Erkennung von Code Injection Schwachstellen in HTML5 Apps

erschienen in #Mobil & Cloud vom 9.08.2019

Um mobile Cross-Plattform Applikationen zu entwickeln, werden oft Frameworks eingesetzt, die auf JavaScript und HTML5 basieren. Dadurch bringen solche Applikationen jedoch nicht nur den Vorteil der Plattformunabhängigkeit mit sich, sondern auch die Schwachstellen von Browseranwendungen, allem voran die Möglichkeit, potentiell schadhaften Code einzuschleusen. In diesem Bericht wird ein Tool vorgestellt, das die Verwendung der vor Code Injection schützenden Browserfunktion Content Security Policy (CSP) überprüfen und beurteilen kann. Ebenso wird aufgezeigt, wie festgestellt werden kann, ob in eine Applikation, die CSP nicht oder falsch verwendet, potentiell Code über Apache Cordova-Plugins eingeschleust werden kann.

Downloads

Datei Beschreibung Dateigröße
pdf Projektbericht Version 1.0 vom 09.08.2019
229 KB
pdf Dokumentation Version 1.0 vom 09.08.2019
184 KB
zip CSP Evaluator Version 1.0 vom 09.08.2019
197 KB
zip Code Injection Erkennungstool Version 1.0 vom 09.08.2019
409 KB