ДОСЛІДЖЕННЯ ЕФЕКТИВНОСТІ БІБЛІОТЕК САНІТИЗАЦІЇ ДЛЯ XSS-АТАК В ВЕБ-ДОДАТКАХ

Володимир Соколов; Богдан Поліковський; Максим Ворохоб; Олександр Цируль

doi:10.28925/2663-4023.2025.31.1076

Автор(и)

Володимир Соколов Київський столичний університет імені Бориса Грінченка https://orcid.org/0000-0002-9349-7946
Богдан Поліковський Київський столичний університет імені Бориса Грінченка https://orcid.org/0009-0005-4821-8089
Максим Ворохоб Київський столичний університет імені Бориса Грінченка https://orcid.org/0000-0001-5160-7134
Олександр Цируль Інститут телекомунікацій і глобального інформаційного простору НАН України https://orcid.org/0009-0002-5945-5918

DOI:

https://doi.org/10.28925/2663-4023.2025.31.1076

Ключові слова:

XSS-атаки, міжсайтовий скриптинг, веб-безпека, санітизація даних, Content Security Policy, валідація вхідних даних, DOM-based XSS, кібербезпека, захист веб-додатків.

Анотація

Міжсайтові скриптові атаки (Cross-Site Scripting, XSS) залишаються однією з найбільш поширених і критичних уразливостей сучасних веб-додатків, оскільки дозволяють зловмисникам виконувати довільний шкідливий код у браузері користувача, порушуючи конфіденційність, цілісність і доступність даних. Одним із ключових підходів до протидії XSS є використання бібліотек санітизації, призначених для очищення або безпечного перетворення користувацького вводу перед його обробкою та відображенням. У статті проведено комплексне експериментальне дослідження ефективності популярних бібліотек санітизації HTML у контексті захисту веб-додатків від XSS-атак. Запропоновано та використано спеціалізований датасет зі 100 унікальних XSS-векторів, який охоплює як класичні сценарії атак (script-теги, обробники подій), так і сучасні та менш очевидні техніки, зокрема CSS-ін’єкції, SVG-вектори, DOM clobbering, encoded payloads, а також зловживання сучасними браузерними API. Для проведення експериментів розроблено автоматизований тестовий стенд на базі Node.js з використанням інструментів браузерної емуляції, що дозволило відтворити реалістичні умови виконання шкідливого коду. Порівняльний аналіз бібліотек DOMPurify, js-xss, sanitize-html та OWASP Java HTML Sanitizer здійснювався у дефолтних конфігураціях за показниками рівня блокування XSS-векторів, продуктивності та споживання пам’яті, а також із застосуванням багатокритеріального оцінювання з урахуванням безпеки, підтримки та практичної придатності. Отримані результати засвідчили, що жодна з досліджуваних бібліотек не забезпечує повного захисту «з коробки», а спільною проблемою для всіх рішень є вразливість до DOM clobbering і кодованих векторів атак. Сформульовано практичні рекомендації щодо конфігурації санітизаційних бібліотек та їх використання в межах стратегії багаторівневого захисту веб-додатків.

Завантаження

Дані завантаження ще не доступні.

Посилання

Weinberger, J., Saxena, P., Akhawe, D., Finifter, M., Shin, R. & D. Song (2011). An Empirical Analysis of XSS Sanitization in Web Application Frameworks. Technical Report No. UCB/EECS-2011-11. Electrical Engineering and Computer Sciences University of California at Berkeley.

K. Patil, D., & R. Patil, K. (2015). Client-side Automated Sanitizer for Cross-Site Scripting Vulnerabilities. Int. J. Comput. Appl., 121(20), 1–8. https://doi.org/10.5120/21653-5063

Hydara, I., Sultan, A., Zulzalil, H., & Admodisastro, N. (2015). Current State of Research on Cross-Site Scripting (XSS) – A Systematic Literature Review. Inf. Softw. Technol., 58, 170–186. https://doi.org/10.1016/j.infsof.2014.07.010

Hannousse, A., Yahiouche, S., & Nait-Hamoud, M. (2024). Twenty-Two Years since Revealing Cross-Site Scripting Attacks: A Systematic Mapping and a Comprehensive Survey. Comput. Sci. Rev., 52, 100634. https://doi.org/10.1016/j.cosrev.2024.100634

Talib, N., & Doh, K. (2021). Assessment of Dynamic Open-Source Cross-Site Scripting Filters for Web Application. KSII Trans. Internet Inf. Syst., 15, 3750–3770. https://doi.org/10.3837/tiis.2021.10.015

Shar, L. K., & Tan, H. B. K. (2012). Automated Removal of Cross Site Scripting Vulnerabilities in Web Applications. Inf. Softw. Technol., 54(5), 467–478. https://doi.org/10.1016/j.infsof.2011.12.006

Gupta, S., & Gupta, B. B. (2015). XSS-SAFE: A Server-Side Approach to Detect and Mitigate Cross-Site Scripting (XSS) Attacks in JavaScript Code. Arab. J. Sci. Eng., 41(3), 897–920. https://doi.org/10.1007/s13369-015-1891-7

Tadhani, J. R., Vekariya, V., Sorathiya, V., Alshathri, S., & El-Shafai, W. (2024). Securing Web Applications against XSS and SQLi Attacks using a Novel Deep Learning Approach. Sci. Rep., 14(1). https://doi.org/10.1038/s41598-023-48845-4

Ibrahim Khalaf, O., Sokiyna, M., Alotaibi, Y., Alsufyani, A., & Alghamdi, S. (2021). Web Attack Detection Using the Input Validation Method: DPDA Theory. Comp. Material. Continua, 68(3), 3167–3184. https://doi.org/10.32604/cmc.2021.016099

Oshoiribhor, E., & John-Otumu, A. (2025). XSS-Net: An Intelligent Machine Learning Model for Detecting Cross-Site Scripting (XSS) Attack in Web Application. Machin. Learn. Res., 10(1), 14–24. https://doi.org/10.11648/j.mlr.20251001.12