本文關(guān)鍵詞：一種跨站腳本的檢測方法

  更多相關(guān)文章： 萬維網(wǎng) 跨站腳本 污點分析 信息流 滲透測試 軟件測試

【摘要】：跨站腳本是Web漏洞中一種非常常見并且影響比較廣泛的漏洞,它通過瀏覽器端執(zhí)行第三方的惡意腳本來實現(xiàn)攻擊.針對跨站腳本的測試,提出一種新型的測試方法.與以往研究只針對對于單個服務(wù)頁面不同的是,文中所提出的方法是從Web系統(tǒng)的整體出發(fā)并從用戶變量的角度來對跨站腳本進行檢測,整個方法包括客戶端測試和服務(wù)端測試兩個部分.針對客戶端的數(shù)據(jù)驗證機制的檢測,采用了一種靜態(tài)分析和滲透測試相結(jié)合的方法.而針對服務(wù)端的跨站腳本檢測,通過構(gòu)造代碼的信息流并在信息流的基礎(chǔ)上進行污點分析來確定系統(tǒng)中和漏洞相關(guān)的用戶輸入,并且確定與此類輸入相關(guān)的驗證機制是否存在缺陷.依據(jù)文中的測試方法實現(xiàn)了跨站腳本漏洞檢測原型工具Web Tester,使用Web Tester進行實驗的數(shù)據(jù)表明文中所提出的方法可以比較有效地檢測出Web系統(tǒng)中的跨站腳本漏洞.
【作者單位】： 南京航空航天大學計算機科學與技術(shù)學院;
【關(guān)鍵詞】： 萬維網(wǎng) 跨站腳本 污點分析 信息流 滲透測試 軟件測試
【分類號】：TP311.53;TP393.09
【正文快照】： 1引言隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展,Web軟件的使用已經(jīng)非常廣泛,越來越多的應(yīng)用采用了B/S方式進行開發(fā).與傳統(tǒng)C/S體系結(jié)構(gòu)的軟件不同的是B/S結(jié)構(gòu)軟件不用為用戶專門定制客戶端應(yīng)用程序,用戶只需要通過瀏覽器進行加載就可以使用所有的應(yīng)用.因此Web應(yīng)用軟件的優(yōu)勢非常明顯,客戶端程序僅

【參考文獻】

中國期刊全文數(shù)據(jù)庫 前1條

1 黃強;曾慶凱;;基于信息流策略的污點傳播分析及動態(tài)驗證[J];軟件學報;2011年09期

【共引文獻】

中國期刊全文數(shù)據(jù)庫 前8條

1 秦中元;徐毓青;梁彪;張群芳;黃杰;;一種Android平臺惡意軟件靜態(tài)檢測方法[J];東南大學學報(自然科學版);2013年06期

2 葉永宏;武東英;陳揚;;一種基于細粒度污點分析的逆向平臺[J];計算機工程與應(yīng)用;2012年28期

3 史大偉;袁天偉;;一種粗細粒度結(jié)合的動態(tài)污點分析方法[J];計算機工程;2014年03期

4 劉奇旭;溫濤;聞觀行;;Flash跨站腳本漏洞挖掘技術(shù)研究[J];計算機研究與發(fā)展;2014年07期

5 孫浩;李會朋;曾慶凱;;基于信息流的整數(shù)漏洞插裝和驗證[J];軟件學報;2013年12期

6 蔣華;徐中原;王鑫;;基于行為的XSS攻擊防范方法[J];計算機工程與設(shè)計;2014年06期

7 徐中原;蔣華;王鑫;;基于行為的Web郵箱系統(tǒng)XSS防范[J];計算機工程與設(shè)計;2014年12期

8 舒輝;李政廉;康緋;張媛媛;;基于環(huán)境智能匹配的惡意代碼完整性分析方法[J];計算機工程與設(shè)計;2015年02期

中國博士學位論文全文數(shù)據(jù)庫 前1條

1 孔德光;結(jié)合語義的統(tǒng)計機器學習方法在代碼安全中應(yīng)用研究[D];中國科學技術(shù)大學;2010年

中國碩士學位論文全文數(shù)據(jù)庫 前10條

1 彭青白;緩沖區(qū)溢出漏洞的挖掘與利用方法研究[D];華中科技大學;2009年

2 楊嘉;基于信息流的SELinux策略分析與調(diào)整技術(shù)研究[D];南京大學;2012年

3 喬航;無線智能移動終端的軟件漏洞分析及發(fā)現(xiàn)技術(shù)研究[D];電子科技大學;2012年

4 姜曙光;基于符號執(zhí)行的Web安全檢測系統(tǒng)的研究與實現(xiàn)[D];湖南大學;2012年

5 文碧望;基于多層序列的攻擊特征自動提取方法研究[D];中南大學;2013年

6 尤作賽;基于動態(tài)污點分析的惡意代碼行為依賴圖挖掘技術(shù)的研究與實現(xiàn)[D];國防科學技術(shù)大學;2012年

7 林龍成;PHP Web應(yīng)用程序開發(fā)中漏洞消減技術(shù)研究[D];南京師范大學;2014年

8 劉蘇洲;基于Muscle的攻擊特征自動提取方法研究[D];中南大學;2014年

9 王小娟;信息流分析法在集成電路設(shè)計中的應(yīng)用研究[D];大連理工大學;2014年

10 牛皓;基于網(wǎng)絡(luò)爬蟲的XSS漏洞檢測系統(tǒng)的研究與設(shè)計[D];北京郵電大學;2015年

【二級參考文獻】

中國期刊全文數(shù)據(jù)庫 前1條

1 陳建青;張玉清;;Web跨站腳本漏洞檢測工具的設(shè)計與實現(xiàn)[J];計算機工程;2010年06期

中國碩士學位論文全文數(shù)據(jù)庫 前1條

1 邱勇杰;跨站腳本攻擊與防御技術(shù)研究[D];北京交通大學;2010年

，

本文編號：1113445