Security testing at scale : studying emerging client-side vulnerabilities in the modern web

Abstract

The recent rapid evolution of client-side technologies have introduced new variants of traditional security issues that now manifest exclusively on client-side JavaScript pro-grams. We have little-to-no knowledge of these new emerging threats, and exploratory security evaluations of JavaScript-based web applications are impeded by the scarcity of reliable and scalable testing techniques. In this thesis, we address these challenges by presenting JAW, an open-source, static-dynamic framework to study client-side vulnerabilities at scale, focusing particularly on client-side request hijacking and DOM Clobbering vulnerabilities where we investigate their patterns, prevalence, and impact in the wild. We instantiate JAW on over half a million pages of top 10K sites, processing over 56B lines of code in total, showing that these new variants are ubiquitous on the Web. We demonstrate the impact of these vulnerabilities by constructing proof-of-concept exploits, making it possible to mount arbitrary code execution, information leakage, open redirec-tions and CSRF also against popular websites that were not reachable through the tradi-tional attack vectors. Finally, we review and evaluate the adoption and efficacy of existing countermeasures against these attacks, including input validation and browser-based solutions like SameSite cookies and Content Security Policy.

Die rasante Entwicklung der Client-seitigen Technologien in jüngster Zeit hat neue Varianten traditioneller Sicherheitsprobleme hervorgebracht, die sich nun ausschließlich auf Client-seitige JavaScript-Programme beziehen. Wir haben wenig bis gar kein Wissen über diese neuen Bedrohungen, und explorative Sicherheitsevaluierungen von JavaScript-basierten Webanwendungen werden durch den Mangel an zuverlässigen und skalierbaren Testverfahren behindert. In dieser Arbeit gehen wir diese Herausforderungen an, indem wir JAWvorstellen, ein statisch-dynamisches Framework zur Untersuchung client-seitiger Schwachstellen im großen Maßstab, wobei wir uns besonders auf client-seitiges Request Hijacking und DOM Clobbering konzentrieren und deren Muster, Verbreitung und Auswirkungen in freier Wildbahn untersuchen. Wir instanziieren JAW auf über einer halben Million Seiten von 10K Top-Websites und verarbeiten insgesamt über 56B Zeilen Code, was zeigt, dass diese neuen Varianten im Web allgegenwärtig sind. Wir demonstrieren die Auswirkungen dieser Schwachstellen durch die Konstruktion von Proof-of- Concept-Exploits, die die Ausführung von beliebigem Code, das Entweichen von Informationen, offene Umleitungen und CSRF auch gegen beliebte Websites ermöglichen. Schließlich überprüfen und bewerten wir die Annahme und Wirksamkeit bestehender Gegenmaßnahmen gegen diese Angriffe, einschließlich Eingabevalidierung und browserbasierte Lösungen wie SameSite-Cookies und Content Security Policy.