本文關(guān)鍵詞：跨站腳本漏洞檢測與防御技術(shù)研究

  更多相關(guān)文章： 跨站腳本 逆向代碼審計(jì) 靜態(tài)分析 網(wǎng)絡(luò)應(yīng)用安全 漏洞防御

【摘要】：隨著Web2.0概念的提出與推廣,Web應(yīng)用程序的實(shí)用性和友好性的特點(diǎn)使得Web應(yīng)用受到越來越多開發(fā)人員和用戶的肯定,腳本技術(shù)(如JavaScript、VBScript等)在Web應(yīng)用中的廣泛應(yīng)用在帶給用戶便捷的同時(shí),也給網(wǎng)絡(luò)帶來了新的安全威脅。在網(wǎng)絡(luò)安全領(lǐng)域中,跨站腳本攻擊(Cross Site Scripting)已經(jīng)是其中最嚴(yán)重的安全問題之一,它主要利用Web應(yīng)用中的對(duì)外部數(shù)據(jù)的過濾缺陷,將惡意腳本成功注入到網(wǎng)頁中。論文在參考大量國內(nèi)外相關(guān)資料的基礎(chǔ)上,對(duì)跨站腳本漏洞的檢測和防御做了深入研究。為了提高檢測Web應(yīng)用源碼中跨站腳本漏洞的效率,論文提出了一種基于靜態(tài)分析的逆向代碼審計(jì)算法,用于檢測和提取源代碼中的跨站腳本漏洞。算法將輸出節(jié)點(diǎn)定義為潛在危險(xiǎn)節(jié)點(diǎn),并對(duì)其進(jìn)行逆向掃描,然后確定輸出節(jié)點(diǎn)是否引用了污點(diǎn)數(shù)據(jù)。通過算法生成的數(shù)據(jù)鏈還可以發(fā)現(xiàn)漏洞的位置及生成漏洞的數(shù)據(jù)來源,方便測試人員和開發(fā)團(tuán)隊(duì)及時(shí)修復(fù)Web應(yīng)用中的漏洞。實(shí)驗(yàn)驗(yàn)證表明該檢測算法在有效檢測源碼中的XSS跨站腳本漏洞,同時(shí),大大提高了 XSS漏洞的檢測效率。另外,論文在深入研究跨站腳本攻擊方式的基礎(chǔ)上,提出了一種基于代理的跨站腳本防御框架。該框架部署在客戶端與服務(wù)器端之間,攔截客戶端與服務(wù)器端間的通信數(shù)據(jù),對(duì)數(shù)據(jù)進(jìn)行深度分析和過濾。不僅能對(duì)跨站腳本攻擊進(jìn)行有效的防御,而且可以對(duì)合法標(biāo)簽進(jìn)行放行,為客戶端用戶提供良好的訪問體驗(yàn)。該防御框架由分析引擎和處理引擎構(gòu)成,其中分析引擎分為重編碼、去除干擾字符和整理標(biāo)簽子模塊,處理引擎分為處理非法標(biāo)簽、處理非法事件和處理非法引用子模塊。該防御框架通過對(duì)數(shù)據(jù)的深入拆分解析,準(zhǔn)確識(shí)別出標(biāo)簽是否合法、數(shù)據(jù)中是否存在腳本以及數(shù)據(jù)是否安全。實(shí)驗(yàn)表明該框架對(duì)于當(dāng)前流行的跨站腳本攻擊(包括反射型跨站腳本、存儲(chǔ)型跨站腳本和DOM型跨站腳本)都有良好的防御效果,但是會(huì)存在延遲客戶端與服務(wù)器端響應(yīng)時(shí)間的問題。此外,針對(duì)論文提出的跨站腳本防御框架會(huì)造成客戶端與服務(wù)器端間響應(yīng)時(shí)間增加的問題,我們嘗試對(duì)該防御框架進(jìn)行了改進(jìn),提出了基于“任務(wù)自動(dòng)處理機(jī)”的框架模型。該框架主要包括數(shù)據(jù)掃描和數(shù)據(jù)處理兩個(gè)部分。所有存儲(chǔ)到數(shù)據(jù)庫的外部數(shù)據(jù)將被打上“未處理”標(biāo)記,此時(shí)的數(shù)據(jù)沒有被服務(wù)器使用的權(quán)限。任務(wù)自動(dòng)處理機(jī)中的數(shù)據(jù)掃描任務(wù)將所有標(biāo)有“未處理”標(biāo)記的數(shù)據(jù)掃描存儲(chǔ),重新將數(shù)據(jù)標(biāo)記為“處理中”,等待數(shù)據(jù)處理任務(wù)的處理。數(shù)據(jù)處理任務(wù)使用文中提出的防御算法對(duì)掃描到的數(shù)據(jù)按優(yōu)先級(jí)進(jìn)行處理,處理成功將更新原有數(shù)據(jù)的值和狀態(tài),將數(shù)據(jù)標(biāo)記為“處理成功”,帶有“處理成功”標(biāo)記的數(shù)據(jù)可以被服務(wù)器端使用。論文還對(duì)此框架進(jìn)行了有效性測試和性能測試,實(shí)驗(yàn)證明,該框架可以有效減少服務(wù)器的壓力,降低客戶端與服務(wù)器端的響應(yīng)時(shí)間。最后,論文對(duì)跨站腳本的檢測和防御都做出了詳細(xì)的總結(jié)和研究結(jié)論。
【學(xué)位授予單位】：揚(yáng)州大學(xué)
【學(xué)位級(jí)別】：碩士
【學(xué)位授予年份】：2017
【分類號(hào)】：TP393.08

【相似文獻(xiàn)】

中國期刊全文數(shù)據(jù)庫 前10條

1 趙現(xiàn)軍;董明武;;漏洞檢測類產(chǎn)品核心指標(biāo)淺析[J];網(wǎng)絡(luò)安全技術(shù)與應(yīng)用;2006年11期

2 ;漏洞檢測代表產(chǎn)品[J];每周電腦報(bào);2003年46期

3 楊闊朝,蔣凡;模擬攻擊測試方式的漏洞檢測系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J];計(jì)算機(jī)應(yīng)用;2005年07期

4 龍銀香;一種新的漏洞檢測系統(tǒng)方案[J];微計(jì)算機(jī)信息;2005年05期

5 賈永杰,王恩堂;一種新的漏洞檢測系統(tǒng)方案[J];中國科技信息;2005年09期

6 劉完芳;;基于網(wǎng)絡(luò)的漏洞檢測系統(tǒng)的設(shè)計(jì)[J];湘潭師范學(xué)院學(xué)報(bào)(自然科學(xué)版);2006年03期

7 金怡;蔡勉;王亞軍;;基于中間件的漏洞檢測系統(tǒng)設(shè)計(jì)[J];信息安全與通信保密;2007年04期

8 花青;高嶺;張林;;分布式漏洞檢測系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J];東南大學(xué)學(xué)報(bào)(自然科學(xué)版);2008年S1期

9 張林;高嶺;湯聲潮;楊e，

本文編號(hào)：1276352