МЕТОД ВИЯВЛЕННЯ ТА УСУНЕННЯ ВРАЗЛИВОСТІ INPUT КОМПОНЕНТІВ У МОДЕЛІ DOM ЗА ДОПОМОГОЮ fDOM

DOI: 10.31673/2412-4338.2023.045963

  • Залива В. В. (Zalyva V. V.) Державний університет інформаційно-комунікаційних технологій, Київ

Анотація

У статті розглядається прогресивний підхід до забезпечення безпеки веб-додатків шляхом ідентифікації та ліквідації вразливостей вхідних компонентів у моделі Документного Об'єктового Моделювання (DOM). Основна увага приділяється розробці fDOM - формальної версії DOM, яка автоматизує процес "санітації" атрибутів, активно видаляючи потенційно небезпечний вміст, зокрема у випадках, коли мова йде про теги <script> і пов'язані з ними загрози, як-от міжсайтовий скриптинг (XSS).
У статті детально розглядається існуюча структура DOM, виявляються основні вразливості, а також вносяться нововведення у вигляді методу sanitize для запобігання можливим атакам. Технічні аспекти включають алгоритми для очищення атрибутів та елементів, а також процедуру очищення вхідних даних. Демонструється ефективність запропонованої моделі за допомогою серії тестів та лем, які підтверджують відсутність шкідливого вмісту після процедури санітації.
Також розглядається верифікація методу виявлення та усунення вразливостей за допомогою системи формальної верифікації Isabelle/HOL, що підкреслює значення формальних методів у забезпеченні безпеки веб-додатків. У статті оцінюються сильні та слабкі сторони fDOM, висвітлюються потенційні напрямки для подальшого розвитку моделі, адаптації під динамічний контент та дослідження інтеграцій зі сторонніми службами.
Демонстрація ефективності fDOM за допомогою набору тестів підтвердила його здатність нейтралізувати потенційно небезпечний код, вказуючи на успіх цього підходу у забезпеченні вищого рівня безпеки веб-додатків.

Ключові слова: fDOM, інформаційні системи, міжсайтовий скриптинг, DOM, Isabelle/HOL, інформаційна технологія, веб-додатки.

Список використаної літератури
1. Goldstein, A., & Sutton, P. “Розробка веб-компонентів HTML5 за допомогою Polymer.” 2018.
2. Hoffman, A. "Web Application Security: Exploitation and Countermeasures for Modern Web Applications.", 2020.
3. Grigsby, J. “Веб-компоненти на практиці.” Manning Publications, 2019.
4. Achim D. Brucker and Michael Herzberg. “A Formalization of Web Components”, 2020.
5. WHATWG. DOM – “Living Standard.”, 2019.
6. J. Oh, W. H. Ahn and T. Kim. “Web app restructuring based on shadow DOMs to improve maintainability.”, 2017
7. Moshenchenko M., Zhurakovskyi B., Poltorak V., Bondarchuk A., Korshun N. Optimization Algorithms of Smart City Wireless Sensor Network Control / CEUR Workshop Proceedings, 2021, 3188, p. 32–42
8. Zhebka V., Gertsiuk M., Sokolov V., Malinov V., Sablina M. Optimization of Machine Learning Method to Improve the Management Efficiency of Heterogeneous Telecommunication Network CEUR Workshop Proceedings, 2022, 3288, p. 149–155

Номер
Розділ
Статті