Cross-site scripting (XSS) vulnerability prevention in open-source web content management system documentation
2023Access restrictions
The author has not given permission to make the work publicly available electronically. Therefore the material can be read only at the archival workstation at Jyväskylä University Library (
© The Author(s)
Cross-site scripting (XSS) -haavoittuvuudet ovat olleet merkittävä uhka web-sovelluksille jo yli kahden vuosikymmenen ajan. XSS-haavoittuvuudet ovat säilyttäneet paikkansa yleisimmin havaittujen web-sovellushaavoittuvuuksien tilastoissa siitä huolimatta, että tarjolla on yhä kehittyneempiä teknologioita web-sovellusten ja verkkosivujen kehittämiseen. Web-sisällönhallintajärjestelmät ovat merkittävässä roolissa modernien verkkosivujen julkaisussa, ja suuri osa Internetissä sijaitsevista sivustoista onkin luotu käyttäen kyseisiä järjestelmiä. Tässä pro gradu -tutkielmassa perehdyttiin siihen, kuinka XSS-haavoittuvuuksia käsitellään web-sisällönhallintajärjestelmien dokumentaatiossa, sekä kartoitettiin dokumentaatiossa esiintyviä keinoja puolustautua XSS-haavoittuvuuksia vastaan. Kirjallisuuskatsauksessa tunnistettiin joukko keinoja, joilla XSS-haavoittuvuuksia voidaan ehkäistä. Nämä jakautuivat lähdekoodin tasolla suoritettavaan käyttäjän syötteen erityyppiseen prosessointiin, sovellus- ja palvelinkonfiguraatioiden tuomaan lisäturvaan, sekä web-sovelluspalomuurin (WAF) käyttämiseen. Kirjallisuuskatsauksen perusteella sovelluskehittäjien keskuudessa esiintyy kuitenkin haasteita valikoida sovelluksiinsa sopivat puolustusmekanismit XSS:n kaltaisten haavoittuvuuksien ehkäisemiseksi. Tutkimustuloksissa havaittiin web-sisällönhallintajärjestelmien dokumentaation sisältävän ohjeistusta XSS-haavoittuvuuksien ehkäisystä sekä järjestelmien ydinsovellukselle että niihin kehitettäville lisäosille. Järjestelmädokumentaatiossa ehdotetuissa XSS-haavoittuvuuksien torjuntakeinoissa havaittiin keskityttävän enimmäkseen käyttäjän syötteen turvalliseen käsittelyyn erilaisin kirjallisuudessakin tunnistetuin metodein. Ohjeistuksen kattavuudessa ja johdonmukaisuudessa nähtiin kuitenkin vaihtelua sekä järjestelmien että puolustusmekanismien välillä.
Cross-site scripting (XSS) vulnerabilities have been a significant threat for web applications for over two decades. XSS vulnerabilities have retained their position as one of the most commonly found web application vulnerabilities despite the availability of more advanced technologies for developing web applications and websites. Web content management systems have a significant role in the creation of modern websites, and a large amount of the sites on the Internet have been built using such systems. In this master’s thesis, the ways in which XSS vulnerabilities are addressed in the documentation of web content management systems were studied alongside mapping the methods in which such vulnerabilities can being defended from according to the documentation. A set of XSS prevention measures was recognized in a literature review. These were grouped into proper source code level handling of user input, additional security provided by software and server configurations and the use of a web application firewall (WAF). According to the literature review, software developers are still facing challenges with choosing suitable defenses against vulnerabilities such as cross-site scripting. From the results of the study, it was discovered that the documentation of web content management systems does give guidance on mitigating XSS vulnerabilities in the core of the systems and in their extensions. The recommended defenses against XSS vulnerabilities were found to be focused on the safe handling of user input with different methods. Varying coverage and coherence of the documented guidance was, however, discovered from the results in two distinct areas, between the systems and the XSS-preventive measures.
Show full item recordCollections
- Pro gradu -tutkielmat [29755]
Related items
Showing items with similar title or keywords.
Selection of open-source web vulnerability scanner as testing tool in continuous software development
Riepponen, Mika (2024)Tietoturva on kriittinen osa web sovelluksia ja haavoittuvuudet tulisi ennaltaehkäistä tai tunnistaa sekä korjata mahdollisimman aikaisin ohjelmiston kehitysprosessissa. Tämän tutkimuksen tarkoitus on määrittää kuinka hyvin ... -
Evaluation of Nigeria Universities Websites Quality : A Comparative Analysis
Olaleye, Sunday Adewale; Sanusi, Ismaila Temitayo; Ukpabi, Dandison; Okunoye, Adekunle (University of Idaho Library, 2018)The use and continuous use of the website in the developed countries universities are predominant, and the developing countries universities are heightening their effort in the aspect of education technology. The reason ... -
Implementing structured document production to support enterprise content management
Nurmeksela, Reija (University of Jyväskylä, 2017)Within enterprise content management (ECM), the major goal is to develop and deploy systematic solutions for managing documents and other content items. ECM implementation concerns the development and deployment of new ... -
Vulnerabilities in the wild : detecting vulnerable web applications at scale
Laitinen, Pentti (2018)Web-sovellukset ovat suosittu kohde pahansuoville hyökkäyksille. Yleisissä web-sovelluksista voi löytyä useita haavoittuvuuksia vuoden aikana, joten on tärkeää päivittää sovelluksia aktiivisesti, jos niihin tulee ... -
Does the law matter? An empirical study on the accessibility of Finnish higher education institutions’ web pages
Laamanen, Merja; Ladonlahti, Tarja; Puupponen, Hannu; Kärkkäinen, Tommi (Springer Science and Business Media LLC, 2022)Information and communication technology (ICT) has made higher education available to many students in a new way. The role of online learning in higher education institutions (HEIs) has grown to an unprecedented scale due ...