Please use this identifier to cite or link to this item: https://hdl.handle.net/1822/82797

Full metadata record
DC FieldValueLanguage
dc.contributor.advisorMendes, Ruipor
dc.contributor.advisorTerroso, Igorpor
dc.contributor.advisorSilva, David de Paula Santospor
dc.contributor.authorRibeiro, Paulo Filipe Silvapor
dc.date.accessioned2023-02-20T16:54:42Z-
dc.date.available2023-02-20T16:54:42Z-
dc.date.issued2021-12-02-
dc.date.submitted2021-10-
dc.identifier.urihttps://hdl.handle.net/1822/82797-
dc.descriptionDissertação de mestrado integrado em Engenharia Informáticapor
dc.description.abstractThe HTTP protocol is a stateless protocol, that means, each request made by the user is an independent request, there is no notion of state. So, to add it to the applications we need an additional tool to implement this notion of state. For this, cookies are used, allowing the websites to identify the authenticated users. A cookie is a file stored in the customer’s browser and sent together with HTTP requests, allowing the website to recognize the customer and send a response corresponding to the request made. This dissertation aims to strengthen the protection of data associated with authentication sessions through the identification and analysis of authentication cookies using machine learning techniques. If web applications are vulnerable to malicious attacks, such as Broken Authentication or XSS (Cross-Site Scripting), attackers can gain access to the information stored in the cookie. Using this information they can steal the user’s session, being able to authenticate themselves in the web application to obtain access to data/services. Using machine learning techniques, we can identify within a set composed of several types of cookies, which cookies are associated with authentication. The objective is the recognition of this type of cookies, since this is the one that needs greater security, taking care in case the attacker even gaining access to this file, there is no possibility of deciphering the information that puts the users session at risk. In addition to the classification of cookies, the detection and analysis of the encoding used will be carried out. The tool will then be integrated into the security testing software, Burp Suite, working as an extension in order to facilitate and reduce the time necessary for a QA analyst to spend checking cookies.por
dc.description.abstractO protocolo HTTP é um protocolo stateless, ou seja, cada pedido efetuado pelo utilizador é um pedido independente, não existe uma noção de estado. Logo para adicionarmos isto nas aplicações web precisamos de uma ferramenta adicional para implementar esta noção de estado. Para tal, são utilizados os cookies, permitindo aos websites identificar os utilizadores autenticados. O cookie é um ficheiro armazenado no navegador do cliente e que é enviado juntamente com os pedidos HTTP, permitindo ao website reconhecer o cliente e enviar a resposta correspondente ao pedido efetuado. Esta dissertação tem como objetivo reforçar a proteção dos dados associados às sessões de autenticação através da identificação e análise dos cookies de autenticação recorrendo a técnicas de machine learning. Caso as aplicações web estejam vulneráveis a ataques maliciosos, como por exemplo Broken Authentication ou XSS(Cross-Site Scripting), os atacantes podem conseguir acesso à informação armazenada no cookie. Utilizando esta informação podem roubar a sessão do utilizador, conseguindo autenticar-se na aplicação web para obter acesso a dados/serviços. Recorrendo a técnicas de machine learning podemos identificar dentro de um conjunto composto por vários tipos de cookies, quais os cookies associados à autenticação. O objetivo é o reconhecimento deste tipo de cookies, dado que este é o que necessita de uma maior segurança, precavendo-se para o caso do atacante mesmo conseguindo acesso a este ficheiro, não haja a possibilidade de decifrar a informação que coloca em risco a sessão dos utilizadores. Para além da classificação de cookies, será realizada a deteção e análise do encoding utilizado. A ferramenta será depois integrada no software de realização de testes de segurança, Burp Suite, funcionando como uma extensão do mesmo, de forma a facilitar e reduzir o tempo necessário que um analista de QA(Quality Assurance) irá dispender com a verificação dos cookies.por
dc.language.isoporpor
dc.rightsopenAccesspor
dc.rights.urihttp://creativecommons.org/licenses/by-nc/4.0/por
dc.subjectAuthenticationpor
dc.subjectBurp suitepor
dc.subjectCookie detectionpor
dc.subjectMachine Learningpor
dc.subjectSecuritypor
dc.subjectAutenticaçãopor
dc.subjectDeteção de cookiespor
dc.subjectSegurançapor
dc.titleAprendizagem automática aplicada à deteção de vulnerabilidadespor
dc.typemasterThesiseng
dc.identifier.tid203156935por
thesis.degree.grantorUniversidade do Minhopor
sdum.degree.grade16 valorespor
sdum.uoeiEscola de Engenhariapor
dc.subject.fosEngenharia e Tecnologia::Engenharia Eletrotécnica, Eletrónica e Informáticapor
Appears in Collections:BUM - Dissertações de Mestrado
DI - Dissertações de Mestrado

Files in This Item:
File Description SizeFormat 
Paulo Filipe Silva Ribeiro.pdf2,06 MBAdobe PDFView/Open

This item is licensed under a Creative Commons License Creative Commons

Partilhe no FacebookPartilhe no TwitterPartilhe no DeliciousPartilhe no LinkedInPartilhe no DiggAdicionar ao Google BookmarksPartilhe no MySpacePartilhe no Orkut
Exporte no formato BibTex mendeley Exporte no formato Endnote Adicione ao seu ORCID