SecWIT - Sicherheit für Web-Technologien durch Kombinatorisches Interaktions-Testen

In diesem Projekt möchten wir für Webtechnologien im Allgemeinen neue Konzepte für Sicherheitstests entwickeln, welche sich sowohl für Black Box-Testing als auch zur Integration in bestehende Entwicklungs-Abläufe eignen. XSS ist nur eine mögliche Form von Injection; wir möchten eine Vielzahl von anderen Vektoren untersuchen, etwa generalisierte Content Injections auf der Client-Seite (welche oft andere Voraussetzungen als XSS bezüglich des Ausgabe-Kontexts haben und darüber hinaus auch eine Untersuchung von anderen Eingabe-Mechanismen wie HTTP Header Injection erlauben) und SQL-Injections auf der Server-Seite. Beide bieten sich aufgrund ihrer Popularität, großen Einflusses und der oft langsamen resp. fehlerhaften Adaptierung von Gegenmaßnahmen als Forschungsgegenstand an. Wir werden weiters die zugrundeliegenden Methoden verbessern, indem wir Erstellung/Auswahl von Angriffsvektoren (Testfällen) und Lokalisierung von Filter-Fehlern verbessern. Schlussendlich planen wir ein prototypisches CST-Framework für Webtechnologien, um unseren Ansatz zu überprüfen.