JavaScript security using cryptographic hash functions
Вантажиться...
Дата
2019
DOI
doi.org/10.20998/2522-9052.2019.4.15
Науковий ступінь
Рівень дисертації
Шифр та назва спеціальності
Рада захисту
Установа захисту
Науковий керівник
Члени комітету
Видавець
Національний технічний університет "Харківський політехнічний інститут"
Анотація
The subject of this researchis the development of methods of protection against attacks on third-party JavaScript and the document object model (DOM). The purpose of the articleis to develop an algorithm and determine the effectiveness of using cryptographic hash functions as one of the methods of protection against attacks on third-party
JavaScript resources. The third-party JavaScript code download chain may consist of three or four third-party websites. From a security point of view, this creates a risk of attack on a third-party resource. If the attacker compromises one of the third-party resources, this will affect the entire chain using this resource. Based on these conditions, it is indispensable to solve the following tasks: to develop a secure algorithm for hash functions for protecting applications in JavaScript, which will constantly monitor changes that occur on a web page; determine the advantages and disadvantages of the method in real operating conditions. In the process of the study, the following resultswere obtained: the problems of writing safe code in JS were considered, the algorithm for using cryptographic hash functions was proposed, the essence of which is that the hash is calculated at the first moment of loading a third-party resource. Each time a third-party resource is loaded, the algorithm calculates its hash and compares it with the value of the first hash. It is established that cryptographic hash functions on the example of sha384 have the property of an avalanche effect. It is recommended to use this method for web pages with mission-critical operations, such as payment pages, registration, password reset or account login. Their strengths and weaknesses were also revealed in the process of improving the JavaScript protection method.
Предметом дослідження є процес розробки методів захисту від атак на сторонні JavaScript і об'єктної моделі документа. Метою статті є розробка алгоритму і визначення ефективності використання криптографічних хеш-функцій як одного із способів захисту від атак на сторонні JavaScript ресурси. Ланцюжок завантаження стороннього JavaScript коду може складаючись із трьох або чотирьох сторонніх веб-сайтів. З точки зору безпеки це створює ризик атаки на сторонній ресурс. Якщо атакуюча сторона скомпрометує один з сторонніх ресурсів, то це вплине на весь ланцюжок, що використовує даний ресурс. Виходячи з даних умов необхідно вирішити такі завдання: розробити безпечний алгоритм хеш- функцій захисту застосунків на JavaScript, який дозволить постійно моніторити зміни, що відбуваються на веб-сторінці; визначити переваги і недоліки методу в реальних умовах експлуатації. У процесі дослідження, були отримані наступні результати:розглянута проблематика складності написання безпечного коду на JavaScript, запропонований алгоритм використання криптографічних хеш-функцій, суть якого полягає в тому, що хеш обчислюється в перший момент завантаження стороннього ресурсу. При кожному завантаженні стороннього ресурсу алгоритм обчислює його хеш і порівнює зі значенням першого хеша. Встановлено, що криптографічні хеш-функції на прикладі sha384 мають властивість лавинного ефекту. Рекомендовано застосування даного методу для веб-сторінок з критично важливими операціями, такими як сторінки платежу, реєстрація, зміна пароля або вхід у обліковий запис. Також виявлено їх сильні і слабкі сторони в процесі удосконалення методу захисту JavaScript.
Предметом дослідження є процес розробки методів захисту від атак на сторонні JavaScript і об'єктної моделі документа. Метою статті є розробка алгоритму і визначення ефективності використання криптографічних хеш-функцій як одного із способів захисту від атак на сторонні JavaScript ресурси. Ланцюжок завантаження стороннього JavaScript коду може складаючись із трьох або чотирьох сторонніх веб-сайтів. З точки зору безпеки це створює ризик атаки на сторонній ресурс. Якщо атакуюча сторона скомпрометує один з сторонніх ресурсів, то це вплине на весь ланцюжок, що використовує даний ресурс. Виходячи з даних умов необхідно вирішити такі завдання: розробити безпечний алгоритм хеш- функцій захисту застосунків на JavaScript, який дозволить постійно моніторити зміни, що відбуваються на веб-сторінці; визначити переваги і недоліки методу в реальних умовах експлуатації. У процесі дослідження, були отримані наступні результати:розглянута проблематика складності написання безпечного коду на JavaScript, запропонований алгоритм використання криптографічних хеш-функцій, суть якого полягає в тому, що хеш обчислюється в перший момент завантаження стороннього ресурсу. При кожному завантаженні стороннього ресурсу алгоритм обчислює його хеш і порівнює зі значенням першого хеша. Встановлено, що криптографічні хеш-функції на прикладі sha384 мають властивість лавинного ефекту. Рекомендовано застосування даного методу для веб-сторінок з критично важливими операціями, такими як сторінки платежу, реєстрація, зміна пароля або вхід у обліковий запис. Також виявлено їх сильні і слабкі сторони в процесі удосконалення методу захисту JavaScript.
Опис
Ключові слова
method of protection againstattacks, document object model, метод захисту від атак, об'єктна модель документа
Бібліографічний опис
JavaScript security using cryptographic hash functions / I. R. Ragimova [et al.] // Сучасні інформаційні системи = Advanced Information Systems. – 2019. – Т. 3, № 4. – С. 105-108.