Security analysis of HTML5 elements, attributes, and features

Abstract

Bu araştırmanın temel amacı, yeni HTML5 elemanlarının nitelikleri ve özelliklerinin güvenlik analizini yapmaktır. Bu araştırmanın bir diğer amacı, HTML5 kodları kullanarak yeni saldırı desenleri oluşturmak ve olası güvenlik açıklarından korunmak için yol göstermektir. Bu çalışmanın bulguları, web geliştiricileri için HTML5'in yeni özelliklerinin web güvenliğinin mevcut durumunu nasıl etkilediğini ve olası tehditleri belirlemek için alınacak önlemleri anlamak için yardımcı olmaktadır. Bu çalışmada, öncelikle mevcut HTML5 standardı gözden geçirilmiş ve web güvenliği esaslarına göre güvenlik sorunları tespit edilmiştir. Bu çalışmanın sonuçları yeni yüksek riskli ve düşük riskli saldırı teknikleri oluşturmak için saldırganlar tarafından kullanılabilecek bazı HTML5 özelliklerinin güvenlik sorunları olduğunu göstermektedir. Sonuçlar ayrıca bazı HTML5 özelliklerinin bilinen saldıran teknikleri için daha fazla olanak sağladığını göstermektedir. Analizlerimize göre, yaygın olarak kullanılan `cross-site scripting` saldırıları sunucu tarafında korunma teknikleri yerine tarayıcı önleme tekniklerini kullanarak istemci tarafında önlenebilir. Bu bulgular, web uygulamalarına istemci tarafı programlama yetenekleri ekleyerek güvenliğin nasıl artırılabileceğini göstermektedir.

The aim of this research is analyzing the security of new HTML5 elements, attributes and features. Another aim of this research is finding how every HTML5 code can be attacked for creating new attacking patterns and exploiting possible vulnerabilities. These findings help web developers to understand how new HTML5 features are affected the current state of web security and how current available prevention techniques can set down possible threats. In this study, firstly, the current HTML5 standard was reviewed and security issues according to principles of web security were detected. After analyzing these findings, the results show that there are security issues in some HTML5 features that can be used by attackers for creating new high-risk and low-risk attacks. The results also show that some new HTML5 features provide more capabilities for some known attacking techniques. According to our analyses, widely available cross-site scripting attacks can be prevented at client-side by switching prevention technique from server-side to the browser prevention techniques. These findings increase our understanding of how adding capabilities to client-side programming affects the security of web applications.