Aprendizagem automática aplicada à deteção de vulnerabilidades

Abstract

The HTTP protocol is a stateless protocol, that means, each request made by the user is an independent request, there is no notion of state. So, to add it to the applications we need an additional tool to implement this notion of state. For this, cookies are used, allowing the websites to identify the authenticated users. A cookie is a file stored in the customer’s browser and sent together with HTTP requests, allowing the website to recognize the customer and send a response corresponding to the request made. This dissertation aims to strengthen the protection of data associated with authentication sessions through the identification and analysis of authentication cookies using machine learning techniques. If web applications are vulnerable to malicious attacks, such as Broken Authentication or XSS (Cross-Site Scripting), attackers can gain access to the information stored in the cookie. Using this information they can steal the user’s session, being able to authenticate themselves in the web application to obtain access to data/services. Using machine learning techniques, we can identify within a set composed of several types of cookies, which cookies are associated with authentication. The objective is the recognition of this type of cookies, since this is the one that needs greater security, taking care in case the attacker even gaining access to this file, there is no possibility of deciphering the information that puts the users session at risk. In addition to the classification of cookies, the detection and analysis of the encoding used will be carried out. The tool will then be integrated into the security testing software, Burp Suite, working as an extension in order to facilitate and reduce the time necessary for a QA analyst to spend checking cookies.

O protocolo HTTP é um protocolo stateless, ou seja, cada pedido efetuado pelo utilizador é um pedido independente, não existe uma noção de estado. Logo para adicionarmos isto nas aplicações web precisamos de uma ferramenta adicional para implementar esta noção de estado. Para tal, são utilizados os cookies, permitindo aos websites identificar os utilizadores autenticados. O cookie é um ficheiro armazenado no navegador do cliente e que é enviado juntamente com os pedidos HTTP, permitindo ao website reconhecer o cliente e enviar a resposta correspondente ao pedido efetuado. Esta dissertação tem como objetivo reforçar a proteção dos dados associados às sessões de autenticação através da identificação e análise dos cookies de autenticação recorrendo a técnicas de machine learning. Caso as aplicações web estejam vulneráveis a ataques maliciosos, como por exemplo Broken Authentication ou XSS(Cross-Site Scripting), os atacantes podem conseguir acesso à informação armazenada no cookie. Utilizando esta informação podem roubar a sessão do utilizador, conseguindo autenticar-se na aplicação web para obter acesso a dados/serviços. Recorrendo a técnicas de machine learning podemos identificar dentro de um conjunto composto por vários tipos de cookies, quais os cookies associados à autenticação. O objetivo é o reconhecimento deste tipo de cookies, dado que este é o que necessita de uma maior segurança, precavendo-se para o caso do atacante mesmo conseguindo acesso a este ficheiro, não haja a possibilidade de decifrar a informação que coloca em risco a sessão dos utilizadores. Para além da classificação de cookies, será realizada a deteção e análise do encoding utilizado. A ferramenta será depois integrada no software de realização de testes de segurança, Burp Suite, funcionando como uma extensão do mesmo, de forma a facilitar e reduzir o tempo necessário que um analista de QA(Quality Assurance) irá dispender com a verificação dos cookies.