Submitted by Divisão de Documentação/BC Biblioteca Central (ddbc@ufam.edu.br) on 2018-03-27T13:38:38Z
No. of bitstreams: 2
license_rdf: 0 bytes, checksum: d41d8cd98f00b204e9800998ecf8427e (MD5)
Dissertação_ Alexandre Braga Damasceno.pdf: 2882353 bytes, checksum: ba5386fcabb7f1cc0393fe4cdef1e662 (MD5) / Approved for entry into archive by Divisão de Documentação/BC Biblioteca Central (ddbc@ufam.edu.br) on 2018-03-27T13:38:50Z (GMT) No. of bitstreams: 2
license_rdf: 0 bytes, checksum: d41d8cd98f00b204e9800998ecf8427e (MD5)
Dissertação_ Alexandre Braga Damasceno.pdf: 2882353 bytes, checksum: ba5386fcabb7f1cc0393fe4cdef1e662 (MD5) / Made available in DSpace on 2018-03-27T13:38:50Z (GMT). No. of bitstreams: 2
license_rdf: 0 bytes, checksum: d41d8cd98f00b204e9800998ecf8427e (MD5)
Dissertação_ Alexandre Braga Damasceno.pdf: 2882353 bytes, checksum: ba5386fcabb7f1cc0393fe4cdef1e662 (MD5)
Previous issue date: 2017-12-22 / Javascript is one of the most used programming languages in the world and continues
to expand gradually. Such success is due to the great flexibility and dynamicity that
the language has, which greatly facilitates the creation of applications. However, this
same characteristic that makes it a successful language is also what makes it difficult
to analyze static execution flow, which aims to identify the presence of malicious code in
applications. This work presents TaintJSec, a new approach that uses static code marking
analysis to identify and prevent leakage of sensitive information in web applications.
Unlike other works based on static analysis, TaintJSec is able to check the explicit and
implicit code flow, accompanies the propagation of the taint tag in the execution of the
eval function, and is able to identify information leakage in obfuscated codes. To validate
the effectiveness of the approach, taint tag propagation tests were performed in a range
of tests divided into 13 different test groups. Then, tests were performed to evaluate the
propagation of the eval function. Finally, the approach was tested in a malicious code,
obscured by five different tools, specific for that purpose. The results demonstrated that
the approach is effective in detecting information leakage and more efficient than other
methods of the state of the art. / Javascript é uma das linguagens de programação mais utilizadas no mundo e
continua expandindo-se gradativamente. Tal expansão deve-se à grande flexibilidade e
dinamicidade que a linguagem possui, o que facilita bastante a criação de aplicações.
Porém, essa mesma característica que a torna uma linguagem de sucesso é também o
que torna difícil a análise estática do fluxo de execução, processo esse que visa identificar
a presença de códigos maliciosos nas aplicações. Este trabalho apresenta o TaintJSec,
uma nova abordagem que utiliza análise estática de marcação de código JavaScript para
identificar e prevenir o vazamento de informação sensível. O diferencial do TaintJSec em
relação aos outros trabalhos que utilizam análise estática de marcação é que ele consegue
analisar o fluxo de códigos implícitos, acompanha a propagação do taint tag na execução
da função eval e identifica o vazamento de informação em códigos ofuscados. Para validar
a eficácia da abordagem, foram realizados testes de propagação do taint tag, dividos em 13
grupos de testes distintos. Em seguida, foram realizados testes para avaliar a propagação
na execução da função eval. Por fim, a abordagem foi testada em um código malicioso,
ofuscado por cinco ferramentas diferentes, específicas para tal finalidade. Os resultados
obtidos demonstraram que a abordagem é eficaz na detecção do vazamento de informação
e mais eficiente que outros métodos do estado da arte.
Identifer | oai:union.ndltd.org:IBICT/oai:http://localhost:tede/6267 |
Date | 22 December 2017 |
Creators | Damasceno, Alexandre Braga, 92-99232-4133 |
Contributors | secretaria@icomp.ufam.edu.br, Souto, Eduardo James Pereira, Rocha, Thiago de Souza, Feitosa, Eduardo Luzeiro, Grégio, André Ricardo Abed, Martins, Gilbert Breves |
Publisher | Universidade Federal do Amazonas, Programa de Pós-graduação em Informática, UFAM, Brasil, Instituto de Computação |
Source Sets | IBICT Brazilian ETDs |
Language | Portuguese |
Detected Language | Portuguese |
Type | info:eu-repo/semantics/publishedVersion, info:eu-repo/semantics/masterThesis |
Format | application/pdf |
Source | reponame:Biblioteca Digital de Teses e Dissertações da UFAM, instname:Universidade Federal do Amazonas, instacron:UFAM |
Rights | http://creativecommons.org/licenses/by-nc-nd/4.0/, info:eu-repo/semantics/openAccess |
Relation | -4944679560386888838, 500, 500, 4163267508810754609 |
Page generated in 0.0022 seconds