Utilize este identificador para referenciar este registo:
https://hdl.handle.net/1822/36716
Título: | HTML5 - análise dos riscos de segurança e testes de penetração a aplicações web |
Autor(es): | Gonçalves, Manuel Francisco Mendes |
Orientador(es): | Ribeiro, António Nestor |
Palavras-chave: | HTM5 Segurança Black Box |
Data: | 18-Jul-2014 |
Resumo(s): | A nova versão do HTML traz melhorias significativas relativamente à construcão de
aplicacões web mais ricas. Contudo, com as novas funcionalidades vêm acoplados
a elas sempre novos riscos de segurança que precisam ser analisados e colmatados.
Anteriormente ao HTML5 já existiam determinadas ameaças de segurança que
afetavam as aplicacões web (tais como SQLInjection, XSS, CSRF, etc), e que
ganham um novo potencial devido aos novos recursos do HTML. Este estudo
foca precisamente a análise dessas ameaças bem conhecidas, em conjunto com a
análise dos riscos de segurança associados às novas funcionalidades do HTML5,
assim como a apresentacão de regras para atenuacão das mesmas.
Adicionalmente são apresentados um conjunto de módulos para detecão de
vulnerabilidades HTML5 em aplicacões web. As quais são originadas devido à
má utilizacão do HTML5 durante a fase de desenvolvimento. Esse conjunto de
módulos corresponde a uma extensão adicionada a um Black Box Web Application
Security Scanner bem conhecido da OWASP designado ZAP.
Isso implicou adicionar também algumas funcionalidades HTML5 a uma aplicacão
web também da OWASP designada Wave ZAP, cujo objetivo é ser utilizada para
realizar testes de penetracão a fim de testar esses novos módulos do ZAP. The new version of HTML, offers impressive enhancements to develop rich web applications. But coupled with new features they always come new security issues that need to be analyzed and covered. Prior to HTML5 already existed certain security threats that affecting the web applications (such as SQLInjection, XSS, CSRF, etc.), and that gain a new potential due to the new HTML features. This study focuses specifically on the analysis of these well known threats, together with the analysis of the security risks associated with the new features of HTML5, as well as, the presentation of mitigation rules. Additionally are presented a set of modules for detecting HTML5 vulnerabilities in web applications, caused by inadequate use of HTML5 during the development phase. This set of modules corresponds to an extension added to a Black Box Web Application Security Scanner well known called ZAP, which is owned by OWASP. This also implied the adding of some HTML5 features to the Wave ZAP web application, also owned by OWASP, with the intent to perform penetration tests against it, in order to test these new ZAP modules. |
Tipo: | Dissertação de mestrado |
Descrição: | Dissertação de mestrado em Engenharia Informática |
URI: | https://hdl.handle.net/1822/36716 |
Acesso: | Acesso aberto |
Aparece nas coleções: | BUM - Dissertações de Mestrado DI - Dissertações de Mestrado |
Ficheiros deste registo:
Ficheiro | Descrição | Tamanho | Formato | |
---|---|---|---|---|
eeum_di_dissertacao_pg17286.pdf | 2,03 MB | Adobe PDF | Ver/Abrir |