本文關(guān)鍵詞：一種跨站腳本的檢測方法

  更多相關(guān)文章： 萬維網(wǎng) 跨站腳本 污點(diǎn)分析 信息流 滲透測試 軟件測試

【摘要】：跨站腳本是Web漏洞中一種非常常見并且影響比較廣泛的漏洞,它通過瀏覽器端執(zhí)行第三方的惡意腳本來實(shí)現(xiàn)攻擊.針對跨站腳本的測試,提出一種新型的測試方法.與以往研究只針對對于單個(gè)服務(wù)頁面不同的是,文中所提出的方法是從Web系統(tǒng)的整體出發(fā)并從用戶變量的角度來對跨站腳本進(jìn)行檢測,整個(gè)方法包括客戶端測試和服務(wù)端測試兩個(gè)部分.針對客戶端的數(shù)據(jù)驗(yàn)證機(jī)制的檢測,采用了一種靜態(tài)分析和滲透測試相結(jié)合的方法.而針對服務(wù)端的跨站腳本檢測,通過構(gòu)造代碼的信息流并在信息流的基礎(chǔ)上進(jìn)行污點(diǎn)分析來確定系統(tǒng)中和漏洞相關(guān)的用戶輸入,并且確定與此類輸入相關(guān)的驗(yàn)證機(jī)制是否存在缺陷.依據(jù)文中的測試方法實(shí)現(xiàn)了跨站腳本漏洞檢測原型工具Web Tester,使用Web Tester進(jìn)行實(shí)驗(yàn)的數(shù)據(jù)表明文中所提出的方法可以比較有效地檢測出Web系統(tǒng)中的跨站腳本漏洞.
【作者單位】： 南京航空航天大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院;
【關(guān)鍵詞】： 萬維網(wǎng) 跨站腳本 污點(diǎn)分析 信息流 滲透測試 軟件測試
【分類號】：TP311.53;TP393.09
【正文快照】： 1引言隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展,Web軟件的使用已經(jīng)非常廣泛,越來越多的應(yīng)用采用了B/S方式進(jìn)行開發(fā).與傳統(tǒng)C/S體系結(jié)構(gòu)的軟件不同的是B/S結(jié)構(gòu)軟件不用為用戶專門定制客戶端應(yīng)用程序,用戶只需要通過瀏覽器進(jìn)行加載就可以使用所有的應(yīng)用.因此Web應(yīng)用軟件的優(yōu)勢非常明顯,客戶端程序僅

【參考文獻(xiàn)】

中國期刊全文數(shù)據(jù)庫 前1條

1 黃強(qiáng);曾慶凱;;基于信息流策略的污點(diǎn)傳播分析及動(dòng)態(tài)驗(yàn)證[J];軟件學(xué)報(bào);2011年09期

【共引文獻(xiàn)】

中國期刊全文數(shù)據(jù)庫 前8條

1 秦中元;徐毓青;梁彪;張群芳;黃杰;;一種Android平臺惡意軟件靜態(tài)檢測方法[J];東南大學(xué)學(xué)報(bào)(自然科學(xué)版);2013年06期

2 葉永宏;武東英;陳揚(yáng);;一種基于細(xì)粒度污點(diǎn)分析的逆向平臺[J];計(jì)算機(jī)工程與應(yīng)用;2012年28期

3 史大偉;袁天偉;;一種粗細(xì)粒度結(jié)合的動(dòng)態(tài)污點(diǎn)分析方法[J];計(jì)算機(jī)工程;2014年03期

4 劉奇旭;溫濤;聞?dòng)^行;;Flash跨站腳本漏洞挖掘技術(shù)研究[J];計(jì)算機(jī)研究與發(fā)展;2014年07期

5 孫浩;李會(huì)朋;曾慶凱;;基于信息流的整數(shù)漏洞插裝和驗(yàn)證[J];軟件學(xué)報(bào);2013年12期

6 蔣華;徐中原;王鑫;;基于行為的XSS攻擊防范方法[J];計(jì)算機(jī)工程與設(shè)計(jì);2014年06期

7 徐中原;蔣華;王鑫;;基于行為的Web郵箱系統(tǒng)XSS防范[J];計(jì)算機(jī)工程與設(shè)計(jì);2014年12期

8 舒輝;李政廉;康緋;張媛媛;;基于環(huán)境智能匹配的惡意代碼完整性分析方法[J];計(jì)算機(jī)工程與設(shè)計(jì);2015年02期

中國博士學(xué)位論文全文數(shù)據(jù)庫 前1條

1 孔德光;結(jié)合語義的統(tǒng)計(jì)機(jī)器學(xué)習(xí)方法在代碼安全中應(yīng)用研究[D];中國科學(xué)技術(shù)大學(xué);2010年

中國碩士學(xué)位論文全文數(shù)據(jù)庫 前10條

1 彭青白;緩沖區(qū)溢出漏洞的挖掘與利用方法研究[D];華中科技大學(xué);2009年

2 楊嘉;基于信息流的SELinux策略分析與調(diào)整技術(shù)研究[D];南京大學(xué);2012年

3 喬航;無線智能移動(dòng)終端的軟件漏洞分析及發(fā)現(xiàn)技術(shù)研究[D];電子科技大學(xué);2012年

4 姜曙光;基于符號執(zhí)行的Web安全檢測系統(tǒng)的研究與實(shí)現(xiàn)[D];湖南大學(xué);2012年

5 文碧望;基于多層序列的攻擊特征自動(dòng)提取方法研究[D];中南大學(xué);2013年

6 尤作賽;基于動(dòng)態(tài)污點(diǎn)分析的惡意代碼行為依賴圖挖掘技術(shù)的研究與實(shí)現(xiàn)[D];國防科學(xué)技術(shù)大學(xué);2012年

7 林龍成;PHP Web應(yīng)用程序開發(fā)中漏洞消減技術(shù)研究[D];南京師范大學(xué);2014年

8 劉蘇洲;基于Muscle的攻擊特征自動(dòng)提取方法研究[D];中南大學(xué);2014年

9 王小娟;信息流分析法在集成電路設(shè)計(jì)中的應(yīng)用研究[D];大連理工大學(xué);2014年

10 牛皓;基于網(wǎng)絡(luò)爬蟲的XSS漏洞檢測系統(tǒng)的研究與設(shè)計(jì)[D];北京郵電大學(xué);2015年

【二級參考文獻(xiàn)】

中國期刊全文數(shù)據(jù)庫 前1條

1 陳建青;張玉清;;Web跨站腳本漏洞檢測工具的設(shè)計(jì)與實(shí)現(xiàn)[J];計(jì)算機(jī)工程;2010年06期

中國碩士學(xué)位論文全文數(shù)據(jù)庫 前1條

1 邱勇杰;跨站腳本攻擊與防御技術(shù)研究[D];北京交通大學(xué);2010年

，

本文編號：1113445