Análisis de seguridad de las extensiones para navegadores Web

Actualmente, se usan mucho los navegadores en la vida diaria; para acceso a diferentes aplicaciones en línea como bancos, redes sociales, sitios de compra y venta, etc. Diferentes datos de un usuario, no solo login y contraseña, además edad, preferencias en compras, sitios preferidos de navegación,...

Full description

Autores:
Alvarado Vargas, Nicolás Arturo
Tipo de recurso:
Trabajo de grado de pregrado
Fecha de publicación:
2023
Institución:
Universidad de los Andes
Repositorio:
Séneca: repositorio Uniandes
Idioma:
spa
OAI Identifier:
oai:repositorio.uniandes.edu.co:1992/73180
Acceso en línea:
https://hdl.handle.net/1992/73180
Palabra clave:
Seguridad
Navegadores Web
Extensiones Web
Ingeniería
Rights
openAccess
License
Attribution-NonCommercial-NoDerivatives 4.0 International
id UNIANDES2_669a685a37d174f8c0cb96b84124945b
oai_identifier_str oai:repositorio.uniandes.edu.co:1992/73180
network_acronym_str UNIANDES2
network_name_str Séneca: repositorio Uniandes
repository_id_str
dc.title.spa.fl_str_mv Análisis de seguridad de las extensiones para navegadores Web
title Análisis de seguridad de las extensiones para navegadores Web
spellingShingle Análisis de seguridad de las extensiones para navegadores Web
Seguridad
Navegadores Web
Extensiones Web
Ingeniería
title_short Análisis de seguridad de las extensiones para navegadores Web
title_full Análisis de seguridad de las extensiones para navegadores Web
title_fullStr Análisis de seguridad de las extensiones para navegadores Web
title_full_unstemmed Análisis de seguridad de las extensiones para navegadores Web
title_sort Análisis de seguridad de las extensiones para navegadores Web
dc.creator.fl_str_mv Alvarado Vargas, Nicolás Arturo
dc.contributor.advisor.none.fl_str_mv Rueda Rodríguez, Sandra Julieta
dc.contributor.author.none.fl_str_mv Alvarado Vargas, Nicolás Arturo
dc.subject.keyword.spa.fl_str_mv Seguridad
Navegadores Web
Extensiones Web
topic Seguridad
Navegadores Web
Extensiones Web
Ingeniería
dc.subject.themes.none.fl_str_mv Ingeniería
description Actualmente, se usan mucho los navegadores en la vida diaria; para acceso a diferentes aplicaciones en línea como bancos, redes sociales, sitios de compra y venta, etc. Diferentes datos de un usuario, no solo login y contraseña, además edad, preferencias en compras, sitios preferidos de navegación, etc. son manejados en algún momento por un navegador web. También se usan mucho las extensiones web, las cuales pueden tener acceso a todas las páginas que el usuario navega. Este comportamiento plantea retos para ofrecer garantías de seguridad para la información del usuario y puede crear un problema para su seguridad ya que las páginas web pueden tener vulnerabilidades que un atacante puede explotar. Adicionalmente, las extensiones web pueden hacer mal uso de los permisos y accesos que tienen. Este trabajo estudia las características generales de los mecanismos de control de acceso de las páginas web, dos vulnerabilidades que ocurren frecuentemente y las formas de mitigar estas vulnerabilidades. Además, también se estudia el comportamiento de las extensiones web y qué implicaciones pueden tener estas para la seguridad de los datos de los usuarios. Finalmente, creamos una extensión web para ayudar a los usuarios a entender qué accesos tienen las extensiones que el usuario tiene instaladas en el navegador y qué implicaciones tienen estos accesos. Esto lo hacemos mostrando los permisos que usa cada extensión y clasificando la extensión según sus permisos. Encontramos que muchos frameworks, tanto de back-end como de front-end, implementan medidas contra las vulnerabilidades estudiadas, pero los desarrolladores no siempre tienen claro que deben usar estas medidas y cómo usarlas. También encontramos que las extensiones web pueden tener total acceso sobre las páginas en las que navegan los usuarios; generalmente, un acceso mayor al esperado. Finalmente, evaluamos las extensiones populares en la tienda que Google Chrome y encontramos que muchas de estas extensiones tienen acceso excesivo sobre la información de los usuarios. La seguridad web es de gran importancia por su alcance (involucra millones de usuarios), sin embargo, tanto los desarrolladores como los usuarios deben ser concientizados de los riesgos latentes. Esta concientización es especialmente importante en el caso de las extensiones web donde continúa existiendo una gran problemática por el amplio acceso que tienen las extensiones sobre los datos del usuario y en el momento no existe forma de mitigar esto de forma sencilla. Para limitar este acceso, sería necesario implementar una funcionalidad adicional en los navegadores web. Una solución, que este trabajo propone, es ofrecer una herramienta que permita a los usuarios consultar el acceso de las extensiones instaladas. Aunque el alcance de la herramienta es limitado porque depende de la intervención del usuario, es un primer paso en el plan de concientización.
publishDate 2023
dc.date.accessioned.none.fl_str_mv 2023-12-14T19:17:30Z
dc.date.available.none.fl_str_mv 2023-12-14T19:17:30Z
dc.date.issued.none.fl_str_mv 2023-12-14
dc.type.none.fl_str_mv Trabajo de grado - Pregrado
dc.type.driver.none.fl_str_mv info:eu-repo/semantics/bachelorThesis
dc.type.version.none.fl_str_mv info:eu-repo/semantics/acceptedVersion
dc.type.coar.none.fl_str_mv http://purl.org/coar/resource_type/c_7a1f
dc.type.content.none.fl_str_mv Text
dc.type.redcol.none.fl_str_mv http://purl.org/redcol/resource_type/TP
format http://purl.org/coar/resource_type/c_7a1f
status_str acceptedVersion
dc.identifier.uri.none.fl_str_mv https://hdl.handle.net/1992/73180
dc.identifier.instname.none.fl_str_mv instname:Universidad de los Andes
dc.identifier.reponame.none.fl_str_mv reponame:Repositorio Institucional Séneca
dc.identifier.repourl.none.fl_str_mv repourl:https://repositorio.uniandes.edu.co/
url https://hdl.handle.net/1992/73180
identifier_str_mv instname:Universidad de los Andes
reponame:Repositorio Institucional Séneca
repourl:https://repositorio.uniandes.edu.co/
dc.language.iso.none.fl_str_mv spa
language spa
dc.relation.references.none.fl_str_mv Acunetix. (s.f.-a). Cross-site Scripting (XSS). Descargado 2023-10-24, de https://www.acunetix.com/websitesecurity/cross-site-scripting/
Acunetix. (s.f.-b). CSRF Attacks: Anatomy, Prevention, and XSRF Tokens. Descargado 2023-10-24, de https://www.acunetix.com/websitesecurity/csrf-attacks/
Acunetix. (2021). The Invicti AppSec Indicator, Spring 2021 Edition: Acunetix Web Vulnerability Report. Descargado 2023-10-08, de https://www.acunetix.com/white-papers/acunetix-web-application-vulnerability-report-2021/
Athanasopoulos, E., Pappas, V., Krithinakis, A., Ligouras, S., Markatos, E. P., y Karagiannis, T. (2010, junio). xJS: Practical XSS prevention for web application development. En Usenix conference on web application development (webapps 10). USENIX Association. Descargado de https://www.usenix.org/conference/webapps-10/xjs-practical-xss-prevention-web-application-development
Barth, A., Jackson, C., Reis, C., y Team, G. C. (2008). The security architecture of the chromium browser. Stanford University. Descargado de https://seclab.stanford.edu/websec/chromium/chromium-security-architecture.pdf
Cassie Bottorff, K. H. (2023). Top website statistics for 2023. Descargado Accessed: 2023-10-30, de https://www.forbes.com/advisor/business/software/website-statistics/
Chinprutthiwong, P., Huang, J., y Gu, G. (2022, agosto). SWAPP: A new programmable playground for web application security. En 31st usenix security symposium (usenix security 22) (pp. 2029–2046). Boston, MA: USENIX Association. Descargado de https://www.usenix.org/conference/usenixsecurity22/presentation/chinprutthiwong
Common Weakness Enumeration. (2023a). CWE-352: Cross-Site Request Forgery (CSRF). Descargado 2023-10-05, de https://cwe.mitre.org/data/definitions/352.html
Common Weakness Enumeration. (2023b). CWE-79: Improper Neutralization of Input During Web Page Generation (’Cross-site Scripting’). Descargado 2023-10-05, de https://cwe.mitre.org/data/definitions/79.html
Dean, B. (2021). Google chrome statistics for 2023. Descargado Accessed: 2023-11-01, de https://backlinko.com/chrome-users
DebugBear. (2020). Counting chrome extensions – chrome web store statistics. Descargado Accessed: 2023-11-03, de https://www.debugbear.com/blog/counting-chrome-extensions
Eriksson, B., Picazo-Sanchez, P., y Sabelfeld, A. (2022). Hardening the security analysis of browser extensions. En Proceedings of the 37th acm/sigapp symposium on applied computing (p. 1694–1703). New York, NY, USA: Association for Computing Machinery. Descargado de https://doi.org/10.1145/3477314.3507098 doi: 10.1145/3477314.3507098
Framework, T. L. (2023). framework. Descargado Accessed: 2023-10-26, de https://github.com/laravel/framework
GitHub. (s.f.). No license. Descargado Accessed: 2023-11-25, de https://choosealicense.com/no-permission/
Heinrich, C. (2013). Comparison of 2003, 2004, 2007, 2010 and 2013 releases. Descargado Accessed: 2023-11-10, de https://github.com/cmlh/OWASP-Top-Ten-2013/blob/c949beb223b9a39d55002154ffcfcbdb2e5027e8/2013_Release-FINAL/OWASP_Top_Ten_-_Comparison_of_2003%2C_2004%2C_2007%2C_2010_and_2013_Releases-FINAL_Release.pdf
Khodayari, S., y Pellegrino, G. (2021, agosto). JAW: Studying clientside CSRF with hybrid property graphs and declarative traversals. En 30th usenix security symposium (usenix security 21) (pp. 2525–2542). USENIX Association. Descargado de https://www.usenix.org/conference/usenixsecurity21/presentation/khodayari
Kim, S., Kim, Y. M., Hur, J., Song, S., Lee, G., y Lee, B. (2022, agosto). FuzzOrigin: Detecting UXSS vulnerabilities in browsers through origin fuzzing. En 31st usenix security symposium (usenix security 22) (pp. 1008–1023). Boston, MA: USENIX Association. Descargado de https://www.usenix.org/conference/usenixsecurity22/presentation/kim
Kim, Y. M., y Lee, B. (2023, agosto). Extending a hand to attackers: Browser privilege escalation attacks via extensions. En 32nd usenix security symposium (usenix security 23) (pp. 7055–7071). Anaheim, CA: USENIX Association. Descargado de https://www.usenix.org/conference/usenixsecurity23/presentation/kim-young-min
Mozilla. (2023). Element: innerHTML property. Descargado 2023-10-08, de https://developer.mozilla.org/en-US/docs/Web/API/Element/innerHTML
OWASP. (2017). Owasp top 10 - 2017. Descargado Accessed: 2023-11-10, de https://owasp.org/www-pdf-archive/OWASP_Top_10-2017_(en).pdf.pdf
OWASP. (2021). Owasp top 10 - 2021. Descargado Accessed: 2023-11-10, de https://owasp.org/Top10/
OWASP. (2023a). Cross-Site Request Forgery Prevention Cheat Sheet. Descargado 2023-10-17, de https://cheatsheetseries.owasp.org/cheatsheets/Cross-Site_Request_Forgery_Prevention_Cheat_Sheet.html
OWASP. (2023b). Cross Site Scripting Prevention Cheat Sheet. Descargado 2023-10-17, de https://cheatsheetseries.owasp.org/cheatsheets/Cross_Site_Scripting_Prevention_Cheat_Sheet.html
Palmer, C. (2021, febrero). The limits of sandboxing and next steps. USENIX Association.
Peguero, K., y Cheng, X. (2021). Csrf protection in javascript frameworks and the security of javascript applications. High-Confidence Computing, 1 (2), 100035. Descargado de https://www.sciencedirect.com/science/article/pii/S2667295221000258 doi: https://doi.org/10.1016/j.hcc.2021.100035
Peguero, K., Zhang, N., y Cheng, X. (2018). An empirical study of the framework impact on the security of javascript web applications. En Companion proceedings of the the web conference 2018 (p. 753–758). Republic and Canton of Geneva, CHE: International World Wide Web Conferences Steering Committee. Descargado de https://doi.org/10.1145/3184558.3188736 doi: 10.1145/3184558.3188736
SimilarWeb. (2023). Top Desktop Browsers Market Share. Descargado 2023-10-08, de https://www.similarweb.com/browsers/worldwide/desktop/
The Chromium Project. (s.f.). Multi-process Architecture. Descargado 2023-10-17, de https://www.chromium.org/developers/design-documents/multi-process-architecture/
dc.rights.en.fl_str_mv Attribution-NonCommercial-NoDerivatives 4.0 International
dc.rights.uri.none.fl_str_mv http://creativecommons.org/licenses/by-nc-nd/4.0/
dc.rights.accessrights.none.fl_str_mv info:eu-repo/semantics/openAccess
dc.rights.coar.none.fl_str_mv http://purl.org/coar/access_right/c_abf2
rights_invalid_str_mv Attribution-NonCommercial-NoDerivatives 4.0 International
http://creativecommons.org/licenses/by-nc-nd/4.0/
http://purl.org/coar/access_right/c_abf2
eu_rights_str_mv openAccess
dc.format.extent.none.fl_str_mv 65 páginas
dc.format.mimetype.none.fl_str_mv application/pdf
dc.publisher.none.fl_str_mv Universidad de los Andes
dc.publisher.program.none.fl_str_mv Ingeniería de Sistemas y Computación
dc.publisher.faculty.none.fl_str_mv Facultad de Ingeniería
dc.publisher.department.none.fl_str_mv Departamento de Ingeniería Sistemas y Computación
publisher.none.fl_str_mv Universidad de los Andes
institution Universidad de los Andes
bitstream.url.fl_str_mv https://repositorio.uniandes.edu.co/bitstreams/acb06d23-74d2-4cb4-b042-9b364acf8c1d/download
https://repositorio.uniandes.edu.co/bitstreams/51fd89a7-152c-477e-8af3-d9517467fa22/download
https://repositorio.uniandes.edu.co/bitstreams/077577fd-8c00-4f8a-a617-e5ee998b08ce/download
https://repositorio.uniandes.edu.co/bitstreams/35ef0122-4157-4c4e-8ee5-58f1da5e9a4c/download
https://repositorio.uniandes.edu.co/bitstreams/39e4188f-b7f0-463f-b3da-0dd097c215ac/download
https://repositorio.uniandes.edu.co/bitstreams/ae3bb615-1db2-49c0-b6a7-44cdb82c092a/download
https://repositorio.uniandes.edu.co/bitstreams/48bd5f5a-4ea6-439d-8bef-61657268e6c2/download
https://repositorio.uniandes.edu.co/bitstreams/2421b610-fcd5-4c90-a490-07fe8efd783a/download
bitstream.checksum.fl_str_mv cf6a556580d4f8194790080e95008c94
10b3312afac8496d1d3db7dc1e55f3a0
4460e5956bc1d1639be9ae6146a50347
ae9e573a68e7f92501b6913cc846c39f
bb84077b2d639a16308c3bc2143dd4eb
11287769a69f43c8da485077218c4ae8
2ce7009efbe827b214cf463394504cba
4571cd5deeb55cc388be6e85c84528b2
bitstream.checksumAlgorithm.fl_str_mv MD5
MD5
MD5
MD5
MD5
MD5
MD5
MD5
repository.name.fl_str_mv Repositorio institucional Séneca
repository.mail.fl_str_mv adminrepositorio@uniandes.edu.co
_version_ 1812133860580786176
spelling Rueda Rodríguez, Sandra JulietaAlvarado Vargas, Nicolás Arturo2023-12-14T19:17:30Z2023-12-14T19:17:30Z2023-12-14https://hdl.handle.net/1992/73180instname:Universidad de los Andesreponame:Repositorio Institucional Sénecarepourl:https://repositorio.uniandes.edu.co/Actualmente, se usan mucho los navegadores en la vida diaria; para acceso a diferentes aplicaciones en línea como bancos, redes sociales, sitios de compra y venta, etc. Diferentes datos de un usuario, no solo login y contraseña, además edad, preferencias en compras, sitios preferidos de navegación, etc. son manejados en algún momento por un navegador web. También se usan mucho las extensiones web, las cuales pueden tener acceso a todas las páginas que el usuario navega. Este comportamiento plantea retos para ofrecer garantías de seguridad para la información del usuario y puede crear un problema para su seguridad ya que las páginas web pueden tener vulnerabilidades que un atacante puede explotar. Adicionalmente, las extensiones web pueden hacer mal uso de los permisos y accesos que tienen. Este trabajo estudia las características generales de los mecanismos de control de acceso de las páginas web, dos vulnerabilidades que ocurren frecuentemente y las formas de mitigar estas vulnerabilidades. Además, también se estudia el comportamiento de las extensiones web y qué implicaciones pueden tener estas para la seguridad de los datos de los usuarios. Finalmente, creamos una extensión web para ayudar a los usuarios a entender qué accesos tienen las extensiones que el usuario tiene instaladas en el navegador y qué implicaciones tienen estos accesos. Esto lo hacemos mostrando los permisos que usa cada extensión y clasificando la extensión según sus permisos. Encontramos que muchos frameworks, tanto de back-end como de front-end, implementan medidas contra las vulnerabilidades estudiadas, pero los desarrolladores no siempre tienen claro que deben usar estas medidas y cómo usarlas. También encontramos que las extensiones web pueden tener total acceso sobre las páginas en las que navegan los usuarios; generalmente, un acceso mayor al esperado. Finalmente, evaluamos las extensiones populares en la tienda que Google Chrome y encontramos que muchas de estas extensiones tienen acceso excesivo sobre la información de los usuarios. La seguridad web es de gran importancia por su alcance (involucra millones de usuarios), sin embargo, tanto los desarrolladores como los usuarios deben ser concientizados de los riesgos latentes. Esta concientización es especialmente importante en el caso de las extensiones web donde continúa existiendo una gran problemática por el amplio acceso que tienen las extensiones sobre los datos del usuario y en el momento no existe forma de mitigar esto de forma sencilla. Para limitar este acceso, sería necesario implementar una funcionalidad adicional en los navegadores web. Una solución, que este trabajo propone, es ofrecer una herramienta que permita a los usuarios consultar el acceso de las extensiones instaladas. Aunque el alcance de la herramienta es limitado porque depende de la intervención del usuario, es un primer paso en el plan de concientización.Ingeniero de Sistemas y ComputaciónPregrado65 páginasapplication/pdfspaUniversidad de los AndesIngeniería de Sistemas y ComputaciónFacultad de IngenieríaDepartamento de Ingeniería Sistemas y ComputaciónAttribution-NonCommercial-NoDerivatives 4.0 Internationalhttp://creativecommons.org/licenses/by-nc-nd/4.0/info:eu-repo/semantics/openAccesshttp://purl.org/coar/access_right/c_abf2Análisis de seguridad de las extensiones para navegadores WebTrabajo de grado - Pregradoinfo:eu-repo/semantics/bachelorThesisinfo:eu-repo/semantics/acceptedVersionhttp://purl.org/coar/resource_type/c_7a1fTexthttp://purl.org/redcol/resource_type/TPSeguridadNavegadores WebExtensiones WebIngenieríaAcunetix. (s.f.-a). Cross-site Scripting (XSS). Descargado 2023-10-24, de https://www.acunetix.com/websitesecurity/cross-site-scripting/Acunetix. (s.f.-b). CSRF Attacks: Anatomy, Prevention, and XSRF Tokens. Descargado 2023-10-24, de https://www.acunetix.com/websitesecurity/csrf-attacks/Acunetix. (2021). The Invicti AppSec Indicator, Spring 2021 Edition: Acunetix Web Vulnerability Report. Descargado 2023-10-08, de https://www.acunetix.com/white-papers/acunetix-web-application-vulnerability-report-2021/Athanasopoulos, E., Pappas, V., Krithinakis, A., Ligouras, S., Markatos, E. P., y Karagiannis, T. (2010, junio). xJS: Practical XSS prevention for web application development. En Usenix conference on web application development (webapps 10). USENIX Association. Descargado de https://www.usenix.org/conference/webapps-10/xjs-practical-xss-prevention-web-application-developmentBarth, A., Jackson, C., Reis, C., y Team, G. C. (2008). The security architecture of the chromium browser. Stanford University. Descargado de https://seclab.stanford.edu/websec/chromium/chromium-security-architecture.pdfCassie Bottorff, K. H. (2023). Top website statistics for 2023. Descargado Accessed: 2023-10-30, de https://www.forbes.com/advisor/business/software/website-statistics/Chinprutthiwong, P., Huang, J., y Gu, G. (2022, agosto). SWAPP: A new programmable playground for web application security. En 31st usenix security symposium (usenix security 22) (pp. 2029–2046). Boston, MA: USENIX Association. Descargado de https://www.usenix.org/conference/usenixsecurity22/presentation/chinprutthiwongCommon Weakness Enumeration. (2023a). CWE-352: Cross-Site Request Forgery (CSRF). Descargado 2023-10-05, de https://cwe.mitre.org/data/definitions/352.htmlCommon Weakness Enumeration. (2023b). CWE-79: Improper Neutralization of Input During Web Page Generation (’Cross-site Scripting’). Descargado 2023-10-05, de https://cwe.mitre.org/data/definitions/79.htmlDean, B. (2021). Google chrome statistics for 2023. Descargado Accessed: 2023-11-01, de https://backlinko.com/chrome-usersDebugBear. (2020). Counting chrome extensions – chrome web store statistics. Descargado Accessed: 2023-11-03, de https://www.debugbear.com/blog/counting-chrome-extensionsEriksson, B., Picazo-Sanchez, P., y Sabelfeld, A. (2022). Hardening the security analysis of browser extensions. En Proceedings of the 37th acm/sigapp symposium on applied computing (p. 1694–1703). New York, NY, USA: Association for Computing Machinery. Descargado de https://doi.org/10.1145/3477314.3507098 doi: 10.1145/3477314.3507098Framework, T. L. (2023). framework. Descargado Accessed: 2023-10-26, de https://github.com/laravel/frameworkGitHub. (s.f.). No license. Descargado Accessed: 2023-11-25, de https://choosealicense.com/no-permission/Heinrich, C. (2013). Comparison of 2003, 2004, 2007, 2010 and 2013 releases. Descargado Accessed: 2023-11-10, de https://github.com/cmlh/OWASP-Top-Ten-2013/blob/c949beb223b9a39d55002154ffcfcbdb2e5027e8/2013_Release-FINAL/OWASP_Top_Ten_-_Comparison_of_2003%2C_2004%2C_2007%2C_2010_and_2013_Releases-FINAL_Release.pdfKhodayari, S., y Pellegrino, G. (2021, agosto). JAW: Studying clientside CSRF with hybrid property graphs and declarative traversals. En 30th usenix security symposium (usenix security 21) (pp. 2525–2542). USENIX Association. Descargado de https://www.usenix.org/conference/usenixsecurity21/presentation/khodayariKim, S., Kim, Y. M., Hur, J., Song, S., Lee, G., y Lee, B. (2022, agosto). FuzzOrigin: Detecting UXSS vulnerabilities in browsers through origin fuzzing. En 31st usenix security symposium (usenix security 22) (pp. 1008–1023). Boston, MA: USENIX Association. Descargado de https://www.usenix.org/conference/usenixsecurity22/presentation/kimKim, Y. M., y Lee, B. (2023, agosto). Extending a hand to attackers: Browser privilege escalation attacks via extensions. En 32nd usenix security symposium (usenix security 23) (pp. 7055–7071). Anaheim, CA: USENIX Association. Descargado de https://www.usenix.org/conference/usenixsecurity23/presentation/kim-young-minMozilla. (2023). Element: innerHTML property. Descargado 2023-10-08, de https://developer.mozilla.org/en-US/docs/Web/API/Element/innerHTMLOWASP. (2017). Owasp top 10 - 2017. Descargado Accessed: 2023-11-10, de https://owasp.org/www-pdf-archive/OWASP_Top_10-2017_(en).pdf.pdfOWASP. (2021). Owasp top 10 - 2021. Descargado Accessed: 2023-11-10, de https://owasp.org/Top10/OWASP. (2023a). Cross-Site Request Forgery Prevention Cheat Sheet. Descargado 2023-10-17, de https://cheatsheetseries.owasp.org/cheatsheets/Cross-Site_Request_Forgery_Prevention_Cheat_Sheet.htmlOWASP. (2023b). Cross Site Scripting Prevention Cheat Sheet. Descargado 2023-10-17, de https://cheatsheetseries.owasp.org/cheatsheets/Cross_Site_Scripting_Prevention_Cheat_Sheet.htmlPalmer, C. (2021, febrero). The limits of sandboxing and next steps. USENIX Association.Peguero, K., y Cheng, X. (2021). Csrf protection in javascript frameworks and the security of javascript applications. High-Confidence Computing, 1 (2), 100035. Descargado de https://www.sciencedirect.com/science/article/pii/S2667295221000258 doi: https://doi.org/10.1016/j.hcc.2021.100035Peguero, K., Zhang, N., y Cheng, X. (2018). An empirical study of the framework impact on the security of javascript web applications. En Companion proceedings of the the web conference 2018 (p. 753–758). Republic and Canton of Geneva, CHE: International World Wide Web Conferences Steering Committee. Descargado de https://doi.org/10.1145/3184558.3188736 doi: 10.1145/3184558.3188736SimilarWeb. (2023). Top Desktop Browsers Market Share. Descargado 2023-10-08, de https://www.similarweb.com/browsers/worldwide/desktop/The Chromium Project. (s.f.). Multi-process Architecture. Descargado 2023-10-17, de https://www.chromium.org/developers/design-documents/multi-process-architecture/201630444PublicationORIGINALAnálisis de Seguridad de las Extensiones para Navegadores Web.pdfAnálisis de Seguridad de las Extensiones para Navegadores Web.pdfapplication/pdf965893https://repositorio.uniandes.edu.co/bitstreams/acb06d23-74d2-4cb4-b042-9b364acf8c1d/downloadcf6a556580d4f8194790080e95008c94MD5120232-autorizaciontesis_alvarado.pdf20232-autorizaciontesis_alvarado.pdfHIDEapplication/pdf236213https://repositorio.uniandes.edu.co/bitstreams/51fd89a7-152c-477e-8af3-d9517467fa22/download10b3312afac8496d1d3db7dc1e55f3a0MD52CC-LICENSElicense_rdflicense_rdfapplication/rdf+xml; charset=utf-8805https://repositorio.uniandes.edu.co/bitstreams/077577fd-8c00-4f8a-a617-e5ee998b08ce/download4460e5956bc1d1639be9ae6146a50347MD53LICENSElicense.txtlicense.txttext/plain; charset=utf-82535https://repositorio.uniandes.edu.co/bitstreams/35ef0122-4157-4c4e-8ee5-58f1da5e9a4c/downloadae9e573a68e7f92501b6913cc846c39fMD54TEXTAnálisis de Seguridad de las Extensiones para Navegadores Web.pdf.txtAnálisis de Seguridad de las Extensiones para Navegadores Web.pdf.txtExtracted texttext/plain101616https://repositorio.uniandes.edu.co/bitstreams/39e4188f-b7f0-463f-b3da-0dd097c215ac/downloadbb84077b2d639a16308c3bc2143dd4ebMD5520232-autorizaciontesis_alvarado.pdf.txt20232-autorizaciontesis_alvarado.pdf.txtExtracted texttext/plain1969https://repositorio.uniandes.edu.co/bitstreams/ae3bb615-1db2-49c0-b6a7-44cdb82c092a/download11287769a69f43c8da485077218c4ae8MD57THUMBNAILAnálisis de Seguridad de las Extensiones para Navegadores Web.pdf.jpgAnálisis de Seguridad de las Extensiones para Navegadores Web.pdf.jpgGenerated Thumbnailimage/jpeg5784https://repositorio.uniandes.edu.co/bitstreams/48bd5f5a-4ea6-439d-8bef-61657268e6c2/download2ce7009efbe827b214cf463394504cbaMD5620232-autorizaciontesis_alvarado.pdf.jpg20232-autorizaciontesis_alvarado.pdf.jpgGenerated Thumbnailimage/jpeg10969https://repositorio.uniandes.edu.co/bitstreams/2421b610-fcd5-4c90-a490-07fe8efd783a/download4571cd5deeb55cc388be6e85c84528b2MD581992/73180oai:repositorio.uniandes.edu.co:1992/731802023-12-15 03:02:02.535http://creativecommons.org/licenses/by-nc-nd/4.0/Attribution-NonCommercial-NoDerivatives 4.0 Internationalopen.accesshttps://repositorio.uniandes.edu.coRepositorio institucional Sénecaadminrepositorio@uniandes.edu.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