Webbapplikationssäkerhet / Webbapplication security

Eklund Kavtaradze, Gustav

January 2021

Säkerhet i applikationer blir allt viktigare, ju mer allting i samhället blir digitaliserat, för attskydda användare och information. Bara under genomförandet av denna rapport skedde två större informationsläckor av känsliga svenska informationshemligheter. Målsättningen med dennarapport är att ta reda på vad det är för säkerhetsrisker som finns för applikationer, generellaåtgärder som kan implementeras för att åtgärda dessa risker och hur dataskyddsförordningen(GDPR) hör ihop med säkerheten i webbapplikationer. För att komma fram till generella åtgärder gjordes även en säkerhetsutvärderingsmetod som används för att kunna utvärdera hurde olika åtgärderna skyddar applikationer för att dels kunna se att alla delar säkrats samt attde fungerar som de bör. Resultatet av denna rapport ger generell åtgärdslista med åtgärder sombör implementeras i applikationers backend men för att ge en liknande åtgärdslista för frontendkrävs det mer arbete, där frontend åtgärdslistan i denna rapport är minimalistisk. Säkerhets utvärderingsmetoden visade sig även bli en del i de åtgärdslistor för att kunna användas även pådriftsatta applikationer. I resultatet av GDPR-undersökningen framkom det att inga specifikakrav ställs ifrån GDPR, istället har lagen i uppgift att höja prioriteten genom att konsekvenserna som kan uppkomma vid felhantering av användares personuppgifter blir mer påtagliga /kostsamma för organisationen. / Security in applications, to protect users and information, is becoming increasingly importantas society is becoming more digitized. During the duration of this report two major informationleaks, of sensitive Swedish classified information, occurred. The aim of this report is to findwhat security risks exist for webapplications, general measures that can be implemented to address these risks and how The General Data Protection Regulation (GDPR) is related to securityin applications. In order to achieve these general measures a security evaluation method was alsoused to be able to evaluate how the various measures protect webapplications, and function asrequired. The results of this report provide a general list of actions that should be implementedin application backends, but to provide a similar for the frontend more wokrs is required, wherethe frontend action list in this report is minimal. The safety evaluation method also proved to bea part of the action lists in order to be able to test the security even on operational applications.The results of the GDPR survey showed that no specific requirements are set from GDPR,instead the law has the task of raising the priority by making the consequences that can arisefrom incorrect handling of users’ personal data more serious / costly to the organization

Oauth2.0

security

authorization

passwords

JWT

Oauth2.0

säkerhet

autentisering

lösenord

JWT

Computer Systems

Datorsystem

WordHunch : Server kommunikation och Datahantering i MySQL och Java / WordHunch : Server communications and Data Management in MySQL and Java

Waora, Dushant Singh

January 2015

Målet med detta projekt var att utforma en kommunikation och databassystem för ett multiplayer ordbaserat spel åt Tweakers HB. Tweakers HB är ett produktbolag som utvecklar mobila applikationer där Wordhunch är en utav deras produkter. Systemet är en webbaserad API som stöds av en databas system för att kunna hantera olika aspekter av ett multiplayer ordbaserat spel. API: et kommer att användas av en Android applikation som utvecklas av andra utvecklare på Tweakers HB. Kommunikationssystemet har tagits fram med Extreme Programming samt testdriven utveckling. Utvecklingen skedde med välkända och beprövade metoder för att kunna säkerställa att ett system med hög kvalitet levereras. Båda system utnyttjar gamla och vältestade verktyg så som MySQL för databashantering medan REST-arkitektur används för kommunikationssystem. I slutet av utvecklingen uppfylldes alla ställda krav. System klarar av prestandakravet enligt de tester som utfördes. Under testning har flera komplikationer uppstått som inte var kända under utvecklingen eller före som t.ex. ta fram det korrekta ord när ett felstavat ord har skickats in. / The goal of the project was to design a communication and database system for a multiplayer word based game for Tweakers HB. Tweakers HB is a company that develops mobile applications, where WordHunch is one of their products. The product itself is a web based API which is supported by a database system for handling different areas of a multiplayer based mobile game. The API will be used by the other developers of Tweakers HB for communication between Server and multiple Android and iOS mobiles. The system is a fully accomplished system. The system has been produced using Extreme programming. Development was done with well-known and proven methods to ensure that a system of high-quality was delivered. Both systems utilizes old and well tested products like MySQL for database management while REST architecture style for API system. At the end of the project all requirements were met. The system passed all the required tests conducted and will be able to handle large quantity of incoming traffic from Android and iOS mobile devices, according to tests. During testing multiple issues came up which were neither known before the production or under production for ex. retrieving the correct word when a misspelled word has been submitted.

API

MySQL

Android

RESTful

JSON

GCM

Jersey

Levenshtein Distance

OAuth2.0

API

MySQL

Android

RESTful

JSON

GCM

Jersey

Levenshtein Distance

OAuth2.0

Computer and Information Sciences

Data- och informationsvetenskap

Undersökning av webbsidors säkerhet vid användning avFacebook Login : Vidareutveckling och analys av OAuthGuard

Hedmark, Alice

January 2019

Single Sign-On (SSO) är en autentiseringsprocess som tillåter en utvecklare att delegera autentiseringsansvaret till en dedikerad tjänst. OAuth 2.0 är ett auktoriseringsramverk som ofta står som grund för ett autentiseringslager som i sin tur möjliggör SSO. En identitetsleverantör är tjänsten som står för hantering av användaruppgifterna och autentiseringen, två vanliga identitetsleverantörer är Google och Facebook som i sin tur implementerar SSO med hjälp utav autentiseringslagren OpenID Connect respektive Facebooks egna autentiseringslager. Det har visat sig att många klienter som ska utnyttja SSO med OAuth 2.0 implementerar det fel så att säkerhetsbrister uppstår, studier har utförts med förslag till lösningar men många bristande implementationer fortsätter produceras och existera. Att skapa diverse verktyg för att främja säkerhet i dessa sammanhang är en metod där OAuthGuard utvecklats med visionen att även kunna skydda användaren, direkt från en webbläsare. OAuthGuard har även tidigare använts för att analysera säkerheten med Google SSO och visat att 50% av undersökta klienter har brister, men motsvarande studie eller verktyg saknas för Facebook SSO. Denna studie gjorde en motsvarande undersökning för Facebook SSO-klienter med en vidareutvecklad version av OAuthGuard och fann att de lider av brister med liknande trend som tidigare studies resultat mot Google-SSO-klienter, men att färre Facebook- SSO-klienter har brister i jämförelse. Vid vidareutvecklingen av OAuthGuard upptäcktes ett antal svårigheter och framtiden för denna typ av verktyg behöver vidare analyseras. Vidare analys behöver även göras för att bedöma om Facebook-SSO kan vara att föredra över Google-SSO ur säkerhetsperspektiv samt vidare utforskande av nya säkerhetsfrämjande metoder behöver utföras. / Single Sign-On (SSO) is an authentication process that allows a developer to delegate the authentication responsibility to a dedicated service. OAuth 2.0 is an authorization framework that often serves as a base for authentication layers to be built upon that in turn allows for SSO. An identity provider is the service that is responsible for handling user credentials and the authentication, two common identity providers are Google and Facebook that implement SSO with the authentication layers OpenID Connect respectively Facebooks own authentication layer. It has been shown that many clients using OAuth 2.0 as base for SSO make faulty implementations leading to security issues, a number of studies has proposed solutions to these issues but faulty implementations are continually being made. To create various tools to promote security in these contexts is a method where OAuthGuard has been developed with the vision to also directly protect the common website user directly from the browser. OAuthGuard has been used in an earlier study to analyze the security of clients using Google SSO and discovered that 50% of the analyzed clients had flaws, no comparable study has been done for clients using Facebook SSO, which is the second largest third party log in variant. This study made a comparable investigation for Facebook SSO clients with a further developed version of OAuthGuard and found that these clients suffer from flaws with a similar trend as the previous study with Google-SSO clients, although fewer Facebook-SSO clients suffer from these flaws. When further developing OAuthGuard a dumber of difficulties was discovered and the future of these kind of tools needs to be investigated. Further analysis needs to be done to assess if Facebook-SSO should be recommended over Google-SSO from a security perspective and also further exploration of new methods to promote security needs to be done.

Web browser extensions

OpenID Connect

OIDC

OAuth2.0

Single Sign-On

SSO

Security

Facebook

Social login.

Webbläsartillägg

OpenID Connect

OIDC

OAuth 2.0

Single

Sign-On

SSO

Säkerhet

Facebook

Social login.

Software Engineering

Programvaruteknik