SIP - TCCs de Ciência da Computação

Menu: TCCs de Ciência da Computação

Título: INCLUSÕES DE ORIGEM CRUZADA UM ESTUDO DA VULNERABILIDADE CROSS-SITE SCRIPT INCLUSION, CENÁRIOS E PREVALÊNCIA NOS NAVEGADORES

Título alternativo: CROSS-SITE INCLUSION A STUDY OF THE CROSS-SITE SCRIPT INCLUSION VULNERABILITY, SCENARIOS AND PREVALENCE IN BROWSERS

Autoria de: Henrique Curi de Miranda

Orientação de: Luiz Henrique Andrade Correia

Presidente da banca: Luiz Henrique Andrade Correia

Primeiro membro da banca: Rafael Serapilha Durelli

Segundo membro da banca: Renan Villela Oliveira

Palavras-chaves: Segurança cibernética, Cookies, Política de Mesma Origem, Cross-Site Script Inclusion, SameSite

Data da defesa: 12/06/2024

Semestre letivo da defesa: 2024-1

Data da versão final: 30/06/2024

Data da publicação: 30/06/2024

Referência: Miranda, H. C. d. INCLUSÕES DE ORIGEM CRUZADA UM ESTUDO DA VULNERABILIDADE CROSS-SITE SCRIPT INCLUSION, CENÁRIOS E PREVALÊNCIA NOS NAVEGADORES. 2024. 67 p. Trabalho de Conclusão de Curso (Graduação em Ciência da Computação Bacharelado)-Universidade Federal de Lavras, Lavras, 2024.

Resumo: A Cross-Site Script Inclusion (XSSi) consiste em uma classe de vulnerabilidades que abusa de requisições de origem cruzada e anexação de cookies nas mesmas, sendo fonte de forte negligência ao longo dos anos, tanto por pesquisadores quanto por desenvolvedores e mantenedores de aplicações web. Este trabalho analisa a vulnerabilidade a partir das mudanças ocorridas em navegadores e políticas de segurança nos últimos anos. Foram analisados três cenários de inclusão a partir de um ambiente simulado, sendo observado o comportamento de diversos navegadores em suas versões mais recentes e um navegador específico em diferentes versões, além de analisar o impacto da implementação do atributo SameSite aos cookies. Foi observado mudanças no comportamento dos navegadores atuais, alguns permitindo e outros não permitindo a ocorrência da vulnerabilidade. A mudança de comportamento observada no navegador específico e nos navegadores atuais estão relacionadas com a inclusão ou não dos cookies em requisições de origem cruzada, tendo o atributo SameSite representado impacto. As estratégias de mitigação para a vulnerabilidade podem ser atualizadas com recomendação de configuração adequada dos cookies de sessão. Além dos cenários clássicos analisados, a inclusão de arquivos de mídia podem representar impacto para a segurança cibernética.

Abstract: Cross-Site Script Inclusion (XSSI) is a class of vulnerabilities that exploits cross-origin requests and cookie attachment within them, having been a source of significant oversight over the years, both by researchers and by web application developers and maintainers. This work analyzes the vulnerability based on changes that have occurred in browsers and security policies in recent years. Three inclusion scenarios were analyzed using a simulated environment, observing the behavior of various browsers in their latest versions and a specific browser in different versions. The impact of implementing the SameSite attribute on cookies was also examined. Changes in the behavior of current browsers were observed, with some allowing and others not allowing the vulnerability to occur. The observed change in behavior in the specific browser and current browsers is related to whether cookies are included in cross-origin requests, with the SameSite attribute having an impact. Mitigation strategies for the vulnerability can be updated with recommendations for proper session cookie configuration. In addition to classic scenarios analyzed, the inclusion of media files can also have an impact on cybersecurity.

URI: sip.prg.ufla.br/publico/trabalhos_conclusao_curso/acessar_tcc_por_curso/
ciencia_da_computacao/20241202020087

URI alternaviva: sem URI do Repositório Institucional da UFLA até o momento.

Curso: G010 - CIÊNCIA DA COMPUTAÇÃO (BACHARELADO)

Nome da editora: Universidade Federal de Lavras

Sigla da editora: UFLA

País da editora: Brasil

Gênero textual: Trabalho de Conclusão de Curso

Nome da língua do conteúdo: Português

Código da língua do conteúdo: por

Licença de acesso: Acesso aberto

Nome da licença: Licença do Repositório Institucional da Universidade Federal de Lavras

URI da licença: repositorio.ufla.br

Termos da licença: Acesso aos termos da licença em repositorio.ufla.br

Detentores dos direitos autorais: Henrique Curi de Miranda e Universidade Federal de Lavras

Baixar arquivo