本文關(guān)鍵詞： Web沙箱 JavaScript 數(shù)據(jù)泄漏 測試方法　出處：《計算機(jī)科學(xué)》2017年S2期 　論文類型：期刊論文

【摘要】：數(shù)據(jù)泄漏是導(dǎo)致Web沙箱逃逸的重要原因,即在未授權(quán)情況下,程序可以訪問系統(tǒng)的敏感數(shù)據(jù)。已有的Web應(yīng)用安全分析方法不完全適用于發(fā)現(xiàn)Web沙箱的數(shù)據(jù)泄漏。設(shè)計一種面向數(shù)據(jù)泄漏的Web沙箱測試方法,在JavaScript對象建模的基礎(chǔ)上,首先,采用深度優(yōu)先的策略遍歷瀏覽器的原生對象,獲取程序可直接訪問的對象集合;其次,設(shè)計敏感點(diǎn)導(dǎo)向的封裝對象測試算法,獲取程序間接訪問的對象集合;再次,設(shè)計了多程序數(shù)據(jù)泄漏的測試算法,獲取程序間可能的通信路徑;最后,對比測試結(jié)果和Web沙箱的規(guī)格,以識別Web沙箱的數(shù)據(jù)泄漏。設(shè)計并實(shí)現(xiàn)了Web沙箱測試系統(tǒng)(WSTS),同時測試了不同版本的ADsafe沙箱,實(shí)驗結(jié)果顯示,所提方法具有良好的數(shù)據(jù)泄漏發(fā)現(xiàn)能力。
[Abstract]:Data leaks are an important reason for the escape of the Web sandbox, that is, in the case of unauthorized, The program can access the sensitive data of the system. The existing Web application security analysis method is not completely suitable for detecting the data leakage of the Web sandbox. A Web sandbox testing method for data leak oriented is designed. Based on the JavaScript object modeling, firstly, Using the depth-first strategy to traverse the browser's native objects, obtain the object set that the program can directly access. Secondly, design the sensitive point-oriented encapsulation object testing algorithm to obtain the object set indirectly accessed by the program. This paper designs a test algorithm for data leakage of multiple programs to obtain the possible communication path between programs. Finally, the test results and the specifications of Web sandbox are compared. In order to identify the data leakage of Web sandbox, a Web sandbox testing system is designed and implemented. At the same time, different versions of ADsafe sandbox are tested. The experimental results show that the proposed method has good data leak detection capability.
【作者單位】： 中國人民解放軍信息工程大學(xué);
【分類號】：TP393.0

【相似文獻(xiàn)】

相關(guān)期刊論文 前10條

1 趙旭;陳丹敏;顏學(xué)雄;王清賢;;沙箱技術(shù)研究綜述[J];中原工學(xué)院學(xué)報;2014年04期

2 李時惠;;一種增強(qiáng)的基于威脅度的沙箱框架設(shè)計[J];計算技術(shù)與自動化;2006年03期

3 王航宇,盧發(fā)興;一種基于Web技術(shù)的交互式電子技術(shù)手冊[J];艦船電子工程;2002年02期

4 杜保華,劉彈,侯成剛,徐光華;XML WebService在基于Web遠(yuǎn)程分析工具集中的應(yīng)用[J];儀器儀表用戶;2004年02期

5 嚴(yán)毅,唐天兵,寧葵;Web服務(wù)實(shí)現(xiàn)開放式的企業(yè)應(yīng)用集成[J];廣西大學(xué)學(xué)報(自然科學(xué)版);2005年03期

6 邵文田;;去除使用Web服務(wù)尋找適當(dāng)?shù)某绦蝽椖縖J];電腦迷;2007年15期

7 宋平;;基于Web服務(wù)的企業(yè)應(yīng)用集成[J];福建電腦;2007年10期

8 陳波;師惠忠;;一種新型Web應(yīng)用安全漏洞統(tǒng)一描述語言[J];小型微型計算機(jī)系統(tǒng);2011年10期

9 ;Web的50個矛盾[J];每周電腦報;1997年48期

10 鐘曉班;Web工具的趨同[J];管理科學(xué)文摘;1999年06期

相關(guān)會議論文 前10條

1 劉正濤;毛宇光;應(yīng)毅;;基于Web服務(wù)的分布式Web應(yīng)用框架研究[A];第一屆全國Web信息系統(tǒng)及其應(yīng)用會議（WISA2004）論文集[C];2004年

2 戴琦;;Web上的數(shù)據(jù)挖掘[A];全國計算機(jī)網(wǎng)絡(luò)應(yīng)用年會論文集（2001）[C];2001年

3 李中華;;企業(yè)Web應(yīng)用安全威脅與防護(hù)[A];創(chuàng)新·融合·發(fā)展——創(chuàng)新型煤炭企業(yè)發(fā)展與信息化高峰論壇論文集[C];2010年

4 張玉艷;黃國棟;馮文堂;侯金奎;;一種模型驅(qū)動的WEB報表系統(tǒng)開發(fā)方法[A];第二十七屆中國控制會議論文集[C];2008年

5 李毅;顧健;顧鐵軍;;系統(tǒng)等級保護(hù)中的Web應(yīng)用安全評估[A];全國計算機(jī)安全學(xué)術(shù)交流會論文集（第二十四卷）[C];2009年

6 徐建新;錢建彬;;Web在線編輯在建設(shè)用地管理中的應(yīng)用[A];江蘇省測繪學(xué)會2007年學(xué)術(shù)年會論文集[C];2008年

7 唐權(quán);吳勤書;;基于web用戶基礎(chǔ)地理數(shù)據(jù)庫更新技術(shù)研究[A];江蘇省測繪學(xué)會2011年學(xué)術(shù)年會論文集[C];2011年

8 曹建平;曾柯;王暉;程佳軍;喬鳳才;;基于Web的交通情感分析方法和應(yīng)用[A];2013第一屆中國指揮控制大會論文集[C];2013年

9 鄧世偉;;Web應(yīng)用負(fù)載測試的生命周期方法[A];第一屆全國Web信息系統(tǒng)及其應(yīng)用會議（WISA2004）論文集[C];2004年

10 徐云風(fēng);蔣文蓉;;Web頁面信息抽取的分析與研究[A];IT服務(wù)促進(jìn)企業(yè)信息化——第十一屆中國Java技術(shù)及應(yīng)用交流大會文集[C];2008年

相關(guān)重要報紙文章 前10條

1 本報記者 趙曉濤;四問“Web防御與云安全”[N];網(wǎng)絡(luò)世界;2008年

2 李晨;Web應(yīng)用安全應(yīng)貫穿生命周期[N];人民郵電;2009年

3 朱新亞;Web會議出標(biāo)準(zhǔn)[N];中國計算機(jī)報;2004年

4 朱敏;負(fù)載均衡簡化Web方案[N];中國計算機(jī)報;2001年

5 邊一;五大預(yù)測Web服務(wù)中的安全機(jī)制[N];網(wǎng)絡(luò)世界;2003年

6 ;保護(hù)Web服務(wù)器的安全[N];中國計算機(jī)報;2001年

7 張雪琳;為“Web服務(wù)”營造安全環(huán)境[N];中國計算機(jī)報;2002年

8 陳紹瑜;支持安全的Web連接[N];中國計算機(jī)報;2004年

9 本報記者 邊歆;6步實(shí)現(xiàn)Web應(yīng)用的整體安全[N];網(wǎng)絡(luò)世界;2009年

10 ;Web 2.0安全：效果與性能的融合之美[N];網(wǎng)絡(luò)世界;2010年

相關(guān)博士學(xué)位論文 前10條

1 萬志遠(yuǎn);Web應(yīng)用程序漏洞檢測關(guān)鍵技術(shù)研究[D];浙江大學(xué);2014年

2 孫慧峰;基于協(xié)同過濾的個性化Web推薦[D];北京郵電大學(xué);2012年

3 張建武;面向Web應(yīng)用的安全評測技術(shù)研究[D];北京郵電大學(xué);2012年

4 龍慧云;基于進(jìn)程代數(shù)的Web服務(wù)數(shù)據(jù)和組合的形式化方法研究[D];貴州大學(xué);2009年

5 謝琪;基于協(xié)同過濾與QoS的個性化Web服務(wù)推薦研究[D];重慶大學(xué);2012年

6 劉方方;Web服務(wù)合成與可用性的若干關(guān)鍵技術(shù)研究[D];復(fù)旦大學(xué);2007年

7 劉曉光;網(wǎng)絡(luò)化制造中Web服務(wù)自動組合的若干關(guān)鍵技術(shù)研究[D];上海交通大學(xué);2008年

8 劉國奇;面向領(lǐng)域QoS約束的Web服務(wù)選取方法[D];東北大學(xué);2011年

9 李杰;基于服務(wù)質(zhì)量的Web服務(wù)模型及應(yīng)用研究[D];中國科學(xué)院研究生院（計算技術(shù)研究所）;2005年

10 張海騰;本體支持的Web服務(wù)智能協(xié)商和監(jiān)測機(jī)制研究[D];華東理工大學(xué);2015年

相關(guān)碩士學(xué)位論文 前10條

1 陳燕紅;基于沙箱的木馬檢測技術(shù)研究與實(shí)現(xiàn)[D];廣東工業(yè)大學(xué);2016年

2 李志勇;基于沙箱技術(shù)的惡意代碼行為自動化檢測方法[D];華中科技大學(xué);2015年

3 張燦巖;用于惡意代碼檢測的沙箱技術(shù)研究[D];哈爾濱工程大學(xué);2013年

4 李林蓉;基于Restful和OSGI的Web應(yīng)用轉(zhuǎn)換容器的研究與實(shí)現(xiàn)[D];華南理工大學(xué);2015年

5 陳彬彬;基于QoS隨機(jī)性的Web服務(wù)質(zhì)量偏離監(jiān)測方法研究與實(shí)現(xiàn)[D];昆明理工大學(xué);2015年

6 游維;基于Rest的Web業(yè)務(wù)系統(tǒng)日志采集與分析系統(tǒng)的研究與開發(fā)[D];山東大學(xué);2015年

7 汪洋;基于web的普通話新聞檢索技術(shù)研究[D];電子科技大學(xué);2014年

8 李政;基于模糊測試的Web應(yīng)用漏洞發(fā)掘技術(shù)研究與實(shí)現(xiàn)[D];北京理工大學(xué);2015年

9 馮理群;基于Web的統(tǒng)一身份認(rèn)證信息系統(tǒng)的設(shè)計與實(shí)現(xiàn)[D];電子科技大學(xué);2015年

10 梁微微;動態(tài)Web廣告的智能獲取技術(shù)研究[D];哈爾濱工業(yè)大學(xué);2014年

，

本文編號：1537536