DOM XSS vulnerability testing technology

Authors

  • Александр Владимирович Коваленко Центральноукраинский национальный технический университет, Украина

DOI:

https://doi.org/10.18372/2225-5036.23.11821

Keywords:

testing, DOM XSS vulnerabilities, GERT-network, security vulnerabilities

Abstract

The paper presents research results and vulnerability testing algorithms for one of the most common types of attacks on Web-based applications - cross site scripting - XSS (Cross Site Scripting) - DOM XSS. Cross-site scripting is the error of validating user data, which allows you to pass JavaScript code to execution in the user's browser. Attacks of this kind are often also called HTML injections, because the implementation mechanism is very similar to SQL injections, but unlike the latter, the implemented code is executed in the user's browser. The approach of mathematical modeling on the basis of GERT-networks is argued. Studies have shown that GERT (Graphical Evaluation and Review Technique) is a method of studying and analyzing stochastic networks used to describe the logical relationship between parts of a project or process steps. The main goal of GERT is to evaluate the logic of the network and the duration of activity and to obtain an opinion on the need to perform certain activities. The technology of testing Web-applications and the corresponding complex of mathematical models is developed. The basis of mathematical modeling is the approach of GERT-network synthesis. As a result, mathematical models of DOM XSS testing technology have been developed. The mathematical model of the testing technology of the DOM XSS vulnerability differs from the known, taking into account the execution or analysis of the DOM structure. The developed technology can be used in testing for the vulnerability of a Web application.

Author Biography

Александр Владимирович Коваленко, Центральноукраинский национальный технический университет, Украина

Год и место рождения: 1982 год, г. Кировоград, Украина.

Образование: Кировоградский национальный технический университет (с 2017 года – Центральноукраинский национальный технический университет), 2004 год.

Должность: доцент кафедры кибербезопасности и программного обеспечения с 2013 года.

Научные интересы: программирование и  информационная безопасность.

Публикации: более 140 научных публикаций, среди которых монографии, учебники, учебные пособия, научные статьи.

References

About The Open Web Application Security Project – OWASP. [Електронний ресурс]. Режим до-ступу: https://www.owasp.org/index.php/About_The _Open_Web_ Application_Security_Project.

OWASP Top 10 – 2017 RC1. [Електронний ресурс]. Режим доступу: https://github.com/OWASP /Top10/blob/master/2017/OWASP%20Top%2010%20-%202017%20RC1-English.pdf.

Positive Research 2016. [Електронний ре-сурс]. Режим доступу: https://www.ptsecurity.com /upload/ptru/analytics/Positive-Research-2016-us.pdf.

OSSTMM 3 – The Open Source Security Test-ing Methodology Manual. Contemporary Security Testing And Analysis. [Електронний ресурс]. Режим доступу: http://www.isecom.org/mirror/OSSTMM.3.pdf.

Testing for DOM-based Cross-site scripting (OTG-CLIENT-001) – OWASP. [Електронний ресурс]. Режим доступу: https://www.owasp.org/index.php/ Testing_for_DOM-based_Cross_site_scripting_(OTG-CLIENT-001).

Testing for SQL Injection (OTG-INPVAL-005) – OWASP. [Електронний ресурс]. Режим доступу: https://www.owasp.org/index.php/103.

W. Cohen, P. Ravikumar, S. Fienberg, «A Comparison of String Metrics for Matching Names and Records». [Online]. Available at: https://www.cs. cmu.edu/afs/cs/Web/People/wcohen/postscript/kdd-2003-match-ws.pdf.

K. Dreßler, Axel-Cyrille Ngonga Ngomo, «On the Efficient Execution of Bounded Jaro-Winkler Distances», Semantic Web-Interoperability, Usability, Ap-plicability an IOS Press Journal. [Online]. Available at: http://www.semantic-web-journal.net/system/files/s wj944.pdf

A.A.В Pritsker, «GERT: Graphical Evaluation and Review Technique. Part I. Fundamentals», The Jour-nal of Industrial Engineering, pp. 267-274, 1966.

A.A.В Pritsker, «Modeling and analysis us-ing Q-GERT networks», Wiley: Distributed by Halsted Press, New York, 435 p., 1979.

С.Г.Семенов, С.Ю. Гавриленко, Кассем Халіфе, «Gert-модель прогнозування параметрів функціональної безпеки технічних систем», Зб. наукових праць. Системи обробки інформації, Х, ХУПС, вип. 2(139), с. 50-52, 2016.

S. Semenov, V. Zmiyevskaya, K. Khalife, «Deve-lopment of Gert model of management system by using test cases», Journal of Qafqaz university-mathematics and computer science, Vol.(4), № 1 C. 52-59, 2016.

Г. Эдвардс, «Последняя теорема Ферма. Генетическое введение в алгебраическую теорию чисел», М., Мир, 486 с., 1980.

В.Е. Гмурман, «Теория вероятностей и математическая статистика», М.: Высшая школа, 479 с., 2003.

А.А. Смирнов, А.В. Коваленко, «Методы качественного анализа и количественной оценки рисков разработки программного обеспечения», Збірник наукових праць «Системи обробки інформації», випуск 5(142), Х, ХУПС, с. 153-157, 2016.

А.А. Смирнов, А.В. Коваленко, Н.Н. Яки-менко, А.П. Доренский , «Проблемы анализа и оценки рисков информационной деятельности», Збірник наукових праць «Системи обробки інформа-ції»., випуск 3(140), Х, ХУПС, с. 40-42, 2016.

А.А. Смирнов, А.В. Коваленко, Н.Н. Яки-менко, А.П. Доренский, «Метод качественного ана-лиза рисков разработки программного обеспече-ния», Наука і техніка Повітряних Сил Збройних Сил України, випуск 2(23), Харків, ХУПС, с. 150-158, 2016.

А.А. Смирнов, А.В. Коваленко, Н.Н. Яки-менко, А.П. Доренский, «Метод количественной оценки рисков разработки программного обеспече-ния», Збірник наукових праць Харківського університету Повітряних Сил, випуск 2 (47), Харків, ХУПС, с. 128-133, 2016.

А.В Коваленко, А.А. Смирнов, «Исполь-зование псевдобулевых методов бивалентного про-граммирования для управления рисками разработ-ки программного обеспечения», Системи управління, навігації та зв’язку, випуск 1 (37), Полтава, ПолтНТУ, с. 98-103, 2016.

А.В. Коваленко, «Метод управления рис-ками разработки программного обеспечения», Сис-теми управління, навігації та зв’язку, випуск 2 (38), Полтава, ПолтНТУ, с. 93-100, 2016.

Issue

Section

Software & Hardware Architecture Security