Zobrazit v EDS

TaintJSec: um método de análise estática de marcação em código Javascript para detecção de vazamento de dados sensíveis

Uloženo v:
Podrobná bibliografie
Název: TaintJSec: um método de análise estática de marcação em código Javascript para detecção de vazamento de dados sensíveis
Autoři: Damasceno, Alexandre Braga
Thesis Advisors: secretaria@icomp.ufam.edu.br, Souto, Eduardo James Pereira, Rocha, Thiago de Souza, Feitosa, Eduardo Luzeiro, Grégio, André Ricardo Abed, Martins, Gilbert Breves
Zdroj: Biblioteca Digital de Teses e Dissertações da UFAMUniversidade Federal do AmazonasUFAM.
Publication Status: publishedVersion
Informace o vydavateli: Universidade Federal do Amazonas; Programa de Pós-graduação em Informática; UFAM; Brasil; Instituto de Computação, 2017.
Rok vydání: 2017
Sbírka: IBICT Brazilian ETDs
Original Material: DAMASCENO, Alexandre Braga. TaintJSec: um método de análise estática de marcação em código Javascript para detecção de vazamento de dados sensíveis. 2017. 129 f. Dissertação (Mestrado em Informática) - Universidade Federal do Amazonas, Manaus, 2017.
Témata: Vazamento de Informação, Dados Sensíveis, JavaScript, CIENCIAS EXATAS E DA TERRA: CIENCIA DA COMPUTACAO
Popis: Submitted by Divisão de Documentação/BC Biblioteca Central (ddbc@ufam.edu.br) on 2018-03-27T13:38:38Z No. of bitstreams: 2 license_rdf: 0 bytes, checksum: d41d8cd98f00b204e9800998ecf8427e (MD5) Dissertação_ Alexandre Braga Damasceno.pdf: 2882353 bytes, checksum: ba5386fcabb7f1cc0393fe4cdef1e662 (MD5)
Approved for entry into archive by Divisão de Documentação/BC Biblioteca Central (ddbc@ufam.edu.br) on 2018-03-27T13:38:50Z (GMT) No. of bitstreams: 2 license_rdf: 0 bytes, checksum: d41d8cd98f00b204e9800998ecf8427e (MD5) Dissertação_ Alexandre Braga Damasceno.pdf: 2882353 bytes, checksum: ba5386fcabb7f1cc0393fe4cdef1e662 (MD5)
Made available in DSpace on 2018-03-27T13:38:50Z (GMT). No. of bitstreams: 2 license_rdf: 0 bytes, checksum: d41d8cd98f00b204e9800998ecf8427e (MD5) Dissertação_ Alexandre Braga Damasceno.pdf: 2882353 bytes, checksum: ba5386fcabb7f1cc0393fe4cdef1e662 (MD5) Previous issue date: 2017-12-22
Javascript is one of the most used programming languages in the world and continues to expand gradually. Such success is due to the great flexibility and dynamicity that the language has, which greatly facilitates the creation of applications. However, this same characteristic that makes it a successful language is also what makes it difficult to analyze static execution flow, which aims to identify the presence of malicious code in applications. This work presents TaintJSec, a new approach that uses static code marking analysis to identify and prevent leakage of sensitive information in web applications. Unlike other works based on static analysis, TaintJSec is able to check the explicit and implicit code flow, accompanies the propagation of the taint tag in the execution of the eval function, and is able to identify information leakage in obfuscated codes. To validate the effectiveness of the approach, taint tag propagation tests were performed in a range of tests divided into 13 different test groups. Then, tests were performed to evaluate the propagation of the eval function. Finally, the approach was tested in a malicious code, obscured by five different tools, specific for that purpose. The results demonstrated that the approach is effective in detecting information leakage and more efficient than other methods of the state of the art.
Javascript é uma das linguagens de programação mais utilizadas no mundo e continua expandindo-se gradativamente. Tal expansão deve-se à grande flexibilidade e dinamicidade que a linguagem possui, o que facilita bastante a criação de aplicações. Porém, essa mesma característica que a torna uma linguagem de sucesso é também o que torna difícil a análise estática do fluxo de execução, processo esse que visa identificar a presença de códigos maliciosos nas aplicações. Este trabalho apresenta o TaintJSec, uma nova abordagem que utiliza análise estática de marcação de código JavaScript para identificar e prevenir o vazamento de informação sensível. O diferencial do TaintJSec em relação aos outros trabalhos que utilizam análise estática de marcação é que ele consegue analisar o fluxo de códigos implícitos, acompanha a propagação do taint tag na execução da função eval e identifica o vazamento de informação em códigos ofuscados. Para validar a eficácia da abordagem, foram realizados testes de propagação do taint tag, dividos em 13 grupos de testes distintos. Em seguida, foram realizados testes para avaliar a propagação na execução da função eval. Por fim, a abordagem foi testada em um código malicioso, ofuscado por cinco ferramentas diferentes, específicas para tal finalidade. Os resultados obtidos demonstraram que a abordagem é eficaz na detecção do vazamento de informação e mais eficiente que outros métodos do estado da arte.
Original Identifier: oai:http://localhost:tede/6267
Druh dokumentu: masterThesis
Popis souboru: application/pdf
Jazyk: Portuguese
Relation: -4944679560386888838; 500; 4163267508810754609
Dostupnost: https://tede.ufam.edu.br/handle/tede/6267
Rights: info:eu-repo/semantics/openAccess
URL: http://creativecommons.org/licenses/by-nc-nd/4.0/
Přístupové číslo: edsndl.IBICT.oai.http...localhost.tede.6267
Databáze: Networked Digital Library of Theses & Dissertations
FullText Text:
  Availability: 0
CustomLinks:
  – Url: https://tede.ufam.edu.br/handle/tede/6267#
    Name: EDS - Networked Digital Library of Theses & Dissertations (s4221598)
    Category: fullText
    Text: View record from Networked Digital Library of Theses & Dissertations
  – Url: https://www.webofscience.com/api/gateway?GWVersion=2&SrcApp=EBSCO&SrcAuth=EBSCO&DestApp=WOS&ServiceName=TransferToWoS&DestLinkType=GeneralSearchSummary&Func=Links&author=Damasceno%20AB
    Name: ISI
    Category: fullText
    Text: Nájsť tento článok vo Web of Science
    Icon: https://imagesrvr.epnet.com/ls/20docs.gif
    MouseOverText: Nájsť tento článok vo Web of Science
Header DbId: edsndl
DbLabel: Networked Digital Library of Theses & Dissertations
An: edsndl.IBICT.oai.http...localhost.tede.6267
RelevancyScore: 798
AccessLevel: 3
PubType: Dissertation/ Thesis
PubTypeId: dissertation
PreciseRelevancyScore: 798.255737304688
IllustrationInfo
Items – Name: Title
  Label: Title
  Group: Ti
  Data: TaintJSec: um método de análise estática de marcação em código Javascript para detecção de vazamento de dados sensíveis
– Name: Author
  Label: Authors
  Group: Au
  Data: <searchLink fieldCode="AR" term="%22Damasceno%2C+Alexandre+Braga%22">Damasceno, Alexandre Braga</searchLink>
– Name: Author
  Label: Thesis Advisors
  Group: Au
  Data: secretaria@icomp.ufam.edu.br<br />Souto, Eduardo James Pereira<br />Rocha, Thiago de Souza<br />Feitosa, Eduardo Luzeiro<br />Grégio, André Ricardo Abed<br />Martins, Gilbert Breves
– Name: TitleSource
  Label: Source
  Group: Src
  Data: <i>Biblioteca Digital de Teses e Dissertações da UFAMUniversidade Federal do AmazonasUFAM</i>.
– Name: Publisher
  Label: Publication Status
  Group: PubInfo
  Data: publishedVersion
– Name: Publisher
  Label: Publisher Information
  Group: PubInfo
  Data: Universidade Federal do Amazonas; Programa de Pós-graduação em Informática; UFAM; Brasil; Instituto de Computação, 2017.
– Name: DatePubCY
  Label: Publication Year
  Group: Date
  Data: 2017
– Name: Subset
  Label: Collection
  Group: HoldingsInfo
  Data: IBICT Brazilian ETDs
– Name: Original Material
  Label: Original Material
  Group:
  Data: DAMASCENO, Alexandre Braga. TaintJSec: um método de análise estática de marcação em código Javascript para detecção de vazamento de dados sensíveis. 2017. 129 f. Dissertação (Mestrado em Informática) - Universidade Federal do Amazonas, Manaus, 2017.
– Name: Subject
  Label: Subject Terms
  Group: Su
  Data: <searchLink fieldCode="DE" term="%22Vazamento+de+Informação%22">Vazamento de Informação</searchLink><br /><searchLink fieldCode="DE" term="%22Dados+Sensíveis%22">Dados Sensíveis</searchLink><br /><searchLink fieldCode="DE" term="%22JavaScript%22">JavaScript</searchLink><br /><searchLink fieldCode="DE" term="%22CIENCIAS+EXATAS+E+DA+TERRA%3A+CIENCIA+DA+COMPUTACAO%22">CIENCIAS EXATAS E DA TERRA: CIENCIA DA COMPUTACAO</searchLink>
– Name: Abstract
  Label: Description
  Group: Ab
  Data: Submitted by Divisão de Documentação/BC Biblioteca Central (ddbc@ufam.edu.br) on 2018-03-27T13:38:38Z No. of bitstreams: 2 license_rdf: 0 bytes, checksum: d41d8cd98f00b204e9800998ecf8427e (MD5) Dissertação_ Alexandre Braga Damasceno.pdf: 2882353 bytes, checksum: ba5386fcabb7f1cc0393fe4cdef1e662 (MD5)<br />Approved for entry into archive by Divisão de Documentação/BC Biblioteca Central (ddbc@ufam.edu.br) on 2018-03-27T13:38:50Z (GMT) No. of bitstreams: 2 license_rdf: 0 bytes, checksum: d41d8cd98f00b204e9800998ecf8427e (MD5) Dissertação_ Alexandre Braga Damasceno.pdf: 2882353 bytes, checksum: ba5386fcabb7f1cc0393fe4cdef1e662 (MD5)<br />Made available in DSpace on 2018-03-27T13:38:50Z (GMT). No. of bitstreams: 2 license_rdf: 0 bytes, checksum: d41d8cd98f00b204e9800998ecf8427e (MD5) Dissertação_ Alexandre Braga Damasceno.pdf: 2882353 bytes, checksum: ba5386fcabb7f1cc0393fe4cdef1e662 (MD5) Previous issue date: 2017-12-22<br />Javascript is one of the most used programming languages in the world and continues to expand gradually. Such success is due to the great flexibility and dynamicity that the language has, which greatly facilitates the creation of applications. However, this same characteristic that makes it a successful language is also what makes it difficult to analyze static execution flow, which aims to identify the presence of malicious code in applications. This work presents TaintJSec, a new approach that uses static code marking analysis to identify and prevent leakage of sensitive information in web applications. Unlike other works based on static analysis, TaintJSec is able to check the explicit and implicit code flow, accompanies the propagation of the taint tag in the execution of the eval function, and is able to identify information leakage in obfuscated codes. To validate the effectiveness of the approach, taint tag propagation tests were performed in a range of tests divided into 13 different test groups. Then, tests were performed to evaluate the propagation of the eval function. Finally, the approach was tested in a malicious code, obscured by five different tools, specific for that purpose. The results demonstrated that the approach is effective in detecting information leakage and more efficient than other methods of the state of the art.<br />Javascript é uma das linguagens de programação mais utilizadas no mundo e continua expandindo-se gradativamente. Tal expansão deve-se à grande flexibilidade e dinamicidade que a linguagem possui, o que facilita bastante a criação de aplicações. Porém, essa mesma característica que a torna uma linguagem de sucesso é também o que torna difícil a análise estática do fluxo de execução, processo esse que visa identificar a presença de códigos maliciosos nas aplicações. Este trabalho apresenta o TaintJSec, uma nova abordagem que utiliza análise estática de marcação de código JavaScript para identificar e prevenir o vazamento de informação sensível. O diferencial do TaintJSec em relação aos outros trabalhos que utilizam análise estática de marcação é que ele consegue analisar o fluxo de códigos implícitos, acompanha a propagação do taint tag na execução da função eval e identifica o vazamento de informação em códigos ofuscados. Para validar a eficácia da abordagem, foram realizados testes de propagação do taint tag, dividos em 13 grupos de testes distintos. Em seguida, foram realizados testes para avaliar a propagação na execução da função eval. Por fim, a abordagem foi testada em um código malicioso, ofuscado por cinco ferramentas diferentes, específicas para tal finalidade. Os resultados obtidos demonstraram que a abordagem é eficaz na detecção do vazamento de informação e mais eficiente que outros métodos do estado da arte.
– Name: AN
  Label: Original Identifier
  Group: ID
  Data: oai:http://localhost:tede/6267
– Name: TypeDocument
  Label: Document Type
  Group: TypDoc
  Data: masterThesis
– Name: Format
  Label: File Description
  Group: SrcInfo
  Data: application/pdf
– Name: Language
  Label: Language
  Group: Lang
  Data: Portuguese
– Name: NoteTitleSource
  Label: Relation
  Group: SrcInfo
  Data: -4944679560386888838; 500; 4163267508810754609
– Name: URL
  Label: Availability
  Group: URL
  Data: https://tede.ufam.edu.br/handle/tede/6267
– Name: Copyright
  Label: Rights
  Group: Cpyrght
  Data: info:eu-repo/semantics/openAccess<br />URL: http://creativecommons.org/licenses/by-nc-nd/4.0/
– Name: AN
  Label: Accession Number
  Group: ID
  Data: edsndl.IBICT.oai.http...localhost.tede.6267
PLink https://erproxy.cvtisr.sk/sfx/access?url=https://search.ebscohost.com/login.aspx?direct=true&site=eds-live&db=edsndl&AN=edsndl.IBICT.oai.http...localhost.tede.6267
RecordInfo BibRecord:
  BibEntity:
    Languages:
      – Text: Portuguese
    Subjects:
      – SubjectFull: Vazamento de Informação
        Type: general
      – SubjectFull: Dados Sensíveis
        Type: general
      – SubjectFull: JavaScript
        Type: general
      – SubjectFull: CIENCIAS EXATAS E DA TERRA: CIENCIA DA COMPUTACAO
        Type: general
    Titles:
      – TitleFull: TaintJSec: um método de análise estática de marcação em código Javascript para detecção de vazamento de dados sensíveis
        Type: main
  BibRelationships:
    HasContributorRelationships:
      – PersonEntity:
          Name:
            NameFull: Damasceno, Alexandre Braga
    IsPartOfRelationships:
      – BibEntity:
          Dates:
            – D: 22
              M: 12
              Type: published
              Y: 2017
          Identifiers:
            – Type: issn-locals
              Value: edsndl
          Titles:
            – TitleFull: Biblioteca Digital de Teses e Dissertações da UFAM
              Type: main
ResultId 1