JavaScript security using cryptographic hash functions

Abstract

Предметом дослідження є процес розробки методів захисту від атак на сторонні JavaScript і об'єктної моделі документа. Метою статті є розробка алгоритму і визначення ефективності використання криптографічних хеш-функцій як одного із способів захисту від атак на сторонні JavaScript ресурси. Ланцюжок завантаження стороннього JavaScript коду може складаючись із трьох або чотирьох сторонніх веб-сайтів. З точки зору безпеки це створює ризик атаки на сторонній ресурс. Якщо атакуюча сторона скомпрометує один з сторонніх ресурсів, то це вплине на весь ланцюжок, що використовує даний ресурс. Виходячи з даних умов необхідно вирішити такі завдання: розробити безпечний алгоритм хеш- функцій захисту застосунків на JavaScript, який дозволить постійно моніторити зміни, що відбуваються на веб-сторінці; визначити переваги і недоліки методу в реальних умовах експлуатації. У процесі дослідження, були отримані наступні результати:розглянута проблематика складності написання безпечного коду на JavaScript, запропонований алгоритм використання криптографічних хеш-функцій, суть якого полягає в тому, що хеш обчислюється в перший момент завантаження стороннього ресурсу. При кожному завантаженні стороннього ресурсу алгоритм обчислює його хеш і порівнює зі значенням першого хеша. Встановлено, що криптографічні хеш-функції на прикладі sha384 мають властивість лавинного ефекту. Рекомендовано застосування даного методу для веб-сторінок з критично важливими операціями, такими як сторінки платежу, реєстрація, зміна пароля або вхід у обліковий запис. Також виявлено їх сильні і слабкі сторони в процесі удосконалення методу захисту JavaScript.