Cross-Site Script Inclusion: um estudo das estratégias de mitigação e atual prevalência da vulnerabilidade em navegadores
Resumo
A Cross-Site Script Inclusion ou XSSi é uma vulnerabilidade pouco conhecida e que abusa da anexação de cookies em requisições de origem cruzada. Este trabalho apresenta uma avaliação do comportamento do atributo SameSite dos cookies, em versões recentes de diferentes navegadores, e do seu impacto na exploração da Cross-Site Script Inclusion. Experimentos foram realizados verificando a ocorrência da anexação de cookies em requisições cruzadas para diversos navegadores. A principal estratégia proposta para mitigação da vulnerabilidade XSSi é a correta configuração da SameSite pelo desenvolvedor da aplicação. Resultados mostram que essa estratégia para combate da Cross-Site Script Inclusion é eficiente por apresentar menos pontos de falha. Em adição, foi concluído que não existe um padrão de implementação da política de mesma origem e da SameSite por parte dos atuais navegadores, havendo divergência de comportamento quanto a anexação de cookies em requisições de origem cruzada.
Referências
FRANKEN, G., VAN GOETHEM, T., and JOOSEN, W. (2018). Who Left Open the Cookie Jar? A Comprehensive Evaluation of Third-Party Cookie Policies. 27th USENIX Security Symposium.
GROSSMAN, J. (2006). Advanced web attack techniques using gmail. [link]. Accesso em: Mai. 2024.
HAILPERIN, V. and RUEF, M. (2016). Cross-site script inclusion a fameless but widespread web vulnerability class. [link]. Accesso em: Mai. 2024.
KERN, C., DASWANI, N., and KESAVAN, A. (2007). Foundations of Security: What Every Programmer Needs to Know. Apress.
KHODAYARI, S. and PELLEGRINO, G. (2022). The State of the SameSite: Studying the Usage, Effectiveness, and Adequacy of SameSite Cookies. IEEE.
Kurose, J. F. and Ross, K. W. (2009). Redes de Computadores e a Internet: uma abordagem top-down. 5ª edição. São Paulo, SP: Pearson Addison Wesley.
LEKIES, S., ENGELS, D., and MITKOV, M. (2021). JSONPS: Secure an inherently insecure practice with this one weird trick! 2021 IEEE European Symposium on Security and Privacy Workshops (EuroSPW).
LEKIES, S., STOCK, B., WENTZEL, M., and JOHNS, M. (2015). The Unexpected Dangers of Dynamic JavaScript. 24th USENIX Security Symposium.
Mozilla (2023a). Cookies HTTP. [link]. Accesso em: Mai. 2024.
Mozilla (2023b). Same-origin policy. [link]. Accesso em: Mai. 2024.
PETTY, D. and THOMPSON, J. (2017). The Not-So-Same-Origin Policy. Independent Security Evaluators Whitepaper.
SULLIVAN, B. and LIU, V. (2011). Web Application Security: A Beginner’s Guide. McGraw Hill.
TERADA, T. and BUSSAN, M. (2015). Identifier based XSSI attacks. MBSD Technical Whitepaper.
WEST, M. and GOODWIN, M. (2016). Internet Draft Same-site Cookies. [link]. Accesso em: Mai. 2024.