Sokolov, V. Y. та Polikovskyi, Bogdan та Vorokhob, Maksym та Tsyrul, Oleksandr (2025) Дослідження ефективності бібліотек санітизації для XSS-атак в веб-додатках Кібербезпека: освіта, наука, техніка, 31 (3). с. 801-819. ISSN 2412-4338
![[thumbnail of V_Sokolov_B_Polikovskyi_M_Vorokhob_O_Tsyrul_CEST_3_31.pdf]](https://elibrary.kubg.edu.ua/style/images/fileicons/text.png) |
Текст
V_Sokolov_B_Polikovskyi_M_Vorokhob_O_Tsyrul_CEST_3_31.pdf - Опублікована версія Download (809kB) |
Анотація
Міжсайтові скриптові атаки (Cross-Site Scripting, XSS) залишаються однією з найбільш поширених і критичних уразливостей сучасних веб-додатків, оскільки дозволяють зловмисникам виконувати довільний шкідливий код у браузері користувача, порушуючи конфіденційність, цілісність і доступність даних. Одним із ключових підходів до протидії XSS є використання бібліотек санітизації, призначених для очищення або безпечного перетворення користувацького вводу перед його обробкою та відображенням. У статті проведено комплексне експериментальне дослідження ефективності популярних бібліотек санітизації HTML у контексті захисту веб-додатків від XSS-атак. Запропоновано та використано спеціалізований датасет зі 100 унікальних XSS-векторів, який охоплює як класичні сценарії атак (script-теги, обробники подій), так і сучасні та менш очевидні техніки, зокрема CSS-ін’єкції, SVG-вектори, DOM clobbering, encoded payloads, а також зловживання сучасними браузерними API. Для проведення експериментів розроблено автоматизований тестовий стенд на базі Node.js з використанням інструментів браузерної емуляції, що дозволило відтворити реалістичні умови виконання шкідливого коду. Порівняльний аналіз бібліотек DOMPurify, js-xss, sanitize-html та OWASP Java HTML Sanitizer здійснювався у дефолтних конфігураціях за показниками рівня блокування XSS-векторів, продуктивності та споживання пам’яті, а також із застосуванням багатокритеріального оцінювання з урахуванням безпеки, підтримки та практичної придатності. Отримані результати засвідчили, що жодна з досліджуваних бібліотек не забезпечує повного захисту «з коробки», а спільною проблемою для всіх рішень є вразливість до DOM clobbering і кодованих векторів атак. Сформульовано практичні рекомендації щодо конфігурації санітизаційних бібліотек та їх використання в межах стратегії багаторівневого захисту веб-додатків.
| Тип елементу : | Стаття |
|---|---|
| Ключові слова: | XSS-атаки; міжсайтовий скриптинг; веб-безпека; санітизація даних; Content Security Policy; валідація вхідних даних; DOM-based XSS; кібербезпека; захист веб-додатків |
| Типологія: | Статті у періодичних виданнях > Фахові (входять до переліку фахових, затверджений МОН) |
| Підрозділи: | Це архівні підрозділи Київського університету імені Бориса Грінченка > Факультет інформаційних технологій та математики > Кафедра інформаційної та кібернетичної безпеки імені професора Володимира Бурячка |
| Користувач, що депонує: | Volodymyr Sokolov |
| Дата внесення: | 25 Груд 2025 13:39 |
| Останні зміни: | 25 Груд 2025 13:39 |
| URI: | https://elibrary.kubg.edu.ua/id/eprint/55479 |
Actions (login required)
 |
Перегляд елементу |