SecWIT - Sicherheit für Web-Technologien durch Kombinatorisches Interaktions-Testen

  • Wotawa, Franz (Teilnehmer (Co-Investigator))
  • Simos, Dimitrios, (Teilnehmer (Co-Investigator))

Projekt: Foschungsprojekt

Beschreibung

In diesem Projekt möchten wir für Webtechnologien im Allgemeinen neue Konzepte für Sicherheitstests entwickeln, welche sich sowohl für Black Box-Testing als auch zur Integration in bestehende Entwicklungs-Abläufe eignen. XSS ist nur eine mögliche Form von Injection; wir möchten eine Vielzahl von anderen Vektoren untersuchen, etwa generalisierte Content Injections auf der Client-Seite (welche oft andere Voraussetzungen als XSS bezüglich des Ausgabe-Kontexts haben und darüber hinaus auch eine Untersuchung von anderen Eingabe-Mechanismen wie HTTP Header Injection erlauben) und SQL-Injections auf der Server-Seite. Beide bieten sich aufgrund ihrer Popularität, großen Einflusses und der oft langsamen resp. fehlerhaften Adaptierung von Gegenmaßnahmen als Forschungsgegenstand an. Wir werden weiters die zugrundeliegenden Methoden verbessern, indem wir Erstellung/Auswahl von Angriffsvektoren (Testfällen) und Lokalisierung von Filter-Fehlern verbessern. Schlussendlich planen wir ein prototypisches CST-Framework für Webtechnologien, um unseren Ansatz zu überprüfen.
StatusLaufend
Tatsächlicher Beginn/ -es Ende1/07/1730/06/20