Cross-site scripting (XSS) vulnerability prevention in open-source web content management system documentation

Abstract

Cross-site scripting (XSS) -haavoittuvuudet ovat olleet merkittävä uhka web-sovelluksille jo yli kahden vuosikymmenen ajan. XSS-haavoittuvuudet ovat säilyttäneet paikkansa yleisimmin havaittujen web-sovellushaavoittuvuuksien tilastoissa siitä huolimatta, että tarjolla on yhä kehittyneempiä teknologioita web-sovellusten ja verkkosivujen kehittämiseen. Web-sisällönhallintajärjestelmät ovat merkittävässä roolissa modernien verkkosivujen julkaisussa, ja suuri osa Internetissä sijaitsevista sivustoista onkin luotu käyttäen kyseisiä järjestelmiä. Tässä pro gradu -tutkielmassa perehdyttiin siihen, kuinka XSS-haavoittuvuuksia käsitellään web-sisällönhallintajärjestelmien dokumentaatiossa, sekä kartoitettiin dokumentaatiossa esiintyviä keinoja puolustautua XSS-haavoittuvuuksia vastaan. Kirjallisuuskatsauksessa tunnistettiin joukko keinoja, joilla XSS-haavoittuvuuksia voidaan ehkäistä. Nämä jakautuivat lähdekoodin tasolla suoritettavaan käyttäjän syötteen erityyppiseen prosessointiin, sovellus- ja palvelinkonfiguraatioiden tuomaan lisäturvaan, sekä web-sovelluspalomuurin (WAF) käyttämiseen. Kirjallisuuskatsauksen perusteella sovelluskehittäjien keskuudessa esiintyy kuitenkin haasteita valikoida sovelluksiinsa sopivat puolustusmekanismit XSS:n kaltaisten haavoittuvuuksien ehkäisemiseksi. Tutkimustuloksissa havaittiin web-sisällönhallintajärjestelmien dokumentaation sisältävän ohjeistusta XSS-haavoittuvuuksien ehkäisystä sekä järjestelmien ydinsovellukselle että niihin kehitettäville lisäosille. Järjestelmädokumentaatiossa ehdotetuissa XSS-haavoittuvuuksien torjuntakeinoissa havaittiin keskityttävän enimmäkseen käyttäjän syötteen turvalliseen käsittelyyn erilaisin kirjallisuudessakin tunnistetuin metodein. Ohjeistuksen kattavuudessa ja johdonmukaisuudessa nähtiin kuitenkin vaihtelua sekä järjestelmien että puolustusmekanismien välillä.

Cross-site scripting (XSS) vulnerabilities have been a significant threat for web applications for over two decades. XSS vulnerabilities have retained their position as one of the most commonly found web application vulnerabilities despite the availability of more advanced technologies for developing web applications and websites. Web content management systems have a significant role in the creation of modern websites, and a large amount of the sites on the Internet have been built using such systems. In this master’s thesis, the ways in which XSS vulnerabilities are addressed in the documentation of web content management systems were studied alongside mapping the methods in which such vulnerabilities can being defended from according to the documentation. A set of XSS prevention measures was recognized in a literature review. These were grouped into proper source code level handling of user input, additional security provided by software and server configurations and the use of a web application firewall (WAF). According to the literature review, software developers are still facing challenges with choosing suitable defenses against vulnerabilities such as cross-site scripting. From the results of the study, it was discovered that the documentation of web content management systems does give guidance on mitigating XSS vulnerabilities in the core of the systems and in their extensions. The recommended defenses against XSS vulnerabilities were found to be focused on the safe handling of user input with different methods. Varying coverage and coherence of the documented guidance was, however, discovered from the results in two distinct areas, between the systems and the XSS-preventive measures.