XSS漏洞挖掘與防范研究
發(fā)布時(shí)間:2022-12-04 12:29
隨著Web應(yīng)用的高速發(fā)展,近年來,因Web應(yīng)用漏洞而引發(fā)的安全事件頻繁發(fā)生,Web應(yīng)用漏洞對(duì)網(wǎng)絡(luò)安全的威脅越來越大,跨站腳本(Cross Site Script,XSS)漏洞就是最為常見的Web應(yīng)用漏洞,攻擊者能夠利用跨站腳本漏洞對(duì)用戶進(jìn)行信息竊取,會(huì)話挾持、釣魚欺騙等攻擊。而現(xiàn)有的Web漏洞檢測(cè)方案及工具都不完善,存在著效率低、漏檢率高、誤報(bào)率高等缺陷。因此對(duì)于XSS漏洞的檢測(cè)與防御技術(shù)需要進(jìn)行進(jìn)一步更深入的研究。本文分析了XSS漏洞的原理以及當(dāng)前的檢測(cè)緩解技術(shù),提出了一種改進(jìn)型的XSS漏洞挖掘方法。設(shè)計(jì)并實(shí)現(xiàn)了一種針對(duì)跨站腳本攻擊漏洞挖掘的系統(tǒng),此外針對(duì)現(xiàn)有的XSS攻擊提出一個(gè)基于服務(wù)器端反向代理的XSS攻擊防御方案。針對(duì)現(xiàn)有動(dòng)態(tài)檢測(cè)XSS漏洞方法效率上的不足,提出一種改進(jìn)的滲透測(cè)試檢測(cè)方法,在傳統(tǒng)爬蟲基礎(chǔ)上,使用hook技術(shù)獲取網(wǎng)頁中動(dòng)態(tài)鏈接,通過構(gòu)造網(wǎng)頁預(yù)處理模塊,過濾掉無注入點(diǎn)的網(wǎng)頁和資源類URL,利用探子算法標(biāo)記出頁面注入點(diǎn)和對(duì)應(yīng)輸出點(diǎn),并獲取探子向量輸出點(diǎn)所處的最小對(duì)象,用等價(jià)類劃分的方法對(duì)注入點(diǎn)的最小對(duì)象進(jìn)行分類標(biāo)記,并根據(jù)最小對(duì)象的分類生成各類型的攻擊向量庫,同時(shí)針對(duì)...
【文章頁數(shù)】:71 頁
【學(xué)位級(jí)別】:碩士
【文章目錄】:
致謝
摘要
abstract
1 緒論
1.1 研究背景與意義
1.2 國內(nèi)外研究現(xiàn)狀
1.3 本文研究內(nèi)容和創(chuàng)新點(diǎn)
1.4 論文的組織結(jié)構(gòu)
2 跨站腳本攻擊的概述
2.1 跨站腳本攻擊的相關(guān)技術(shù)
2.2 跨站腳本攻擊的原理
2.3 本章小結(jié)
3 跨站腳本攻擊漏洞挖掘方案
3.1 檢測(cè)方案設(shè)計(jì)思路
3.2 檢測(cè)方案總體設(shè)計(jì)
3.3 檢測(cè)方案詳細(xì)設(shè)計(jì)
3.4 本章小結(jié)
4 XSS漏洞挖掘方案的實(shí)現(xiàn)和評(píng)估
4.1 網(wǎng)絡(luò)爬蟲模塊的實(shí)現(xiàn)
4.2 預(yù)處理模塊實(shí)現(xiàn)
4.3 攻擊向量模塊
4.4 漏洞檢測(cè)模塊的實(shí)現(xiàn)
4.5 實(shí)驗(yàn)評(píng)估
4.6 本章小結(jié)
5 XSS攻擊的防御方案
5.1 常見攻擊方式的防御
5.2 跨站腳本攻擊的防御方案
5.3 本章小結(jié)
6 總結(jié)與展望
6.1 論文總結(jié)
6.2 論文展望
參考文獻(xiàn)
作者簡歷
學(xué)位論文數(shù)據(jù)集
【參考文獻(xiàn)】:
期刊論文
[1]基于Web應(yīng)用的XSS漏洞的分類和檢測(cè)方法的研究[J]. 王艷敏. 科技經(jīng)濟(jì)導(dǎo)刊. 2017(19)
[2]通過HTML編碼防御XSS跨站腳本攻擊的研究[J]. 劉達(dá). 網(wǎng)絡(luò)空間安全. 2016(06)
[3]基于動(dòng)態(tài)污點(diǎn)分析的DOM XSS漏洞檢測(cè)算法[J]. 李潔,俞研,吳家順. 計(jì)算機(jī)應(yīng)用. 2016(05)
[4]Web應(yīng)用存儲(chǔ)型XSS漏洞檢測(cè)方法及實(shí)現(xiàn)[J]. 李威,李曉紅. 計(jì)算機(jī)應(yīng)用與軟件. 2016(01)
[5]基于決策樹分類的跨站腳本攻擊檢測(cè)方法[J]. 張海燕,莫勇. 微型機(jī)與應(yīng)用. 2015(16)
[6]一種網(wǎng)絡(luò)爬蟲系統(tǒng)中URL去重方法的研究[J]. 成功,李小正,趙全軍. 中國新技術(shù)新產(chǎn)品. 2014(12)
[7]基于爬蟲的XSS漏洞檢測(cè)工具設(shè)計(jì)與實(shí)現(xiàn)[J]. 沈壽忠,張玉清. 計(jì)算機(jī)工程. 2009(21)
碩士論文
[1]基于控制流分析和數(shù)據(jù)流分析的Java程序靜態(tài)檢測(cè)方法的研究[D]. 王旭.西安電子科技大學(xué) 2015
本文編號(hào):3708273
【文章頁數(shù)】:71 頁
【學(xué)位級(jí)別】:碩士
【文章目錄】:
致謝
摘要
abstract
1 緒論
1.1 研究背景與意義
1.2 國內(nèi)外研究現(xiàn)狀
1.3 本文研究內(nèi)容和創(chuàng)新點(diǎn)
1.4 論文的組織結(jié)構(gòu)
2 跨站腳本攻擊的概述
2.1 跨站腳本攻擊的相關(guān)技術(shù)
2.2 跨站腳本攻擊的原理
2.3 本章小結(jié)
3 跨站腳本攻擊漏洞挖掘方案
3.1 檢測(cè)方案設(shè)計(jì)思路
3.2 檢測(cè)方案總體設(shè)計(jì)
3.3 檢測(cè)方案詳細(xì)設(shè)計(jì)
3.4 本章小結(jié)
4 XSS漏洞挖掘方案的實(shí)現(xiàn)和評(píng)估
4.1 網(wǎng)絡(luò)爬蟲模塊的實(shí)現(xiàn)
4.2 預(yù)處理模塊實(shí)現(xiàn)
4.3 攻擊向量模塊
4.4 漏洞檢測(cè)模塊的實(shí)現(xiàn)
4.5 實(shí)驗(yàn)評(píng)估
4.6 本章小結(jié)
5 XSS攻擊的防御方案
5.1 常見攻擊方式的防御
5.2 跨站腳本攻擊的防御方案
5.3 本章小結(jié)
6 總結(jié)與展望
6.1 論文總結(jié)
6.2 論文展望
參考文獻(xiàn)
作者簡歷
學(xué)位論文數(shù)據(jù)集
【參考文獻(xiàn)】:
期刊論文
[1]基于Web應(yīng)用的XSS漏洞的分類和檢測(cè)方法的研究[J]. 王艷敏. 科技經(jīng)濟(jì)導(dǎo)刊. 2017(19)
[2]通過HTML編碼防御XSS跨站腳本攻擊的研究[J]. 劉達(dá). 網(wǎng)絡(luò)空間安全. 2016(06)
[3]基于動(dòng)態(tài)污點(diǎn)分析的DOM XSS漏洞檢測(cè)算法[J]. 李潔,俞研,吳家順. 計(jì)算機(jī)應(yīng)用. 2016(05)
[4]Web應(yīng)用存儲(chǔ)型XSS漏洞檢測(cè)方法及實(shí)現(xiàn)[J]. 李威,李曉紅. 計(jì)算機(jī)應(yīng)用與軟件. 2016(01)
[5]基于決策樹分類的跨站腳本攻擊檢測(cè)方法[J]. 張海燕,莫勇. 微型機(jī)與應(yīng)用. 2015(16)
[6]一種網(wǎng)絡(luò)爬蟲系統(tǒng)中URL去重方法的研究[J]. 成功,李小正,趙全軍. 中國新技術(shù)新產(chǎn)品. 2014(12)
[7]基于爬蟲的XSS漏洞檢測(cè)工具設(shè)計(jì)與實(shí)現(xiàn)[J]. 沈壽忠,張玉清. 計(jì)算機(jī)工程. 2009(21)
碩士論文
[1]基于控制流分析和數(shù)據(jù)流分析的Java程序靜態(tài)檢測(cè)方法的研究[D]. 王旭.西安電子科技大學(xué) 2015
本文編號(hào):3708273
本文鏈接:http://www.sikaile.net/guanlilunwen/ydhl/3708273.html
最近更新
教材專著
