Effektiv sikkerhetstesting av webapplikasjoner med rikt innhold

Abstract

I nyere webapplikasjoner er brukerinnhold, interaktivitet og rask responstid blitt viktig. Kravene medfører nye kommunikasjonsmodeller og applikasjonslogikk på klientsiden. Utviklingen har ført til at tradisjonelle teknikker for sikkerhetstesting ikke lenger gir et helhetlig bilde av de sårbarheter webapplikasjonen er utsatt for. Det blir i oppgaven sett på metoder for å effektivisere sårbarhetsanalysen av web-applikasjoner med rik klientkode. Som et ledd i å effektivisere sårbarhetsanalysen, blir det lagt vekt på metoder for å automatisere prosessen. Utfordringen ligger i dekomponering av kommunikasjonsmodellen mellom klient og tjener. Sikkerhetstestingen trenger en oversikt over endepunktene på tjenersiden. Et verktøy som opprinnelig var ment for å gjøre informasjonsinnhold i AJAX-baserte webapplikasjoner tilgjengelig for søkemotorer, blir i oppgaven brukt for å avdekke endepunkter i webapplikasjoner med rik klientkode. Teknikken avdekker endepunkter og parametre som ikke lar seg identifisere under tradisjonell crawling. Metoden baserer seg på event-drevet crawling, der tilstandsendringer i nettleseren blir brukt for å kartlegge endepunktene. I kombinasjon med eksisterende verktøy for sikkerhetstesting blir event-drevet crawling brukt som et ledd i sikkerhetstesting av en eksempelapplikasjon. Resultatet viser at det er mulig å automatisere endepunktanalysen, og derfor effektivisere sikkerhetstestingen av webapplikasjoner med rik klientkode.