Análisis de seguridad de las extensiones para navegadores Web
Actualmente, se usan mucho los navegadores en la vida diaria; para acceso a diferentes aplicaciones en línea como bancos, redes sociales, sitios de compra y venta, etc. Diferentes datos de un usuario, no solo login y contraseña, además edad, preferencias en compras, sitios preferidos de navegación,...
- Autores:
-
Alvarado Vargas, Nicolás Arturo
- Tipo de recurso:
- Trabajo de grado de pregrado
- Fecha de publicación:
- 2023
- Institución:
- Universidad de los Andes
- Repositorio:
- Séneca: repositorio Uniandes
- Idioma:
- spa
- OAI Identifier:
- oai:repositorio.uniandes.edu.co:1992/73180
- Acceso en línea:
- https://hdl.handle.net/1992/73180
- Palabra clave:
- Seguridad
Navegadores Web
Extensiones Web
Ingeniería
- Rights
- openAccess
- License
- Attribution-NonCommercial-NoDerivatives 4.0 International
id |
UNIANDES2_669a685a37d174f8c0cb96b84124945b |
---|---|
oai_identifier_str |
oai:repositorio.uniandes.edu.co:1992/73180 |
network_acronym_str |
UNIANDES2 |
network_name_str |
Séneca: repositorio Uniandes |
repository_id_str |
|
dc.title.spa.fl_str_mv |
Análisis de seguridad de las extensiones para navegadores Web |
title |
Análisis de seguridad de las extensiones para navegadores Web |
spellingShingle |
Análisis de seguridad de las extensiones para navegadores Web Seguridad Navegadores Web Extensiones Web Ingeniería |
title_short |
Análisis de seguridad de las extensiones para navegadores Web |
title_full |
Análisis de seguridad de las extensiones para navegadores Web |
title_fullStr |
Análisis de seguridad de las extensiones para navegadores Web |
title_full_unstemmed |
Análisis de seguridad de las extensiones para navegadores Web |
title_sort |
Análisis de seguridad de las extensiones para navegadores Web |
dc.creator.fl_str_mv |
Alvarado Vargas, Nicolás Arturo |
dc.contributor.advisor.none.fl_str_mv |
Rueda Rodríguez, Sandra Julieta |
dc.contributor.author.none.fl_str_mv |
Alvarado Vargas, Nicolás Arturo |
dc.subject.keyword.spa.fl_str_mv |
Seguridad Navegadores Web Extensiones Web |
topic |
Seguridad Navegadores Web Extensiones Web Ingeniería |
dc.subject.themes.none.fl_str_mv |
Ingeniería |
description |
Actualmente, se usan mucho los navegadores en la vida diaria; para acceso a diferentes aplicaciones en línea como bancos, redes sociales, sitios de compra y venta, etc. Diferentes datos de un usuario, no solo login y contraseña, además edad, preferencias en compras, sitios preferidos de navegación, etc. son manejados en algún momento por un navegador web. También se usan mucho las extensiones web, las cuales pueden tener acceso a todas las páginas que el usuario navega. Este comportamiento plantea retos para ofrecer garantías de seguridad para la información del usuario y puede crear un problema para su seguridad ya que las páginas web pueden tener vulnerabilidades que un atacante puede explotar. Adicionalmente, las extensiones web pueden hacer mal uso de los permisos y accesos que tienen. Este trabajo estudia las características generales de los mecanismos de control de acceso de las páginas web, dos vulnerabilidades que ocurren frecuentemente y las formas de mitigar estas vulnerabilidades. Además, también se estudia el comportamiento de las extensiones web y qué implicaciones pueden tener estas para la seguridad de los datos de los usuarios. Finalmente, creamos una extensión web para ayudar a los usuarios a entender qué accesos tienen las extensiones que el usuario tiene instaladas en el navegador y qué implicaciones tienen estos accesos. Esto lo hacemos mostrando los permisos que usa cada extensión y clasificando la extensión según sus permisos. Encontramos que muchos frameworks, tanto de back-end como de front-end, implementan medidas contra las vulnerabilidades estudiadas, pero los desarrolladores no siempre tienen claro que deben usar estas medidas y cómo usarlas. También encontramos que las extensiones web pueden tener total acceso sobre las páginas en las que navegan los usuarios; generalmente, un acceso mayor al esperado. Finalmente, evaluamos las extensiones populares en la tienda que Google Chrome y encontramos que muchas de estas extensiones tienen acceso excesivo sobre la información de los usuarios. La seguridad web es de gran importancia por su alcance (involucra millones de usuarios), sin embargo, tanto los desarrolladores como los usuarios deben ser concientizados de los riesgos latentes. Esta concientización es especialmente importante en el caso de las extensiones web donde continúa existiendo una gran problemática por el amplio acceso que tienen las extensiones sobre los datos del usuario y en el momento no existe forma de mitigar esto de forma sencilla. Para limitar este acceso, sería necesario implementar una funcionalidad adicional en los navegadores web. Una solución, que este trabajo propone, es ofrecer una herramienta que permita a los usuarios consultar el acceso de las extensiones instaladas. Aunque el alcance de la herramienta es limitado porque depende de la intervención del usuario, es un primer paso en el plan de concientización. |
publishDate |
2023 |
dc.date.accessioned.none.fl_str_mv |
2023-12-14T19:17:30Z |
dc.date.available.none.fl_str_mv |
2023-12-14T19:17:30Z |
dc.date.issued.none.fl_str_mv |
2023-12-14 |
dc.type.none.fl_str_mv |
Trabajo de grado - Pregrado |
dc.type.driver.none.fl_str_mv |
info:eu-repo/semantics/bachelorThesis |
dc.type.version.none.fl_str_mv |
info:eu-repo/semantics/acceptedVersion |
dc.type.coar.none.fl_str_mv |
http://purl.org/coar/resource_type/c_7a1f |
dc.type.content.none.fl_str_mv |
Text |
dc.type.redcol.none.fl_str_mv |
http://purl.org/redcol/resource_type/TP |
format |
http://purl.org/coar/resource_type/c_7a1f |
status_str |
acceptedVersion |
dc.identifier.uri.none.fl_str_mv |
https://hdl.handle.net/1992/73180 |
dc.identifier.instname.none.fl_str_mv |
instname:Universidad de los Andes |
dc.identifier.reponame.none.fl_str_mv |
reponame:Repositorio Institucional Séneca |
dc.identifier.repourl.none.fl_str_mv |
repourl:https://repositorio.uniandes.edu.co/ |
url |
https://hdl.handle.net/1992/73180 |
identifier_str_mv |
instname:Universidad de los Andes reponame:Repositorio Institucional Séneca repourl:https://repositorio.uniandes.edu.co/ |
dc.language.iso.none.fl_str_mv |
spa |
language |
spa |
dc.relation.references.none.fl_str_mv |
Acunetix. (s.f.-a). Cross-site Scripting (XSS). Descargado 2023-10-24, de https://www.acunetix.com/websitesecurity/cross-site-scripting/ Acunetix. (s.f.-b). CSRF Attacks: Anatomy, Prevention, and XSRF Tokens. Descargado 2023-10-24, de https://www.acunetix.com/websitesecurity/csrf-attacks/ Acunetix. (2021). The Invicti AppSec Indicator, Spring 2021 Edition: Acunetix Web Vulnerability Report. Descargado 2023-10-08, de https://www.acunetix.com/white-papers/acunetix-web-application-vulnerability-report-2021/ Athanasopoulos, E., Pappas, V., Krithinakis, A., Ligouras, S., Markatos, E. P., y Karagiannis, T. (2010, junio). xJS: Practical XSS prevention for web application development. En Usenix conference on web application development (webapps 10). USENIX Association. Descargado de https://www.usenix.org/conference/webapps-10/xjs-practical-xss-prevention-web-application-development Barth, A., Jackson, C., Reis, C., y Team, G. C. (2008). The security architecture of the chromium browser. Stanford University. Descargado de https://seclab.stanford.edu/websec/chromium/chromium-security-architecture.pdf Cassie Bottorff, K. H. (2023). Top website statistics for 2023. Descargado Accessed: 2023-10-30, de https://www.forbes.com/advisor/business/software/website-statistics/ Chinprutthiwong, P., Huang, J., y Gu, G. (2022, agosto). SWAPP: A new programmable playground for web application security. En 31st usenix security symposium (usenix security 22) (pp. 2029–2046). Boston, MA: USENIX Association. Descargado de https://www.usenix.org/conference/usenixsecurity22/presentation/chinprutthiwong Common Weakness Enumeration. (2023a). CWE-352: Cross-Site Request Forgery (CSRF). Descargado 2023-10-05, de https://cwe.mitre.org/data/definitions/352.html Common Weakness Enumeration. (2023b). CWE-79: Improper Neutralization of Input During Web Page Generation (’Cross-site Scripting’). Descargado 2023-10-05, de https://cwe.mitre.org/data/definitions/79.html Dean, B. (2021). Google chrome statistics for 2023. Descargado Accessed: 2023-11-01, de https://backlinko.com/chrome-users DebugBear. (2020). Counting chrome extensions – chrome web store statistics. Descargado Accessed: 2023-11-03, de https://www.debugbear.com/blog/counting-chrome-extensions Eriksson, B., Picazo-Sanchez, P., y Sabelfeld, A. (2022). Hardening the security analysis of browser extensions. En Proceedings of the 37th acm/sigapp symposium on applied computing (p. 1694–1703). New York, NY, USA: Association for Computing Machinery. Descargado de https://doi.org/10.1145/3477314.3507098 doi: 10.1145/3477314.3507098 Framework, T. L. (2023). framework. Descargado Accessed: 2023-10-26, de https://github.com/laravel/framework GitHub. (s.f.). No license. Descargado Accessed: 2023-11-25, de https://choosealicense.com/no-permission/ Heinrich, C. (2013). Comparison of 2003, 2004, 2007, 2010 and 2013 releases. Descargado Accessed: 2023-11-10, de https://github.com/cmlh/OWASP-Top-Ten-2013/blob/c949beb223b9a39d55002154ffcfcbdb2e5027e8/2013_Release-FINAL/OWASP_Top_Ten_-_Comparison_of_2003%2C_2004%2C_2007%2C_2010_and_2013_Releases-FINAL_Release.pdf Khodayari, S., y Pellegrino, G. (2021, agosto). JAW: Studying clientside CSRF with hybrid property graphs and declarative traversals. En 30th usenix security symposium (usenix security 21) (pp. 2525–2542). USENIX Association. Descargado de https://www.usenix.org/conference/usenixsecurity21/presentation/khodayari Kim, S., Kim, Y. M., Hur, J., Song, S., Lee, G., y Lee, B. (2022, agosto). FuzzOrigin: Detecting UXSS vulnerabilities in browsers through origin fuzzing. En 31st usenix security symposium (usenix security 22) (pp. 1008–1023). Boston, MA: USENIX Association. Descargado de https://www.usenix.org/conference/usenixsecurity22/presentation/kim Kim, Y. M., y Lee, B. (2023, agosto). Extending a hand to attackers: Browser privilege escalation attacks via extensions. En 32nd usenix security symposium (usenix security 23) (pp. 7055–7071). Anaheim, CA: USENIX Association. Descargado de https://www.usenix.org/conference/usenixsecurity23/presentation/kim-young-min Mozilla. (2023). Element: innerHTML property. Descargado 2023-10-08, de https://developer.mozilla.org/en-US/docs/Web/API/Element/innerHTML OWASP. (2017). Owasp top 10 - 2017. Descargado Accessed: 2023-11-10, de https://owasp.org/www-pdf-archive/OWASP_Top_10-2017_(en).pdf.pdf OWASP. (2021). Owasp top 10 - 2021. Descargado Accessed: 2023-11-10, de https://owasp.org/Top10/ OWASP. (2023a). Cross-Site Request Forgery Prevention Cheat Sheet. Descargado 2023-10-17, de https://cheatsheetseries.owasp.org/cheatsheets/Cross-Site_Request_Forgery_Prevention_Cheat_Sheet.html OWASP. (2023b). Cross Site Scripting Prevention Cheat Sheet. Descargado 2023-10-17, de https://cheatsheetseries.owasp.org/cheatsheets/Cross_Site_Scripting_Prevention_Cheat_Sheet.html Palmer, C. (2021, febrero). The limits of sandboxing and next steps. USENIX Association. Peguero, K., y Cheng, X. (2021). Csrf protection in javascript frameworks and the security of javascript applications. High-Confidence Computing, 1 (2), 100035. Descargado de https://www.sciencedirect.com/science/article/pii/S2667295221000258 doi: https://doi.org/10.1016/j.hcc.2021.100035 Peguero, K., Zhang, N., y Cheng, X. (2018). An empirical study of the framework impact on the security of javascript web applications. En Companion proceedings of the the web conference 2018 (p. 753–758). Republic and Canton of Geneva, CHE: International World Wide Web Conferences Steering Committee. Descargado de https://doi.org/10.1145/3184558.3188736 doi: 10.1145/3184558.3188736 SimilarWeb. (2023). Top Desktop Browsers Market Share. Descargado 2023-10-08, de https://www.similarweb.com/browsers/worldwide/desktop/ The Chromium Project. (s.f.). Multi-process Architecture. Descargado 2023-10-17, de https://www.chromium.org/developers/design-documents/multi-process-architecture/ |
dc.rights.en.fl_str_mv |
Attribution-NonCommercial-NoDerivatives 4.0 International |
dc.rights.uri.none.fl_str_mv |
http://creativecommons.org/licenses/by-nc-nd/4.0/ |
dc.rights.accessrights.none.fl_str_mv |
info:eu-repo/semantics/openAccess |
dc.rights.coar.none.fl_str_mv |
http://purl.org/coar/access_right/c_abf2 |
rights_invalid_str_mv |
Attribution-NonCommercial-NoDerivatives 4.0 International http://creativecommons.org/licenses/by-nc-nd/4.0/ http://purl.org/coar/access_right/c_abf2 |
eu_rights_str_mv |
openAccess |
dc.format.extent.none.fl_str_mv |
65 páginas |
dc.format.mimetype.none.fl_str_mv |
application/pdf |
dc.publisher.none.fl_str_mv |
Universidad de los Andes |
dc.publisher.program.none.fl_str_mv |
Ingeniería de Sistemas y Computación |
dc.publisher.faculty.none.fl_str_mv |
Facultad de Ingeniería |
dc.publisher.department.none.fl_str_mv |
Departamento de Ingeniería Sistemas y Computación |
publisher.none.fl_str_mv |
Universidad de los Andes |
institution |
Universidad de los Andes |
bitstream.url.fl_str_mv |
https://repositorio.uniandes.edu.co/bitstreams/acb06d23-74d2-4cb4-b042-9b364acf8c1d/download https://repositorio.uniandes.edu.co/bitstreams/51fd89a7-152c-477e-8af3-d9517467fa22/download https://repositorio.uniandes.edu.co/bitstreams/077577fd-8c00-4f8a-a617-e5ee998b08ce/download https://repositorio.uniandes.edu.co/bitstreams/35ef0122-4157-4c4e-8ee5-58f1da5e9a4c/download https://repositorio.uniandes.edu.co/bitstreams/39e4188f-b7f0-463f-b3da-0dd097c215ac/download https://repositorio.uniandes.edu.co/bitstreams/ae3bb615-1db2-49c0-b6a7-44cdb82c092a/download https://repositorio.uniandes.edu.co/bitstreams/48bd5f5a-4ea6-439d-8bef-61657268e6c2/download https://repositorio.uniandes.edu.co/bitstreams/2421b610-fcd5-4c90-a490-07fe8efd783a/download |
bitstream.checksum.fl_str_mv |
cf6a556580d4f8194790080e95008c94 10b3312afac8496d1d3db7dc1e55f3a0 4460e5956bc1d1639be9ae6146a50347 ae9e573a68e7f92501b6913cc846c39f bb84077b2d639a16308c3bc2143dd4eb 11287769a69f43c8da485077218c4ae8 2ce7009efbe827b214cf463394504cba 4571cd5deeb55cc388be6e85c84528b2 |
bitstream.checksumAlgorithm.fl_str_mv |
MD5 MD5 MD5 MD5 MD5 MD5 MD5 MD5 |
repository.name.fl_str_mv |
Repositorio institucional Séneca |
repository.mail.fl_str_mv |
adminrepositorio@uniandes.edu.co |
_version_ |
1812133860580786176 |
spelling |
Rueda Rodríguez, Sandra JulietaAlvarado Vargas, Nicolás Arturo2023-12-14T19:17:30Z2023-12-14T19:17:30Z2023-12-14https://hdl.handle.net/1992/73180instname:Universidad de los Andesreponame:Repositorio Institucional Sénecarepourl:https://repositorio.uniandes.edu.co/Actualmente, se usan mucho los navegadores en la vida diaria; para acceso a diferentes aplicaciones en línea como bancos, redes sociales, sitios de compra y venta, etc. Diferentes datos de un usuario, no solo login y contraseña, además edad, preferencias en compras, sitios preferidos de navegación, etc. son manejados en algún momento por un navegador web. También se usan mucho las extensiones web, las cuales pueden tener acceso a todas las páginas que el usuario navega. Este comportamiento plantea retos para ofrecer garantías de seguridad para la información del usuario y puede crear un problema para su seguridad ya que las páginas web pueden tener vulnerabilidades que un atacante puede explotar. Adicionalmente, las extensiones web pueden hacer mal uso de los permisos y accesos que tienen. Este trabajo estudia las características generales de los mecanismos de control de acceso de las páginas web, dos vulnerabilidades que ocurren frecuentemente y las formas de mitigar estas vulnerabilidades. Además, también se estudia el comportamiento de las extensiones web y qué implicaciones pueden tener estas para la seguridad de los datos de los usuarios. Finalmente, creamos una extensión web para ayudar a los usuarios a entender qué accesos tienen las extensiones que el usuario tiene instaladas en el navegador y qué implicaciones tienen estos accesos. Esto lo hacemos mostrando los permisos que usa cada extensión y clasificando la extensión según sus permisos. Encontramos que muchos frameworks, tanto de back-end como de front-end, implementan medidas contra las vulnerabilidades estudiadas, pero los desarrolladores no siempre tienen claro que deben usar estas medidas y cómo usarlas. También encontramos que las extensiones web pueden tener total acceso sobre las páginas en las que navegan los usuarios; generalmente, un acceso mayor al esperado. Finalmente, evaluamos las extensiones populares en la tienda que Google Chrome y encontramos que muchas de estas extensiones tienen acceso excesivo sobre la información de los usuarios. La seguridad web es de gran importancia por su alcance (involucra millones de usuarios), sin embargo, tanto los desarrolladores como los usuarios deben ser concientizados de los riesgos latentes. Esta concientización es especialmente importante en el caso de las extensiones web donde continúa existiendo una gran problemática por el amplio acceso que tienen las extensiones sobre los datos del usuario y en el momento no existe forma de mitigar esto de forma sencilla. Para limitar este acceso, sería necesario implementar una funcionalidad adicional en los navegadores web. Una solución, que este trabajo propone, es ofrecer una herramienta que permita a los usuarios consultar el acceso de las extensiones instaladas. Aunque el alcance de la herramienta es limitado porque depende de la intervención del usuario, es un primer paso en el plan de concientización.Ingeniero de Sistemas y ComputaciónPregrado65 páginasapplication/pdfspaUniversidad de los AndesIngeniería de Sistemas y ComputaciónFacultad de IngenieríaDepartamento de Ingeniería Sistemas y ComputaciónAttribution-NonCommercial-NoDerivatives 4.0 Internationalhttp://creativecommons.org/licenses/by-nc-nd/4.0/info:eu-repo/semantics/openAccesshttp://purl.org/coar/access_right/c_abf2Análisis de seguridad de las extensiones para navegadores WebTrabajo de grado - Pregradoinfo:eu-repo/semantics/bachelorThesisinfo:eu-repo/semantics/acceptedVersionhttp://purl.org/coar/resource_type/c_7a1fTexthttp://purl.org/redcol/resource_type/TPSeguridadNavegadores WebExtensiones WebIngenieríaAcunetix. (s.f.-a). Cross-site Scripting (XSS). Descargado 2023-10-24, de https://www.acunetix.com/websitesecurity/cross-site-scripting/Acunetix. (s.f.-b). CSRF Attacks: Anatomy, Prevention, and XSRF Tokens. Descargado 2023-10-24, de https://www.acunetix.com/websitesecurity/csrf-attacks/Acunetix. (2021). The Invicti AppSec Indicator, Spring 2021 Edition: Acunetix Web Vulnerability Report. Descargado 2023-10-08, de https://www.acunetix.com/white-papers/acunetix-web-application-vulnerability-report-2021/Athanasopoulos, E., Pappas, V., Krithinakis, A., Ligouras, S., Markatos, E. P., y Karagiannis, T. (2010, junio). xJS: Practical XSS prevention for web application development. En Usenix conference on web application development (webapps 10). USENIX Association. Descargado de https://www.usenix.org/conference/webapps-10/xjs-practical-xss-prevention-web-application-developmentBarth, A., Jackson, C., Reis, C., y Team, G. C. (2008). The security architecture of the chromium browser. Stanford University. Descargado de https://seclab.stanford.edu/websec/chromium/chromium-security-architecture.pdfCassie Bottorff, K. H. (2023). Top website statistics for 2023. Descargado Accessed: 2023-10-30, de https://www.forbes.com/advisor/business/software/website-statistics/Chinprutthiwong, P., Huang, J., y Gu, G. (2022, agosto). SWAPP: A new programmable playground for web application security. En 31st usenix security symposium (usenix security 22) (pp. 2029–2046). Boston, MA: USENIX Association. Descargado de https://www.usenix.org/conference/usenixsecurity22/presentation/chinprutthiwongCommon Weakness Enumeration. (2023a). CWE-352: Cross-Site Request Forgery (CSRF). Descargado 2023-10-05, de https://cwe.mitre.org/data/definitions/352.htmlCommon Weakness Enumeration. (2023b). CWE-79: Improper Neutralization of Input During Web Page Generation (’Cross-site Scripting’). Descargado 2023-10-05, de https://cwe.mitre.org/data/definitions/79.htmlDean, B. (2021). Google chrome statistics for 2023. Descargado Accessed: 2023-11-01, de https://backlinko.com/chrome-usersDebugBear. (2020). Counting chrome extensions – chrome web store statistics. Descargado Accessed: 2023-11-03, de https://www.debugbear.com/blog/counting-chrome-extensionsEriksson, B., Picazo-Sanchez, P., y Sabelfeld, A. (2022). Hardening the security analysis of browser extensions. En Proceedings of the 37th acm/sigapp symposium on applied computing (p. 1694–1703). New York, NY, USA: Association for Computing Machinery. Descargado de https://doi.org/10.1145/3477314.3507098 doi: 10.1145/3477314.3507098Framework, T. L. (2023). framework. Descargado Accessed: 2023-10-26, de https://github.com/laravel/frameworkGitHub. (s.f.). No license. Descargado Accessed: 2023-11-25, de https://choosealicense.com/no-permission/Heinrich, C. (2013). Comparison of 2003, 2004, 2007, 2010 and 2013 releases. Descargado Accessed: 2023-11-10, de https://github.com/cmlh/OWASP-Top-Ten-2013/blob/c949beb223b9a39d55002154ffcfcbdb2e5027e8/2013_Release-FINAL/OWASP_Top_Ten_-_Comparison_of_2003%2C_2004%2C_2007%2C_2010_and_2013_Releases-FINAL_Release.pdfKhodayari, S., y Pellegrino, G. (2021, agosto). JAW: Studying clientside CSRF with hybrid property graphs and declarative traversals. En 30th usenix security symposium (usenix security 21) (pp. 2525–2542). USENIX Association. Descargado de https://www.usenix.org/conference/usenixsecurity21/presentation/khodayariKim, S., Kim, Y. M., Hur, J., Song, S., Lee, G., y Lee, B. (2022, agosto). FuzzOrigin: Detecting UXSS vulnerabilities in browsers through origin fuzzing. En 31st usenix security symposium (usenix security 22) (pp. 1008–1023). Boston, MA: USENIX Association. Descargado de https://www.usenix.org/conference/usenixsecurity22/presentation/kimKim, Y. M., y Lee, B. (2023, agosto). Extending a hand to attackers: Browser privilege escalation attacks via extensions. En 32nd usenix security symposium (usenix security 23) (pp. 7055–7071). Anaheim, CA: USENIX Association. Descargado de https://www.usenix.org/conference/usenixsecurity23/presentation/kim-young-minMozilla. (2023). Element: innerHTML property. Descargado 2023-10-08, de https://developer.mozilla.org/en-US/docs/Web/API/Element/innerHTMLOWASP. (2017). Owasp top 10 - 2017. Descargado Accessed: 2023-11-10, de https://owasp.org/www-pdf-archive/OWASP_Top_10-2017_(en).pdf.pdfOWASP. (2021). Owasp top 10 - 2021. Descargado Accessed: 2023-11-10, de https://owasp.org/Top10/OWASP. (2023a). Cross-Site Request Forgery Prevention Cheat Sheet. Descargado 2023-10-17, de https://cheatsheetseries.owasp.org/cheatsheets/Cross-Site_Request_Forgery_Prevention_Cheat_Sheet.htmlOWASP. (2023b). Cross Site Scripting Prevention Cheat Sheet. Descargado 2023-10-17, de https://cheatsheetseries.owasp.org/cheatsheets/Cross_Site_Scripting_Prevention_Cheat_Sheet.htmlPalmer, C. (2021, febrero). The limits of sandboxing and next steps. USENIX Association.Peguero, K., y Cheng, X. (2021). Csrf protection in javascript frameworks and the security of javascript applications. High-Confidence Computing, 1 (2), 100035. Descargado de https://www.sciencedirect.com/science/article/pii/S2667295221000258 doi: https://doi.org/10.1016/j.hcc.2021.100035Peguero, K., Zhang, N., y Cheng, X. (2018). An empirical study of the framework impact on the security of javascript web applications. En Companion proceedings of the the web conference 2018 (p. 753–758). Republic and Canton of Geneva, CHE: International World Wide Web Conferences Steering Committee. Descargado de https://doi.org/10.1145/3184558.3188736 doi: 10.1145/3184558.3188736SimilarWeb. (2023). Top Desktop Browsers Market Share. Descargado 2023-10-08, de https://www.similarweb.com/browsers/worldwide/desktop/The Chromium Project. (s.f.). Multi-process Architecture. Descargado 2023-10-17, de https://www.chromium.org/developers/design-documents/multi-process-architecture/201630444PublicationORIGINALAnálisis de Seguridad de las Extensiones para Navegadores Web.pdfAnálisis de Seguridad de las Extensiones para Navegadores Web.pdfapplication/pdf965893https://repositorio.uniandes.edu.co/bitstreams/acb06d23-74d2-4cb4-b042-9b364acf8c1d/downloadcf6a556580d4f8194790080e95008c94MD5120232-autorizaciontesis_alvarado.pdf20232-autorizaciontesis_alvarado.pdfHIDEapplication/pdf236213https://repositorio.uniandes.edu.co/bitstreams/51fd89a7-152c-477e-8af3-d9517467fa22/download10b3312afac8496d1d3db7dc1e55f3a0MD52CC-LICENSElicense_rdflicense_rdfapplication/rdf+xml; charset=utf-8805https://repositorio.uniandes.edu.co/bitstreams/077577fd-8c00-4f8a-a617-e5ee998b08ce/download4460e5956bc1d1639be9ae6146a50347MD53LICENSElicense.txtlicense.txttext/plain; charset=utf-82535https://repositorio.uniandes.edu.co/bitstreams/35ef0122-4157-4c4e-8ee5-58f1da5e9a4c/downloadae9e573a68e7f92501b6913cc846c39fMD54TEXTAnálisis de Seguridad de las Extensiones para Navegadores Web.pdf.txtAnálisis de Seguridad de las Extensiones para Navegadores Web.pdf.txtExtracted texttext/plain101616https://repositorio.uniandes.edu.co/bitstreams/39e4188f-b7f0-463f-b3da-0dd097c215ac/downloadbb84077b2d639a16308c3bc2143dd4ebMD5520232-autorizaciontesis_alvarado.pdf.txt20232-autorizaciontesis_alvarado.pdf.txtExtracted texttext/plain1969https://repositorio.uniandes.edu.co/bitstreams/ae3bb615-1db2-49c0-b6a7-44cdb82c092a/download11287769a69f43c8da485077218c4ae8MD57THUMBNAILAnálisis de Seguridad de las Extensiones para Navegadores Web.pdf.jpgAnálisis de Seguridad de las Extensiones para Navegadores Web.pdf.jpgGenerated Thumbnailimage/jpeg5784https://repositorio.uniandes.edu.co/bitstreams/48bd5f5a-4ea6-439d-8bef-61657268e6c2/download2ce7009efbe827b214cf463394504cbaMD5620232-autorizaciontesis_alvarado.pdf.jpg20232-autorizaciontesis_alvarado.pdf.jpgGenerated Thumbnailimage/jpeg10969https://repositorio.uniandes.edu.co/bitstreams/2421b610-fcd5-4c90-a490-07fe8efd783a/download4571cd5deeb55cc388be6e85c84528b2MD581992/73180oai:repositorio.uniandes.edu.co:1992/731802023-12-15 03:02:02.535http://creativecommons.org/licenses/by-nc-nd/4.0/Attribution-NonCommercial-NoDerivatives 4.0 Internationalopen.accesshttps://repositorio.uniandes.edu.coRepositorio institucional Sénecaadminrepositorio@uniandes.edu.coPGgzPjxzdHJvbmc+RGVzY2FyZ28gZGUgUmVzcG9uc2FiaWxpZGFkIC0gTGljZW5jaWEgZGUgQXV0b3JpemFjacOzbjwvc3Ryb25nPjwvaDM+CjxwPjxzdHJvbmc+UG9yIGZhdm9yIGxlZXIgYXRlbnRhbWVudGUgZXN0ZSBkb2N1bWVudG8gcXVlIHBlcm1pdGUgYWwgUmVwb3NpdG9yaW8gSW5zdGl0dWNpb25hbCBTw6luZWNhIHJlcHJvZHVjaXIgeSBkaXN0cmlidWlyIGxvcyByZWN1cnNvcyBkZSBpbmZvcm1hY2nDs24gZGVwb3NpdGFkb3MgbWVkaWFudGUgbGEgYXV0b3JpemFjacOzbiBkZSBsb3Mgc2lndWllbnRlcyB0w6lybWlub3M6PC9zdHJvbmc+PC9wPgo8cD5Db25jZWRhIGxhIGxpY2VuY2lhIGRlIGRlcMOzc2l0byBlc3TDoW5kYXIgc2VsZWNjaW9uYW5kbyBsYSBvcGNpw7NuIDxzdHJvbmc+J0FjZXB0YXIgbG9zIHTDqXJtaW5vcyBhbnRlcmlvcm1lbnRlIGRlc2NyaXRvcyc8L3N0cm9uZz4geSBjb250aW51YXIgZWwgcHJvY2VzbyBkZSBlbnbDrW8gbWVkaWFudGUgZWwgYm90w7NuIDxzdHJvbmc+J1NpZ3VpZW50ZScuPC9zdHJvbmc+PC9wPgo8aHI+CjxwPllvLCBlbiBtaSBjYWxpZGFkIGRlIGF1dG9yIGRlbCB0cmFiYWpvIGRlIHRlc2lzLCBtb25vZ3JhZsOtYSBvIHRyYWJham8gZGUgZ3JhZG8sIGhhZ28gZW50cmVnYSBkZWwgZWplbXBsYXIgcmVzcGVjdGl2byB5IGRlIHN1cyBhbmV4b3MgZGUgc2VyIGVsIGNhc28sIGVuIGZvcm1hdG8gZGlnaXRhbCB5L28gZWxlY3Ryw7NuaWNvIHkgYXV0b3Jpem8gYSBsYSBVbml2ZXJzaWRhZCBkZSBsb3MgQW5kZXMgcGFyYSBxdWUgcmVhbGljZSBsYSBwdWJsaWNhY2nDs24gZW4gZWwgU2lzdGVtYSBkZSBCaWJsaW90ZWNhcyBvIGVuIGN1YWxxdWllciBvdHJvIHNpc3RlbWEgbyBiYXNlIGRlIGRhdG9zIHByb3BpbyBvIGFqZW5vIGEgbGEgVW5pdmVyc2lkYWQgeSBwYXJhIHF1ZSBlbiBsb3MgdMOpcm1pbm9zIGVzdGFibGVjaWRvcyBlbiBsYSBMZXkgMjMgZGUgMTk4MiwgTGV5IDQ0IGRlIDE5OTMsIERlY2lzacOzbiBBbmRpbmEgMzUxIGRlIDE5OTMsIERlY3JldG8gNDYwIGRlIDE5OTUgeSBkZW3DoXMgbm9ybWFzIGdlbmVyYWxlcyBzb2JyZSBsYSBtYXRlcmlhLCB1dGlsaWNlIGVuIHRvZGFzIHN1cyBmb3JtYXMsIGxvcyBkZXJlY2hvcyBwYXRyaW1vbmlhbGVzIGRlIHJlcHJvZHVjY2nDs24sIGNvbXVuaWNhY2nDs24gcMO6YmxpY2EsIHRyYW5zZm9ybWFjacOzbiB5IGRpc3RyaWJ1Y2nDs24gKGFscXVpbGVyLCBwcsOpc3RhbW8gcMO6YmxpY28gZSBpbXBvcnRhY2nDs24pIHF1ZSBtZSBjb3JyZXNwb25kZW4gY29tbyBjcmVhZG9yIGRlIGxhIG9icmEgb2JqZXRvIGRlbCBwcmVzZW50ZSBkb2N1bWVudG8uPC9wPgo8cD5MYSBwcmVzZW50ZSBhdXRvcml6YWNpw7NuIHNlIGVtaXRlIGVuIGNhbGlkYWQgZGUgYXV0b3IgZGUgbGEgb2JyYSBvYmpldG8gZGVsIHByZXNlbnRlIGRvY3VtZW50byB5IG5vIGNvcnJlc3BvbmRlIGEgY2VzacOzbiBkZSBkZXJlY2hvcywgc2lubyBhIGxhIGF1dG9yaXphY2nDs24gZGUgdXNvIGFjYWTDqW1pY28gZGUgY29uZm9ybWlkYWQgY29uIGxvIGFudGVyaW9ybWVudGUgc2XDsWFsYWRvLiBMYSBwcmVzZW50ZSBhdXRvcml6YWNpw7NuIHNlIGhhY2UgZXh0ZW5zaXZhIG5vIHNvbG8gYSBsYXMgZmFjdWx0YWRlcyB5IGRlcmVjaG9zIGRlIHVzbyBzb2JyZSBsYSBvYnJhIGVuIGZvcm1hdG8gbyBzb3BvcnRlIG1hdGVyaWFsLCBzaW5vIHRhbWJpw6luIHBhcmEgZm9ybWF0byBlbGVjdHLDs25pY28sIHkgZW4gZ2VuZXJhbCBwYXJhIGN1YWxxdWllciBmb3JtYXRvIGNvbm9jaWRvIG8gcG9yIGNvbm9jZXIuPC9wPgo8cD5FbCBhdXRvciwgbWFuaWZpZXN0YSBxdWUgbGEgb2JyYSBvYmpldG8gZGUgbGEgcHJlc2VudGUgYXV0b3JpemFjacOzbiBlcyBvcmlnaW5hbCB5IGxhIHJlYWxpesOzIHNpbiB2aW9sYXIgbyB1c3VycGFyIGRlcmVjaG9zIGRlIGF1dG9yIGRlIHRlcmNlcm9zLCBwb3IgbG8gdGFudG8sIGxhIG9icmEgZXMgZGUgc3UgZXhjbHVzaXZhIGF1dG9yw61hIHkgdGllbmUgbGEgdGl0dWxhcmlkYWQgc29icmUgbGEgbWlzbWEuPC9wPgo8cD5FbiBjYXNvIGRlIHByZXNlbnRhcnNlIGN1YWxxdWllciByZWNsYW1hY2nDs24gbyBhY2Npw7NuIHBvciBwYXJ0ZSBkZSB1biB0ZXJjZXJvIGVuIGN1YW50byBhIGxvcyBkZXJlY2hvcyBkZSBhdXRvciBzb2JyZSBsYSBvYnJhIGVuIGN1ZXN0acOzbiwgZWwgYXV0b3IgYXN1bWlyw6EgdG9kYSBsYSByZXNwb25zYWJpbGlkYWQsIHkgc2FsZHLDoSBkZSBkZWZlbnNhIGRlIGxvcyBkZXJlY2hvcyBhcXXDrSBhdXRvcml6YWRvcywgcGFyYSB0b2RvcyBsb3MgZWZlY3RvcyBsYSBVbml2ZXJzaWRhZCBhY3TDumEgY29tbyB1biB0ZXJjZXJvIGRlIGJ1ZW5hIGZlLjwvcD4KPHA+U2kgdGllbmUgYWxndW5hIGR1ZGEgc29icmUgbGEgbGljZW5jaWEsIHBvciBmYXZvciwgY29udGFjdGUgY29uIGVsIDxhIGhyZWY9Im1haWx0bzpiaWJsaW90ZWNhQHVuaWFuZGVzLmVkdS5jbyIgdGFyZ2V0PSJfYmxhbmsiPkFkbWluaXN0cmFkb3IgZGVsIFNpc3RlbWEuPC9hPjwvcD4K |