發(fā)布時間：2018-02-26 09:57

  本文關鍵詞： Web沙箱 JavaScript 數(shù)據(jù)泄漏 測試方法　出處：《計算機科學》2017年S2期 　論文類型：期刊論文

【摘要】：數(shù)據(jù)泄漏是導致Web沙箱逃逸的重要原因,即在未授權情況下,程序可以訪問系統(tǒng)的敏感數(shù)據(jù)。已有的Web應用安全分析方法不完全適用于發(fā)現(xiàn)Web沙箱的數(shù)據(jù)泄漏。設計一種面向數(shù)據(jù)泄漏的Web沙箱測試方法,在JavaScript對象建模的基礎上,首先,采用深度優(yōu)先的策略遍歷瀏覽器的原生對象,獲取程序可直接訪問的對象集合;其次,設計敏感點導向的封裝對象測試算法,獲取程序間接訪問的對象集合;再次,設計了多程序數(shù)據(jù)泄漏的測試算法,獲取程序間可能的通信路徑;最后,對比測試結果和Web沙箱的規(guī)格,以識別Web沙箱的數(shù)據(jù)泄漏。設計并實現(xiàn)了Web沙箱測試系統(tǒng)(WSTS),同時測試了不同版本的ADsafe沙箱,實驗結果顯示,所提方法具有良好的數(shù)據(jù)泄漏發(fā)現(xiàn)能力。
[Abstract]:Data leaks are an important reason for the escape of the Web sandbox, that is, in the case of unauthorized, The program can access the sensitive data of the system. The existing Web application security analysis method is not completely suitable for detecting the data leakage of the Web sandbox. A Web sandbox testing method for data leak oriented is designed. Based on the JavaScript object modeling, firstly, Using the depth-first strategy to traverse the browser's native objects, obtain the object set that the program can directly access. Secondly, design the sensitive point-oriented encapsulation object testing algorithm to obtain the object set indirectly accessed by the program. This paper designs a test algorithm for data leakage of multiple programs to obtain the possible communication path between programs. Finally, the test results and the specifications of Web sandbox are compared. In order to identify the data leakage of Web sandbox, a Web sandbox testing system is designed and implemented. At the same time, different versions of ADsafe sandbox are tested. The experimental results show that the proposed method has good data leak detection capability.
【作者單位】： 中國人民解放軍信息工程大學;
【分類號】：TP393.0

【相似文獻】

相關期刊論文 前10條

1 趙旭;陳丹敏;顏學雄;王清賢;;沙箱技術研究綜述[J];中原工學院學報;2014年04期

2 李時惠;;一種增強的基于威脅度的沙箱框架設計[J];計算技術與自動化;2006年03期

3 王航宇,盧發(fā)興;一種基于Web技術的交互式電子技術手冊[J];艦船電子工程;2002年02期

4 杜保華,劉彈,侯成剛,徐光華;XML WebService在基于Web遠程分析工具集中的應用[J];儀器儀表用戶;2004年02期

5 嚴毅,唐天兵,寧葵;Web服務實現(xiàn)開放式的企業(yè)應用集成[J];廣西大學學報(自然科學版);2005年03期

6 邵文田;;去除使用Web服務尋找適當?shù)某绦蝽椖縖J];電腦迷;2007年15期

7 宋平;;基于Web服務的企業(yè)應用集成[J];福建電腦;2007年10期

8 陳波;師惠忠;;一種新型Web應用安全漏洞統(tǒng)一描述語言[J];小型微型計算機系統(tǒng);2011年10期

9 ;Web的50個矛盾[J];每周電腦報;1997年48期

10 鐘曉班;Web工具的趨同[J];管理科學文摘;1999年06期

相關會議論文 前10條

1 劉正濤;毛宇光;應毅;;基于Web服務的分布式Web應用框架研究[A];第一屆全國Web信息系統(tǒng)及其應用會議（WISA2004）論文集[C];2004年

2 戴琦;;Web上的數(shù)據(jù)挖掘[A];全國計算機網(wǎng)絡應用年會論文集（2001）[C];2001年

3 李中華;;企業(yè)Web應用安全威脅與防護[A];創(chuàng)新·融合·發(fā)展——創(chuàng)新型煤炭企業(yè)發(fā)展與信息化高峰論壇論文集[C];2010年

4 張玉艷;黃國棟;馮文堂;侯金奎;;一種模型驅動的WEB報表系統(tǒng)開發(fā)方法[A];第二十七屆中國控制會議論文集[C];2008年

5 李毅;顧健;顧鐵軍;;系統(tǒng)等級保護中的Web應用安全評估[A];全國計算機安全學術交流會論文集（第二十四卷）[C];2009年

6 徐建新;錢建彬;;Web在線編輯在建設用地管理中的應用[A];江蘇省測繪學會2007年學術年會論文集[C];2008年

7 唐權;吳勤書;;基于web用戶基礎地理數(shù)據(jù)庫更新技術研究[A];江蘇省測繪學會2011年學術年會論文集[C];2011年

8 曹建平;曾柯;王暉;程佳軍;喬鳳才;;基于Web的交通情感分析方法和應用[A];2013第一屆中國指揮控制大會論文集[C];2013年

9 鄧世偉;;Web應用負載測試的生命周期方法[A];第一屆全國Web信息系統(tǒng)及其應用會議（WISA2004）論文集[C];2004年

10 徐云風;蔣文蓉;;Web頁面信息抽取的分析與研究[A];IT服務促進企業(yè)信息化——第十一屆中國Java技術及應用交流大會文集[C];2008年

相關重要報紙文章 前10條

1 本報記者 趙曉濤;四問“Web防御與云安全”[N];網(wǎng)絡世界;2008年

2 李晨;Web應用安全應貫穿生命周期[N];人民郵電;2009年

3 朱新亞;Web會議出標準[N];中國計算機報;2004年

4 朱敏;負載均衡簡化Web方案[N];中國計算機報;2001年

5 邊一;五大預測Web服務中的安全機制[N];網(wǎng)絡世界;2003年

6 ;保護Web服務器的安全[N];中國計算機報;2001年

7 張雪琳;為“Web服務”營造安全環(huán)境[N];中國計算機報;2002年

8 陳紹瑜;支持安全的Web連接[N];中國計算機報;2004年

9 本報記者 邊歆;6步實現(xiàn)Web應用的整體安全[N];網(wǎng)絡世界;2009年

10 ;Web 2.0安全：效果與性能的融合之美[N];網(wǎng)絡世界;2010年

相關博士學位論文 前10條

1 萬志遠;Web應用程序漏洞檢測關鍵技術研究[D];浙江大學;2014年

2 孫慧峰;基于協(xié)同過濾的個性化Web推薦[D];北京郵電大學;2012年

3 張建武;面向Web應用的安全評測技術研究[D];北京郵電大學;2012年

4 龍慧云;基于進程代數(shù)的Web服務數(shù)據(jù)和組合的形式化方法研究[D];貴州大學;2009年

5 謝琪;基于協(xié)同過濾與QoS的個性化Web服務推薦研究[D];重慶大學;2012年

6 劉方方;Web服務合成與可用性的若干關鍵技術研究[D];復旦大學;2007年

7 劉曉光;網(wǎng)絡化制造中Web服務自動組合的若干關鍵技術研究[D];上海交通大學;2008年

8 劉國奇;面向領域QoS約束的Web服務選取方法[D];東北大學;2011年

9 李杰;基于服務質量的Web服務模型及應用研究[D];中國科學院研究生院（計算技術研究所）;2005年

10 張海騰;本體支持的Web服務智能協(xié)商和監(jiān)測機制研究[D];華東理工大學;2015年

相關碩士學位論文 前10條

1 陳燕紅;基于沙箱的木馬檢測技術研究與實現(xiàn)[D];廣東工業(yè)大學;2016年

2 李志勇;基于沙箱技術的惡意代碼行為自動化檢測方法[D];華中科技大學;2015年

3 張燦巖;用于惡意代碼檢測的沙箱技術研究[D];哈爾濱工程大學;2013年

4 李林蓉;基于Restful和OSGI的Web應用轉換容器的研究與實現(xiàn)[D];華南理工大學;2015年

5 陳彬彬;基于QoS隨機性的Web服務質量偏離監(jiān)測方法研究與實現(xiàn)[D];昆明理工大學;2015年

6 游維;基于Rest的Web業(yè)務系統(tǒng)日志采集與分析系統(tǒng)的研究與開發(fā)[D];山東大學;2015年

7 汪洋;基于web的普通話新聞檢索技術研究[D];電子科技大學;2014年

8 李政;基于模糊測試的Web應用漏洞發(fā)掘技術研究與實現(xiàn)[D];北京理工大學;2015年

9 馮理群;基于Web的統(tǒng)一身份認證信息系統(tǒng)的設計與實現(xiàn)[D];電子科技大學;2015年

10 梁微微;動態(tài)Web廣告的智能獲取技術研究[D];哈爾濱工業(yè)大學;2014年

，

本文編號：1537536