XSS in Rust-Webanwendungen

Abstract

Seit Aufkommen des Web 2.0 stellen Angriffe durch Cross-Site Scripting (XSS) ein verbreitetes Problem dar und werden als eine der Hauptbedrohungen für Webanwendungen eingestuft. Die relativ neue, sicherheitsorientierte Programmiersprache Rust wird zunehmend auch in Webanwendungen eingesetzt und geht damit über ihren ursprünglichen Einsatzbereich in der systemnahen Programmierung auf Browser- oder Betriebssystemebene hinaus. In dieser Arbeit werden die Wirkungsweise von XSS-Angriffen auf Rust-Webanwendungen und mögliche Vorteile der Sprache im Schutz gegen diese betrachtet. Ein Prototyp einer in Rust entwickelten Webanwendung nach dem Vorbild des OWASP Juice Shop wird durch XSS angegriffen und dadurch gezeigt, dass Rust allein, ohne den Einsatz weiterer Maßnahmen, nicht gegen Cross-Site Scripting schützen kann.

Cross-Site Scripting (XSS) attacks have been a prevalent problem since the rise of the web 2.0 and are consistently ranked among the main threats against web applications. More recently, the relatively new, safety-focused programming language Rust is gaining popularity for use in building web applications, expanding from its original purpose as a systems programming language in the context of operating systems and browsers. This thesis investigates the mechanisms of XSS attacks on web applications in Rust and possible benefits of the language in protecting against them. A prototype of a Rust web application modeled after OWASP Juice Shop is attacked using XSS, showing that Rust cannot protect against Cross-Site Scripting without employing additional tools.