Publicação
Blind Auditing Security Testing. Blind Auditing of Web Vulnerabilities in Encrypted Javascript Code Repository
| datacite.subject.fos | Engenharia e Tecnologia::Engenharia Eletrotécnica, Eletrónica e Informática | pt_PT |
| dc.contributor.advisor | Domingos, Henrique | |
| dc.contributor.author | Padrão, João Rodrigues | |
| dc.date.accessioned | 2025-07-28T14:59:23Z | |
| dc.date.available | 2025-07-28T14:59:23Z | |
| dc.date.issued | 2024-12 | |
| dc.description.abstract | Cybersecurity professionals are increasingly concerned about the security of web applica- tions, sparking a growing need for improved detection and prevention of vulnerabilities like SQL Injection (SQLi) and Cross-Site Scripting (XSS). Although conventional static analysis tools can uncover security weaknesses in source code, they frequently jeopardize the confidentiality of the code, potentially exposing sensitive information. A new ap- proach is essential to pinpoint vulnerabilities while maintaining the privacy and security of the code. This dissertation presents Blind Application Security Testing (BAST), a tool that integrates static analysis, taint analysis techniques and searchable symmetric encryption to securely analyze encrypted Node.js code repositories. BAST primarily focuses on identifying common vulnerabilities such as XSS and SQLi without revealing the source code, ensuring privacy throughout the auditing process. BAST employs static analysis on encrypted data flows to uncover security flaws, offering a notable advantage in safeguarding the confidentiality of the code. By comparing its effectiveness with traditional analysis tools, BAST demonstrates its capacity to uncover vulnerabilities while ensuring security and privacy. The anticipated outcome is enhancing secure coding practices and privacy-preserving vulnerability assessment, addressing the evolving challenges in web application security. | pt_PT |
| dc.description.abstract | Resumo Os profissionais de cibersegurança estão cada vez mais preocupados com a segurança das aplicações Web, o que provoca uma necessidade crescente de melhorar a deteção e a prevenção de vulnerabilidades como injeção de SQL (SQLi) e Cross-Site Scripting (XSS). Embora as ferramentas convencionais de análise estática possam descobrir fragilidades de segurança no código-fonte, comprometem frequentemente a confidencialidade do código, expondo potencialmente informações sensíveis. É essencial uma nova abordagem para identificar vulnerabilidades, mantendo a privacidade e a segurança do código. Esta dissertação apresenta o Blind Application Security Testing (BAST), uma ferra- menta que integra análise estática, técnicas de análise de tainting e criptografia simétrica pesquisável para analisar com segurança repositórios de código Node.js criptografados. O BAST foca-se principalmente na identificação de vulnerabilidades comuns, como XSS e SQLi, sem revelar o código-fonte, garantindo a privacidade durante todo o processo de auditoria. BAST emprega análise estática em fluxos de dados encriptados para descobrir falhas de segurança, oferecendo uma vantagem notável na salvaguarda da confidencialidade do código. Comparando a sua eficácia com as ferramentas de análise tradicionais, o BAST de- monstra a sua capacidade para descobrir vulnerabilidades, garantindo simultaneamente a segurança e a privacidade. O resultado esperado é a melhoria das práticas de programa- ção segura e a avaliação de vulnerabilidades que preservam a privacidade, abordando os desafios em evolução da segurança das aplicações Web. | pt_PT |
| dc.identifier.uri | http://hdl.handle.net/10362/185626 | |
| dc.language.iso | eng | pt_PT |
| dc.subject | Software Security | pt_PT |
| dc.subject | Vulnerability Detection | pt_PT |
| dc.subject | Encrypted Code Repositories | pt_PT |
| dc.subject | Static Code Analysis | pt_PT |
| dc.subject | Tainting Analysis | pt_PT |
| dc.subject | Searchable Encryption | pt_PT |
| dc.title | Blind Auditing Security Testing. Blind Auditing of Web Vulnerabilities in Encrypted Javascript Code Repository | pt_PT |
| dc.type | master thesis | |
| dspace.entity.type | Publication | |
| rcaap.rights | openAccess | pt_PT |
| rcaap.type | masterThesis | pt_PT |
| thesis.degree.name | MASTER IN COMPUTER SCIENCE AND ENGINEERING | pt_PT |