1. Repositório Aberto da Universidade do Porto
  2. FEUP - Faculdade de Engenharia
  3. FEUP - Dissertação
Please use this identifier to cite or link to this item: https://hdl.handle.net/10216/90208
Author(s): Vitor Emanuel Freitas Oliveira Magano
Title: Escudo para Aplicações Web contra injeção de Conteúdo através de Content Security Policy
Issue Date: 2015-07-20
Abstract: This MSc thesis topic focused on security was proposed by the company JScrambler which holds the product with the same name and in turn provides a complete JavaScript protection so- lution. This company, being aware of the progress in this area, found the security mechanism Content Security Policy an interesting tool that worth look into. Broadly speaking this tool li- mits the content to run in a website to the declared through CSP being that the attempt to content injection exceeding what was allowed will be blocked and reported to the server. Following this tool is the great workload required for its configuration and maintenance which requires proper attention to avoid more serious problems, such as downtime, which can be caused by a misconfiguration of policies or poor maintenance. That said, looking forward to solve this problem the creation of a solution was proposed to ease the workload by generating CSP policies through code analysis. On a first stage an analysis of the area that covered several of JavaScript protection methods in which the subject is inserted was made in order to understand their current status and evaluate the feasibility of the proposal. In this analysis a comparison between several existing tools in the areas of protection and code analysis and between tools for generation of CSP and the solution to be developed was conducted. The solution was proposed and planned their future development given all the research per- formed. The great advantage of it over the others tools is the full integration with the project that comes from the analysis of the code that will enable the generation of suitable and appropriate CSP policies. The project planning has taken into account the adoption of agile development metho- dology SCRUM with two week iterations and will be adopted in the next phase of the project, the conception phase of the proposed solution. It is intended that the solution to be developed will be successful and represents a breakthrough in the use of Content Security Policy as an added value in protecting from attacks content injection.
Description: Este tema de dissertação centrado na segurança foi proposto pela empresa JScrambler que é detentora do produto com o mesmo nome que, por sua vez oferece uma solução de proteção de JavaScript completa. Estando a empresa a par dos progressos nesta área, o mecanismo de segurança Content Security Policy despertou interesse pelas suas potencialidades. De forma geral esta ferramenta limita a execução de conteúdo num website ao declarado através do CSP sendo que a tentativa de injeção de conteúdo que exceda o que foi permitido será bloqueado e reportado ao servidor. Adjacente a esta ferramenta está a grande carga de trabalho necessária à configuração e ma- nutenção da mesma que requer a devida atenção para evitar problemas de gravidade maior, como downtime, que podem ser causados por uma má configuração das políticas ou por má manutenção das mesmas. Posto isto, tendo em conta este problema foi proposta a criação de uma solução que aliviasse a carga de trabalho através da geração de políticas de CSP por análise de código. Começou-se por uma análise da área que cobriu vários métodos de proteção de JavaScript em que o tema se insere a fim de compreender o seu estado atual e avaliar a viabilidade da proposta. Nesta análise foi feita uma comparação entre várias ferramentas existentes nas áreas de proteção e análise de código bem como ferramentas de geração de CSP e com a solução a ser desenvolvida, solução esta que foi estruturada e planeado o seu futuro desenvolvimento atendendo a toda a pes- quisa efetuada. A grande vantagem desta face às restantes ferramentas passa pela integração total com o projeto que provém da análise do código que vai permitir a geração de políticas perfeita- mente adequadas ao mesmo. O planeamento do projeto teve em conta a adoção da metodologia ágil de desenvolvimento SCRUM com iterações de duas semanas e será adotada na próxima fase do tema, fase de conceção da solução proposta. Espera-se que a solução a desenvolver seja bem sucedida e represente um avanço na utilização do Content Security Policy como uma mais valia na proteção de ataques provenientes de injeção de conteúdo.
Subject: Engenharia electrotécnica, electrónica e informática
Electrical engineering, Electronic engineering, Information engineering
Scientific areas: Ciências da engenharia e tecnologias::Engenharia electrotécnica, electrónica e informática
Engineering and technology::Electrical engineering, Electronic engineering, Information engineering
DOI: 10.34626/gdpv-ex96
TID identifier: 201322935
URI: https://hdl.handle.net/10216/90208
Document Type: Dissertação
Rights: openAccess
Appears in Collections:FEUP - Dissertação

Files in This Item:
File Description SizeFormat 
36703.pdfWeb Application Shield Against Injections using Content Security Policy642.62 kBAdobe PDFThumbnail
View/Open
Show full item record Recommend this item Display Statistics


Items in DSpace are protected by copyright, with all rights reserved, unless otherwise indicated.