Please use this identifier to cite or link to this item: https://hdl.handle.net/1822/36716

TitleHTML5 - análise dos riscos de segurança e testes de penetração a aplicações web
Author(s)Gonçalves, Manuel Francisco Mendes
Advisor(s)Ribeiro, António Nestor
KeywordsHTM5
Segurança
Black Box
Issue date18-Jul-2014
Abstract(s)A nova versão do HTML traz melhorias significativas relativamente à construcão de aplicacões web mais ricas. Contudo, com as novas funcionalidades vêm acoplados a elas sempre novos riscos de segurança que precisam ser analisados e colmatados. Anteriormente ao HTML5 já existiam determinadas ameaças de segurança que afetavam as aplicacões web (tais como SQLInjection, XSS, CSRF, etc), e que ganham um novo potencial devido aos novos recursos do HTML. Este estudo foca precisamente a análise dessas ameaças bem conhecidas, em conjunto com a análise dos riscos de segurança associados às novas funcionalidades do HTML5, assim como a apresentacão de regras para atenuacão das mesmas. Adicionalmente são apresentados um conjunto de módulos para detecão de vulnerabilidades HTML5 em aplicacões web. As quais são originadas devido à má utilizacão do HTML5 durante a fase de desenvolvimento. Esse conjunto de módulos corresponde a uma extensão adicionada a um Black Box Web Application Security Scanner bem conhecido da OWASP designado ZAP. Isso implicou adicionar também algumas funcionalidades HTML5 a uma aplicacão web também da OWASP designada Wave ZAP, cujo objetivo é ser utilizada para realizar testes de penetracão a fim de testar esses novos módulos do ZAP.
The new version of HTML, offers impressive enhancements to develop rich web applications. But coupled with new features they always come new security issues that need to be analyzed and covered. Prior to HTML5 already existed certain security threats that affecting the web applications (such as SQLInjection, XSS, CSRF, etc.), and that gain a new potential due to the new HTML features. This study focuses specifically on the analysis of these well known threats, together with the analysis of the security risks associated with the new features of HTML5, as well as, the presentation of mitigation rules. Additionally are presented a set of modules for detecting HTML5 vulnerabilities in web applications, caused by inadequate use of HTML5 during the development phase. This set of modules corresponds to an extension added to a Black Box Web Application Security Scanner well known called ZAP, which is owned by OWASP. This also implied the adding of some HTML5 features to the Wave ZAP web application, also owned by OWASP, with the intent to perform penetration tests against it, in order to test these new ZAP modules.
TypeMaster thesis
DescriptionDissertação de mestrado em Engenharia Informática
URIhttps://hdl.handle.net/1822/36716
AccessOpen access
Appears in Collections:BUM - Dissertações de Mestrado
DI - Dissertações de Mestrado

Files in This Item:
File Description SizeFormat 
eeum_di_dissertacao_pg17286.pdf2,03 MBAdobe PDFView/Open

Partilhe no FacebookPartilhe no TwitterPartilhe no DeliciousPartilhe no LinkedInPartilhe no DiggAdicionar ao Google BookmarksPartilhe no MySpacePartilhe no Orkut
Exporte no formato BibTex mendeley Exporte no formato Endnote Adicione ao seu ORCID