Web security analysis: an approach to HTML5 risks and pitfalls

Abstract

Web applications have become increasingly important in the last years. As more and more applications deal with sensitive and con dential data, the quantity and negative impact of security vulnerabilities has grown as well. To understand this impact, this work presents a study over the most common and risky security vulnerabilities seen on web applications today. Also, with the emerging of the new HTML5 speci cation, an approach is made on how HTML5 will impact web security. The goal is to describe the new features of HTML5 and demonstrate how they may, or may not, introduce new security vulnerabilities to web applications. Understanding the vulnerabilities is only the rst step, as that knowledge is worthless if not applied into the software development life cycle. As so, this works performs a detailed analysis over static analysis tools, methodologies and strategies. Static analysis tools are very powerful, because they can help developers identifying possible vulnerabilities during all the development process. Finally, this work compiles the information gathered in order to provide a set of guidelines on how static analysis tools need to evolve to face the new challenges presented by HTML5 and other emerging technologies. Also, a high level de nition for the structure of a static analysis platform is presented. As a whole, this work intends to be a complete survey over web security vulnerabilities, how they can evolve with the arriving of HTML5 and how can this be approached by static analysis tools.

Ao longo dos últimos anos, as aplicações web têm ganho especial importância. Com cada vez mais aplicações a lidar com informação sensível e confidencial, o número e o impacto das vulnerabilidades de segurança tem vindo a aumentar.

Para compreender este impacto, este trabalho fornece uma análise sobre as vulnerabilidades de segurança que introduzem mais risco e que são mais comuns nas aplicações web atuais. Com o emergir do HTML5, este trabalho pretende ainda estudar com principal cuidado, o impacto que as novas funcionalidades do HTML5 poderão ter na segurança das aplicações web. O objectivo é apresentar as novas funcionalidades do HTML5 e demonstrar de que forma estas podem, ou não, introduzir novas vulnerabilidades de segurança.

Compreender as vulnerabilidades é apenas o primeiro passo, porque esse conhecimento é inútil se não for aplicado durante o processo de desenvolvimento de software. Assim, este trabalho fornece uma análise sobre ferramentas, metodologias e estratégias para análise estática de código. As ferramentas de análise estática de código são extremamente poderosas, pois permitem identificar vulnerabilidades durante todo o processo de desenvolvimento de software.

Finalmente, este trabalho compila toda a informação reunida de forma a definir algumas diretrizes sobre como devem evoluir as ferramentas de análise estática de código de forma a conseguirem acompanhar com as alterações introduzidas pelo HTML5 e outras tecnologias emergentes. É ainda definido um modelo de alto nível para a estrutura de uma plataforma de análise estática de código.

Concluindo, este trabalho pretende apresentar um estudo detalhado sobre vulnerabilidade de segurança em aplicações web, como estas podem evoluir com a chegada do HTML5 e como devem ser abordadas pelas ferramentas de análise estática de código.