發(fā)布時(shí)間：2018-02-26 09:57

  本文關(guān)鍵詞： Web沙箱 JavaScript 數(shù)據(jù)泄漏 測(cè)試方法　出處：《計(jì)算機(jī)科學(xué)》2017年S2期 　論文類型：期刊論文

【摘要】：數(shù)據(jù)泄漏是導(dǎo)致Web沙箱逃逸的重要原因,即在未授權(quán)情況下,程序可以訪問(wèn)系統(tǒng)的敏感數(shù)據(jù)。已有的Web應(yīng)用安全分析方法不完全適用于發(fā)現(xiàn)Web沙箱的數(shù)據(jù)泄漏。設(shè)計(jì)一種面向數(shù)據(jù)泄漏的Web沙箱測(cè)試方法,在JavaScript對(duì)象建模的基礎(chǔ)上,首先,采用深度優(yōu)先的策略遍歷瀏覽器的原生對(duì)象,獲取程序可直接訪問(wèn)的對(duì)象集合;其次,設(shè)計(jì)敏感點(diǎn)導(dǎo)向的封裝對(duì)象測(cè)試算法,獲取程序間接訪問(wèn)的對(duì)象集合;再次,設(shè)計(jì)了多程序數(shù)據(jù)泄漏的測(cè)試算法,獲取程序間可能的通信路徑;最后,對(duì)比測(cè)試結(jié)果和Web沙箱的規(guī)格,以識(shí)別Web沙箱的數(shù)據(jù)泄漏。設(shè)計(jì)并實(shí)現(xiàn)了Web沙箱測(cè)試系統(tǒng)(WSTS),同時(shí)測(cè)試了不同版本的ADsafe沙箱,實(shí)驗(yàn)結(jié)果顯示,所提方法具有良好的數(shù)據(jù)泄漏發(fā)現(xiàn)能力。
[Abstract]:Data leaks are an important reason for the escape of the Web sandbox, that is, in the case of unauthorized, The program can access the sensitive data of the system. The existing Web application security analysis method is not completely suitable for detecting the data leakage of the Web sandbox. A Web sandbox testing method for data leak oriented is designed. Based on the JavaScript object modeling, firstly, Using the depth-first strategy to traverse the browser's native objects, obtain the object set that the program can directly access. Secondly, design the sensitive point-oriented encapsulation object testing algorithm to obtain the object set indirectly accessed by the program. This paper designs a test algorithm for data leakage of multiple programs to obtain the possible communication path between programs. Finally, the test results and the specifications of Web sandbox are compared. In order to identify the data leakage of Web sandbox, a Web sandbox testing system is designed and implemented. At the same time, different versions of ADsafe sandbox are tested. The experimental results show that the proposed method has good data leak detection capability.
【作者單位】： 中國(guó)人民解放軍信息工程大學(xué);
【分類號(hào)】：TP393.0

【相似文獻(xiàn)】

相關(guān)期刊論文 前10條

1 趙旭;陳丹敏;顏學(xué)雄;王清賢;;沙箱技術(shù)研究綜述[J];中原工學(xué)院學(xué)報(bào);2014年04期

2 李時(shí)惠;;一種增強(qiáng)的基于威脅度的沙箱框架設(shè)計(jì)[J];計(jì)算技術(shù)與自動(dòng)化;2006年03期

3 王航宇,盧發(fā)興;一種基于Web技術(shù)的交互式電子技術(shù)手冊(cè)[J];艦船電子工程;2002年02期

4 杜保華,劉彈,侯成剛,徐光華;XML WebService在基于Web遠(yuǎn)程分析工具集中的應(yīng)用[J];儀器儀表用戶;2004年02期

5 嚴(yán)毅,唐天兵,寧葵;Web服務(wù)實(shí)現(xiàn)開放式的企業(yè)應(yīng)用集成[J];廣西大學(xué)學(xué)報(bào)(自然科學(xué)版);2005年03期

6 邵文田;;去除使用Web服務(wù)尋找適當(dāng)?shù)某绦蝽?xiàng)目[J];電腦迷;2007年15期

7 宋平;;基于Web服務(wù)的企業(yè)應(yīng)用集成[J];福建電腦;2007年10期

8 陳波;師惠忠;;一種新型Web應(yīng)用安全漏洞統(tǒng)一描述語(yǔ)言[J];小型微型計(jì)算機(jī)系統(tǒng);2011年10期

9 ;Web的50個(gè)矛盾[J];每周電腦報(bào);1997年48期

10 鐘曉班;Web工具的趨同[J];管理科學(xué)文摘;1999年06期

相關(guān)會(huì)議論文 前10條

1 劉正濤;毛宇光;應(yīng)毅;;基于Web服務(wù)的分布式Web應(yīng)用框架研究[A];第一屆全國(guó)Web信息系統(tǒng)及其應(yīng)用會(huì)議（WISA2004）論文集[C];2004年

2 戴琦;;Web上的數(shù)據(jù)挖掘[A];全國(guó)計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用年會(huì)論文集（2001）[C];2001年

3 李中華;;企業(yè)Web應(yīng)用安全威脅與防護(hù)[A];創(chuàng)新·融合·發(fā)展——?jiǎng)?chuàng)新型煤炭企業(yè)發(fā)展與信息化高峰論壇論文集[C];2010年

4 張玉艷;黃國(guó)棟;馮文堂;侯金奎;;一種模型驅(qū)動(dòng)的WEB報(bào)表系統(tǒng)開發(fā)方法[A];第二十七屆中國(guó)控制會(huì)議論文集[C];2008年

5 李毅;顧健;顧鐵軍;;系統(tǒng)等級(jí)保護(hù)中的Web應(yīng)用安全評(píng)估[A];全國(guó)計(jì)算機(jī)安全學(xué)術(shù)交流會(huì)論文集（第二十四卷）[C];2009年

6 徐建新;錢建彬;;Web在線編輯在建設(shè)用地管理中的應(yīng)用[A];江蘇省測(cè)繪學(xué)會(huì)2007年學(xué)術(shù)年會(huì)論文集[C];2008年

7 唐權(quán);吳勤書;;基于web用戶基礎(chǔ)地理數(shù)據(jù)庫(kù)更新技術(shù)研究[A];江蘇省測(cè)繪學(xué)會(huì)2011年學(xué)術(shù)年會(huì)論文集[C];2011年

8 曹建平;曾柯;王暉;程佳軍;喬鳳才;;基于Web的交通情感分析方法和應(yīng)用[A];2013第一屆中國(guó)指揮控制大會(huì)論文集[C];2013年

9 鄧世偉;;Web應(yīng)用負(fù)載測(cè)試的生命周期方法[A];第一屆全國(guó)Web信息系統(tǒng)及其應(yīng)用會(huì)議（WISA2004）論文集[C];2004年

10 徐云風(fēng);蔣文蓉;;Web頁(yè)面信息抽取的分析與研究[A];IT服務(wù)促進(jìn)企業(yè)信息化——第十一屆中國(guó)Java技術(shù)及應(yīng)用交流大會(huì)文集[C];2008年

相關(guān)重要報(bào)紙文章 前10條

1 本報(bào)記者 趙曉濤;四問(wèn)“Web防御與云安全”[N];網(wǎng)絡(luò)世界;2008年

2 李晨;Web應(yīng)用安全應(yīng)貫穿生命周期[N];人民郵電;2009年

3 朱新亞;Web會(huì)議出標(biāo)準(zhǔn)[N];中國(guó)計(jì)算機(jī)報(bào);2004年

4 朱敏;負(fù)載均衡簡(jiǎn)化Web方案[N];中國(guó)計(jì)算機(jī)報(bào);2001年

5 邊一;五大預(yù)測(cè)Web服務(wù)中的安全機(jī)制[N];網(wǎng)絡(luò)世界;2003年

6 ;保護(hù)Web服務(wù)器的安全[N];中國(guó)計(jì)算機(jī)報(bào);2001年

7 張雪琳;為“Web服務(wù)”營(yíng)造安全環(huán)境[N];中國(guó)計(jì)算機(jī)報(bào);2002年

8 陳紹瑜;支持安全的Web連接[N];中國(guó)計(jì)算機(jī)報(bào);2004年

9 本報(bào)記者 邊歆;6步實(shí)現(xiàn)Web應(yīng)用的整體安全[N];網(wǎng)絡(luò)世界;2009年

10 ;Web 2.0安全：效果與性能的融合之美[N];網(wǎng)絡(luò)世界;2010年

相關(guān)博士學(xué)位論文 前10條

1 萬(wàn)志遠(yuǎn);Web應(yīng)用程序漏洞檢測(cè)關(guān)鍵技術(shù)研究[D];浙江大學(xué);2014年

2 孫慧峰;基于協(xié)同過(guò)濾的個(gè)性化Web推薦[D];北京郵電大學(xué);2012年

3 張建武;面向Web應(yīng)用的安全評(píng)測(cè)技術(shù)研究[D];北京郵電大學(xué);2012年

4 龍慧云;基于進(jìn)程代數(shù)的Web服務(wù)數(shù)據(jù)和組合的形式化方法研究[D];貴州大學(xué);2009年

5 謝琪;基于協(xié)同過(guò)濾與QoS的個(gè)性化Web服務(wù)推薦研究[D];重慶大學(xué);2012年

6 劉方方;Web服務(wù)合成與可用性的若干關(guān)鍵技術(shù)研究[D];復(fù)旦大學(xué);2007年

7 劉曉光;網(wǎng)絡(luò)化制造中Web服務(wù)自動(dòng)組合的若干關(guān)鍵技術(shù)研究[D];上海交通大學(xué);2008年

8 劉國(guó)奇;面向領(lǐng)域QoS約束的Web服務(wù)選取方法[D];東北大學(xué);2011年

9 李杰;基于服務(wù)質(zhì)量的Web服務(wù)模型及應(yīng)用研究[D];中國(guó)科學(xué)院研究生院（計(jì)算技術(shù)研究所）;2005年

10 張海騰;本體支持的Web服務(wù)智能協(xié)商和監(jiān)測(cè)機(jī)制研究[D];華東理工大學(xué);2015年

相關(guān)碩士學(xué)位論文 前10條

1 陳燕紅;基于沙箱的木馬檢測(cè)技術(shù)研究與實(shí)現(xiàn)[D];廣東工業(yè)大學(xué);2016年

2 李志勇;基于沙箱技術(shù)的惡意代碼行為自動(dòng)化檢測(cè)方法[D];華中科技大學(xué);2015年

3 張燦巖;用于惡意代碼檢測(cè)的沙箱技術(shù)研究[D];哈爾濱工程大學(xué);2013年

4 李林蓉;基于Restful和OSGI的Web應(yīng)用轉(zhuǎn)換容器的研究與實(shí)現(xiàn)[D];華南理工大學(xué);2015年

5 陳彬彬;基于QoS隨機(jī)性的Web服務(wù)質(zhì)量偏離監(jiān)測(cè)方法研究與實(shí)現(xiàn)[D];昆明理工大學(xué);2015年

6 游維;基于Rest的Web業(yè)務(wù)系統(tǒng)日志采集與分析系統(tǒng)的研究與開發(fā)[D];山東大學(xué);2015年

7 汪洋;基于web的普通話新聞檢索技術(shù)研究[D];電子科技大學(xué);2014年

8 李政;基于模糊測(cè)試的Web應(yīng)用漏洞發(fā)掘技術(shù)研究與實(shí)現(xiàn)[D];北京理工大學(xué);2015年

9 馮理群;基于Web的統(tǒng)一身份認(rèn)證信息系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D];電子科技大學(xué);2015年

10 梁微微;動(dòng)態(tài)Web廣告的智能獲取技術(shù)研究[D];哈爾濱工業(yè)大學(xué);2014年

，

本文編號(hào)：1537536