Master's Thesis

Detection of Suspicious Requests Made by Web Pages

Final Thesis 1.73 MB

Author of thesis: Ing. Pavel Pohner

Acad. year: 2019/2020

Supervisor: Ing. Libor Polčák, Ph.D.

Reviewer: doc. Ing. Radek Burget, Ph.D.

Abstract:

The purpose of this thesis is to prevent websites located in public internet from accessing user's internal network through web browser. Acquired knowdledge about modern browser's security mechanism - same-origin policy and options of implementing the web browser extensions using WebExtensions, was used in the solution. Proposed solution is based on WebRequest API, which intercepts and modifies HTTP requests, and extends functionality of existing browser extension JavaScript Restrictor with the ability to detect and prevent the browser to be abused as a proxy for scanning and accessing user's internal network. The implemented solution was tested and accepted as a part of JavaScript Restrictor. The main benefit of this thesis is the protection from possible abusement of a web browser as a proxy, which is not present in existing extensions.

Keywords:

WebExtensions, WebRequest API, web browser security, same-origin policy, JavaScript, JavaScript Restrictor, abusement of the web browser as proxy

Date of defence

14.07.2020

Result of the defence

Defended (thesis was successfully defended)

znamkaAznamka

Grading

A

Process of defence

Student nejprve prezentoval výsledky, kterých dosáhl v rámci své práce. Komise se poté seznámila s hodnocením vedoucího a posudkem oponenta práce. Student následně odpověděl na otázku oponenta a na další otázky přítomných. Komise se na základě posudku oponenta, hodnocení vedoucího, přednesené prezentace a odpovědí studenta na položené otázky rozhodla práci hodnotit stupněm A.

Otázky u obhajoby:

  • Jak časté je v praxi využití doménových jmen místo IP adres pro přístup k lokální síti a bylo by možné vytvořit nějaký seznam nejčastějších takových jmen, aby se eliminovala nutnost DNS dotazů?
  • Jak probíhá klasifikace a jaký vliv mají parametry na klasifikaci požadavku?
  • Jak časté jsou tyto útoky v reálném provozu?
  • Jak rozlišujete validní zařízení a nevalidní?
  • Co způsobuje neustálý nárůst využité paměti v prohlížeči Chrome?

Language of thesis

Czech

Faculty

Fakulta informačních technologií

Department

Department of Information Systems

Study programme

Information Technology (IT-MSC-2)

Field of study

Information Technology Security (MBS)

Composition of Committee

prof. Ing. Martin Drahanský, Ph.D. (předseda)
doc. Ing. Jan Kořenek, Ph.D. (místopředseda)
Ing. Matěj Grégr, Ph.D. (člen)
doc. Mgr. Lukáš Holík, Ph.D. (člen)
Mgr. Kamil Malinka, Ph.D. (člen)
Ing. Libor Polčák, Ph.D. (člen)

Supervisor’s report
Ing. Libor Polčák, Ph.D.

Grade proposed by supervisor: A

File inserted by supervisor Size
Hodnocení vedoucího [.pdf] 86,00 kB

Reviewer’s report
doc. Ing. Radek Burget, Ph.D.

Grade proposed by reviewer: A

File inserted by the reviewer Size
Posudek oponenta [.pdf] 88,22 kB