Sven Mauch
Bachelor Thesis, Hochschule Wismar, April 2023
Autor: Sven Mauch
Titel: Mitigation von XSS-Schwachstellen in Web-Anwendungen
Abstrakt
XSS-Schwachstellen (Cross-Site-Scripting) sind bis heute eine der häufigsten Sicherheitslücken in Webanwendungen. Sie sind ein erheblicher Risikofaktor für Datendiebstahl und der Verbreitung von Malware. Diese Thesis gibt eine allgemeine Einführung in das Thema Sicherheit von Webanwendungen und geht im Detail auf XSS-Schwachstellen ein. Es wurden Abhilfemaßnahmen für drei verschiedene Arten von XSS-Schwachstellen (Reflected XSS, Stored XSS und DOM-Based XSS) in verschiedenen Angriffsszenarien angewandt und analysiert. Die untersuchten Abhilfemaßnahmen waren Input Validation, Input Sanitization, Output Encoding, URL Encoding, Content Security Policy, Content-Type Header, X-XSS-Protection Header und HttpOnly Flag für Cookies. Das Ergebnis der Untersuchung zeigt, dass es zahlreiche Mitigationsmaßnahmen mit unterschiedlichem Wirkungsgrad gibt. HttpOnly Flag für Cookies und Content-Type Header schützen nur in bestimmten Szenarien. Der X-XSS-Protection Header wird zum Großteil nicht mehr unterstützt und kann in bestimmten Fällen sogar das Risiko erhöhen.
Abstract
XSS vulnerabilities (cross-site scripting) are one of the most prevailing security flaws of web applications to this date. They are a major risk factor for data theft and malware distribution. This thesis gives a general introduction to web application security and in detail to XSS vulnerabilities. Mitigations for three different types of XSS vulnerabilities (reflected XSS, stored XSS and DOM based XSS) in separate attack scenarios were applied and analyzed. The analyzed mitigation methods were input validation, input sanitization, output encoding, URL encoding, Content Security Policy, Content-Type header, X-XSS-Protection header and HttpOnly flag for cookies. The result of the analysis shows that there are numerous mitigation methods with varying amounts of effectiveness. HttpOnly flag for cookies and Content-Type Header only protect in specific scenarios while X-XSS-Protection header has been found to be largely deprecated and even increases risk in specific cases.
