Cross-site scripting (XSS) vulnerability prevention in open-source web content management system documentation

Cross-site scripting (XSS) -haavoittuvuudet ovat olleet merkittävä uhka web-sovelluksille jo yli kahden vuosikymmenen ajan. XSS-haavoittuvuudet ovat säilyttäneet paikkansa yleisimmin havaittujen web-sovellushaavoittuvuuksien tilastoissa siitä huolimatta, että tarjolla on yhä kehittyneempiä teknologioita web-sovellusten ja verkkosivujen kehittämiseen. Web-sisällönhallintajärjestelmät ovat merkittävässä roolissa modernien verkkosivujen julkaisussa, ja suuri osa Internetissä sijaitsevista sivustoista onkin luotu käyttäen kyseisiä järjestelmiä. Tässä pro gradu -tutkielmassa perehdyttiin siihen, kuinka XSS-haavoittuvuuksia käsitellään web-sisällönhallintajärjestelmien dokumentaatiossa, sekä kartoitettiin dokumentaatiossa esiintyviä keinoja puolustautua XSS-haavoittuvuuksia vastaan. Kirjallisuuskatsauksessa tunnistettiin joukko keinoja, joilla XSS-haavoittuvuuksia voidaan ehkäistä. Nämä jakautuivat lähdekoodin tasolla suoritettavaan käyttäjän syötteen erityyppiseen prosessointiin, sovellus- ja palvelinkonfiguraatioiden tuomaan lisäturvaan, sekä web-sovelluspalomuurin (WAF) käyttämiseen. Kirjallisuuskatsauksen perusteella sovelluskehittäjien keskuudessa esiintyy kuitenkin haasteita valikoida sovelluksiinsa sopivat puolustusmekanismit XSS:n kaltaisten haavoittuvuuksien ehkäisemiseksi. Tutkimustuloksissa havaittiin web-sisällönhallintajärjestelmien dokumentaation sisältävän ohjeistusta XSS-haavoittuvuuksien ehkäisystä sekä järjestelmien ydinsovellukselle että niihin kehitettäville lisäosille. Järjestelmädokumentaatiossa ehdotetuissa XSS-haavoittuvuuksien torjuntakeinoissa havaittiin keskityttävän enimmäkseen käyttäjän syötteen turvalliseen käsittelyyn erilaisin kirjallisuudessakin tunnistetuin metodein. Ohjeistuksen kattavuudessa ja johdonmukaisuudessa nähtiin kuitenkin vaihtelua sekä järjestelmien että puolustusmekanismien välillä.