Please use this identifier to cite or link to this item:
Authors: Hildebrand, Moritz
Title: XSS in issue tracking systems
Other Titles: XSS in Issue-Tracking-Systemen
Issue Date: 2021 Abschlussarbeit (Bachelor) 73
Abstract: Today, virtually every software project, especially in a collaborative and distributed setting, is managed through an issue tracking system (ITS). As developers rely heavily on ITSs, the risk of cyberattacks and their associated impact increases. An interesting particularity of ITSs is that, compared to conventional web applications, the attack surface is extended through additional input interfaces such as email or version control systems (VCSs).This bachelor thesis develops a methodology to test ITSs for Cross-site scripting (XSS) vulnerabilities via these ITS-specific input interfaces. Exemplarily, we implement the developed methodology for the input interfaces email and Git and test it on the three open-source ITSs Redmine, MantisBT, and Trac.
Issue-Tracking-Systeme helfen Softwareentwicklern Projekte zu organisieren und Fortschritte nachzuvollziehen. Vor allem im Rahmen dezentraler und kollaborativer Entwicklung sind Issue-Tracking-Systeme ein unverzichtbares Werkzeug. Entsprechend groß ist die Gefahr durch Cyberangriffe. Zusätzlich zur Weboberfläche, erlauben Issue-Tracking-Systeme Eingaben über, für Webapplikationen unübliche, Schnittstellen wie E-Mail oder Versionsverwaltungssysteme. In dieser Bachelorarbeit entwickeln wir eine Methodik, um Issue-Tracking-Systeme auf Cross-Site-Scripting (XSS)-Schwachstellen über diese Eingabeschnittstellen zu testen. Exemplarisch implementieren wir die entwickelte Methodik für die Eingabeschnittstellen E-Mail und Git und testen die drei Open Source Issue-Tracking-Systeme Redmine, MantisBT und Trac damit.
Appears in Collections:05 Fakultät Informatik, Elektrotechnik und Informationstechnik

Files in This Item:
File Description SizeFormat 
XSS_in_Issue_tracking_systems_sig.pdf776,72 kBAdobe PDFView/Open

Items in OPUS are protected by copyright, with all rights reserved, unless otherwise indicated.