DOI: https://doi.org/10.20998/2522-9052.2019.4.15

Використання криптографічних хеш-функцій для безпеки JavaScript

Irada Rahimova, Firangiz Qubadova, Barayat Asker zade, Serhii Pohasii

Анотація


Предметом дослідження є процес розробки методів захисту від атак на сторонні JavaScript і об'єктної моделі документа. Метою статті є розробка алгоритму і визначення ефективності використання криптографічних хеш-функцій як одного із способів захисту від атак на сторонні JavaScript ресурси. Ланцюжок завантаження стороннього JavaScript коду може складаючись із трьох або чотирьох сторонніх веб-сайтів. З точки зору безпеки це створює ризик атаки на сторонній ресурс. Якщо атакуюча сторона скомпрометує один з сторонніх ресурсів, то це вплине на весь ланцюжок, що використовує даний ресурс. Виходячи з даних умов необхідно вирішити такі завдання: розробити безпечний алгоритм хеш-функцій захисту застосунків на JavaScript, який дозволить постійно моніторити зміни, що відбуваються на веб-сторінці; визначити переваги і недоліки методу в реальних умовах експлуатації. У процесі дослідження, були отримані наступні результати: розглянута проблематика складності написання безпечного коду на JavaScript, запропонований алгоритм використання криптографічних хеш-функцій, суть якого полягає в тому, що хеш обчислюється в перший момент завантаження стороннього ресурсу. При кожному завантаженні стороннього ресурсу алгоритм обчислює його хеш і порівнює зі значенням першого хеша. Встановлено, що криптографічні хеш-функції на прикладі sha384 мають властивість лавинного ефекту. Рекомендовано застосування даного методу для веб-сторінок з критично важливими операціями, такими як сторінки платежу, реєстрація, зміна пароля або вхід у обліковий запис. Також виявлено їх сильні і слабкі сторони в процесі удосконалення методу захисту JavaScript.

Ключові слова


безпека JavaScript; криптографічні хеш-функції; метод захисту від атак; об'єктна модель документа.

Повний текст:

PDF (English)

Посилання


Haverbeke, Marijn (2018), Eloquent JavaScript, 3rd Edition: A Modern Introduction to Programming Paperback, Dec.4, 2018, available at: http://eloquentjavascript.net.

Kingsley-Hughes, Adrian and Kingsley-Hughes, Kathie (2008), JavaScript 1.5 by Example 1st Edition Que Publishing, 1 edition, 312 p.

Grimes R.A. (2017), Hacking the Hacker: Learn From the Experts Who Take Down Hackers, Hoboken: Wiley, 283 p.

Yaworski, P. (2015), Web Hacking 101. Kindle Edition, 216 p.

Bisson, D. (2017), Researcher warns of ‘pastejacking’ hack attacks targeting users’ clipboards, available at:

https://www.grahamcluley.com

Zaitsev, M. (2017), Security of Java applications leaves much to be desired, available at:

https://threatpost.ru/veracode-states-that-java-apps-are-poorly-protected/22946

TOP-10 OWASP – 2017 (2017), available at:

https://www.owasp.org/images/9/96/OWASP_Top_10-2017-ru.pdf




Copyright (c) 2020 Irada Rahimova, Firangiz Qubadova, Barayat Asker zade, Serhii Pohasii