Avusturya’daki Viyana Teknoloji Üniversitesi’ndeki kişiler, tarayıcı güvenliğini analiz etmek için WebSpec adlı resmi bir güvenlik çerçevesi geliştirdi.

Bunu, web tarayıcılarını etkileyen birkaç mantıksal kusuru belirlemek için kullandılar ve yeni bir çerez tabanlı saldırıyı ve içerik güvenliği yönergeleriyle çözülmemiş çatışmayı ortaya çıkardılar.

Bu mantıksal hatalar mutlaka güvenlik kusurları değildir, ancak olabilirler. Bunlar, web platformunun spesifikasyonları ile bu spesifikasyonların web tarayıcılarında fiilen uygulanma şekli arasındaki tutarsızlıklardır.

WebÖzelliği Lorenzo Veronese, Benjamin Farinier, Mauro Tempesta, Marco Squarcina ve Matteo Maffei tarafından manuel değerlendirme yerine otomatik, doğrulanabilir kural kontrolleri yoluyla web güvenliğini geliştirmek için geliştirilmiştir.

Tarayıcılar, içindekiler gibi. açıklamak bilimsel bir çalışma, “WebSpec: Tarayıcı Güvenlik Mekanizmalarının Makine Kontrollü Analizine Doğru”, son derece karmaşık hale geldi ve ek bileşenler eklendikçe daha karmaşık hale geldi web platformu.

Araştırmacılar, yeni web platformu bileşenlerinin uygunluk testine tabi tutulduğunu, ancak yeni teknolojilerin eski API’ler ve özel tarayıcı uygulamalarıyla nasıl etkileşime girdiğini anlamak için teknik uzmanlar tarafından manuel olarak incelendiğini söylüyor.

Bilgisayar bilimcileri, “Maalesef manüel kontroller sırasında mantıksal hatalar gözden kaçıyor, bu da nihayetinde kritik güvenlik açıklarına yol açıyor”, diyor bilgisayar bilimcileri ve piyasaya sürülmesinden sekiz yıl sonra olduğuna dikkat çekiyorlar. yalnızca HTTP Internet Explorer 6’da bayrak – istemci tarafı komut dosyalarından gelen çerezleri gizli tutmak için – araştırmacılar bayrağı keşfetti atlanabilir kullanarak bir AJAX isteğinin yanıt başlıklarına erişen komut dosyaları aracılığıyla getResponseHeader İşlev.

WebSpec kullanır Coq teoremi kanıtlama dili tarayıcıların etkileşimini ve belirtilen davranışlarını resmi bir teste tabi tutmak. Tarayıcı güvenliğini, Tatmin Edilebilirlik Modulo Teorilerinin (SMT) makine tarafından doğrulanabilir bir kanıtı haline getirir. [PDF].

Web spesifikasyonları ve tarayıcılar arasındaki tutarsızlıkları test etmek için araştırmacılar, her biri “bileşenlerinin birbirleriyle nasıl etkileşime girebileceğine bakılmaksızın, güncellemeleri boyunca tutması beklenen web platformunun bir özelliğini tanımlayan on “değişmez” tanımladı. . “

Bu değişmezler veya kurallar, aşağıdakiler gibi karşılanması gereken test edilebilir koşulları temsil eder: Güvenli özellik RFC 6265, bölüm 4.1.2.5’te tanımlandığı gibi yalnızca güvenli kanallar aracılığıyla (set tanımlama bilgisi başlığı kullanılarak) ayarlanabilir.

Değerlendirilen on değişmezden üçü başarısız oldu.

Makale, “Özellikle, WebSpec’in çerezler için __host önekine yönelik yeni bir saldırıyı ve içerik güvenlik ilkesinin devralma kuralları ile HTML standardında planlı bir değişiklik arasındaki yeni bir tutarsızlığı nasıl ortaya çıkarabileceğini gösteriyoruz” diye açıklıyor.

“__Host-” ön ekine sahip HTTP çerezleri yalnızca ayarlamak ana bilgisayar etki alanı veya bu etki alanının sayfalarında bulunan komut dosyaları tarafından. Ancak WebSpec, ilişkili değişmez testi kırmak için bir saldırı buldu.

“Bir sayfada çalıştırılan bir komut dosyası, çalışma zamanında SOP için kullanılan etkin etki alanını değiştirebilir. [Same-Origin Policy] Document.domain API tarafından doğrulanmış, “makaleyi açıklar, Belge Nesne Modeli ve Çerez Kavanozundaki erişim kontrol politikaları arasındaki tutarsızlığın, bir iframe içinde yürütülen bir komut dosyasının bir üst sayfadaki document.cookie özelliğine erişmesine izin verdiğini belirterek, her iki taraf da document.domain’i aynı değere ayarladığında.

Araştırmacılar, mevcut web platformunun bu saldırıya karşı savunmasız kalmasına rağmen, bir noktada artık olmayacağını belirtiyor: Document.domain özelliği güncel değil, bu da bir gün gelecekteki tarayıcı güncellemelerinin artık onu desteklemeyeceği anlamına geliyor.

Yazarlar ayrıca yolla bir tutarsızlık keşfetmek için WebSpec’i kullandılar. blob nesneleri – Yerleşik nesne yöntemleri kullanılarak metin, ikili veya akış olarak okunabilen veriler içeren nesneler – içerik güvenlik ilkelerini devralır.

Lorenzo Veronese, Viyana Teknoloji Üniversitesi’nde doktora öğrencisi, ele alınan konu HTML standartlarının çalışma grubuna geçen Temmuz ayında, ancak farklı davranışlarda bulunan CSP spesifikasyonu ve İlke kapsayıcı açıklaması yine de barışmak gerekiyor.

Google yazılım mühendisi Antonio Sartori, geliştirdiği bir çözüm ancak yine de HTML standardına entegre edilmesi gerekiyor.

Her durumda, WebSpec’in tarayıcı davranışını resmi olarak değerlendirmek için bir araç olarak kullanılabilirliği, genişleyen bir tarayıcı kod tabanını sürdürmek için mücadele edenler için hayatı biraz daha kolaylaştırmalıdır. ®

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir