tulokset osoittivat, että ulostulon koodaus ja Content Security Policy (CSP) olivat tehokkaimmat suojaukset puolustautuessa Cross-Site Scripting (XSS)-hyökkäyksiltä. Suojausten kiertämiseen liittyvässä tutkinnassa todettiin, että kerroksittaisen suojaaminen on tärkeää kokonaisvaltaisen suojauksen takaamiseksi.

This thesis focused on Cross-Site Scripting (XSS) which is a common vulnerability in web applications. The purpose of the thesis was to research and evaluate which security methods are the most effective and how these security methos can be bypassed. The content of this thesis includes the basics of Cross-Site Scripting (XSS) attacks, security methods to defend against Cross-Site Scripting (XSS) attacks and methods that are used to bypass the security measures placed against Cross-Site Scripting (XSS).

The effectiveness of the security methods was researched by using closed and controlled environment. Effectiveness of the security methods was researched by using extensive list of payloads, which were entered into the web application manually and automatically. The behaviour and effectiveness of the security methods was assessed by injecting various payloads. Research of the security methods also included cases where insufficient and flawed security methods were bypassed.

The results of the research into the effectiveness of the security methods showed that output encoding and Content Security Policy (CSP) were the most effective methods for protecting the web application from Cross-Site Scripting (XSS) attacks. The research related to bypassing security methods showed that layered security is essential for ensuring comprehensive protection.