本文選題：HTML5　切入點(diǎn)：跨站腳本攻擊　出處：《北京郵電大學(xué)》2017年碩士論文　論文類型：學(xué)位論文

【摘要】：HTML5作為開放的Web網(wǎng)絡(luò)平臺的奠基石,憑借著豐富的多媒體內(nèi)容,良好的跨平臺、跨終端等特點(diǎn),不僅為Web應(yīng)用帶來了巨大的變革,并且逐步成為下一代移動(dòng)互聯(lián)網(wǎng)應(yīng)用的主流。然而新特征在推動(dòng)互聯(lián)網(wǎng)發(fā)展的同時(shí),也帶來了相應(yīng)的安全問題�？缯灸_本攻擊是Web應(yīng)用常見的攻擊之一,其運(yùn)用手段靈活多樣,攻擊形式豐富,具有嚴(yán)重的危害性。HTML5引入的新特征在不經(jīng)過嚴(yán)格過濾及防御的情況下,極易成為跨站腳本攻擊的載體,引發(fā)跨站腳本攻擊。本文通過分析HTML5引入的新特征,及其易引起的跨站腳本攻擊方式,設(shè)計(jì)并實(shí)現(xiàn)了基于HTML5的跨站腳本攻擊檢測模型。本文主要研究內(nèi)容及創(chuàng)新點(diǎn)如下:(1)研究分析了基于HTML5的跨站腳本漏洞。分析了跨站腳本攻擊的基本原理,跨站腳本分類,跨站腳本利用形式及檢測方式。結(jié)合HTML5新標(biāo)簽及新屬性,深入研究了基于HTML5的跨站腳本漏洞。(2)提出了基于HTML5的跨站腳本攻擊檢測模型。該模型包含數(shù)據(jù)顯示層、功能實(shí)現(xiàn)層、以及數(shù)據(jù)存儲層三層體系架構(gòu),重點(diǎn)研究并分析了功能層中各子功能的設(shè)計(jì),包括網(wǎng)絡(luò)爬蟲、注入點(diǎn)分析、攻擊向量生成、模擬攻擊、以及漏洞分析等。(3)設(shè)計(jì)并實(shí)現(xiàn)基于遺傳算法的跨站腳本攻擊向量生成算法。該算法基于遺傳算法的思想,模擬生物交叉遺傳的特征,通過設(shè)計(jì)合適的交叉算子、適應(yīng)度函數(shù)以及選擇算子,生成面向HTML5的跨站腳本種子攻擊向量,模擬生物變異的特征,采用變形與編碼兩種變異方式,對種子向量進(jìn)行變異優(yōu)化,得到最終的面向HTML5的跨站腳本攻擊向量。(4)實(shí)現(xiàn)并評測基于HTML5的跨站腳本攻擊檢測模型。通過對比當(dāng)前流行的漏洞掃描工具與本文提出算法的檢測結(jié)果,分析驗(yàn)證本文提出的檢測模型的可行性、有效性以及可擴(kuò)展性。
[Abstract]:As the cornerstone of the open Web network platform, HTML5, with its rich multimedia content, good cross-platform, cross-terminal and other characteristics, has not only brought great changes to the Web application. And gradually become the mainstream of the next generation of mobile Internet applications. However, the new features not only promote the development of the Internet, but also bring about the corresponding security problems. Cross-site scripting attacks are one of the common attacks in Web applications. The attacks are rich in form and have serious harmfulness. HTML5 can easily become the carrier of cross-site script attacks without strict filtering and defense. This paper analyzes the new features introduced by HTML5. And its easily caused cross-site script attacks, In this paper, the main research contents and innovations are as follows: 1) this paper studies and analyzes the cross-station script vulnerability based on HTML5, and analyzes the basic principle of cross-station script attack, the classification of cross-site script. Combined with the new tags and new attributes of HTML5, a cross-station script vulnerability detection model based on HTML5 is proposed. The model includes data display layer and function realization layer. And the three-tier architecture of data storage layer. The design of each sub-function in the function layer is studied and analyzed emphatically, including network crawler, injection point analysis, attack vector generation, simulation attack, etc. This algorithm is based on the idea of genetic algorithm, simulates the characteristics of biological cross-genetic, and designs appropriate crossover operator. Fitness function and selection operator are used to generate cross-site script seed attack vector for HTML5, to simulate the characteristics of biological variation, and to optimize the seed vector by means of deformation and coding. Finally, the HTML5 oriented cross-site script attack vector. 4) is implemented and evaluated based on HTML5. By comparing the current popular vulnerability scanning tools and the detection results of the algorithm proposed in this paper, The feasibility, validity and extensibility of the proposed detection model are analyzed and verified.
【學(xué)位授予單位】：北京郵電大學(xué)
【學(xué)位級別】：碩士
【學(xué)位授予年份】：2017
【分類號】：TP393.08

【參考文獻(xiàn)】

相關(guān)期刊論文 前10條

1 冷濤;何良;;“偽基站+釣魚網(wǎng)站”詐騙犯罪中的滲透取證研究[J];電子制作;2016年13期

2 陳麗楓;鄭力新;王佳斌;;基于HTML5 WebSocket的Web實(shí)時(shí)通信機(jī)制的研究與實(shí)現(xiàn)[J];微型機(jī)與應(yīng)用;2016年10期

3 董衛(wèi)利;;HTML5本地存儲和離線緩存應(yīng)用研究[J];科技創(chuàng)新與應(yīng)用;2015年34期

4 余學(xué)永;江國華;;一種跨站腳本的檢測方法[J];小型微型計(jì)算機(jī)系統(tǒng);2015年08期

5 榮艷冬;;HTML5 Web Worker技術(shù)及應(yīng)用研究[J];無線互聯(lián)科技;2015年11期

6 鄭子偉;陳奮;;HTML5離線應(yīng)用開發(fā)技術(shù)研究[J];廈門城市職業(yè)學(xué)院學(xué)報(bào);2015年01期

7 周廣深;;淺談Session對象在用戶登錄頁面中的應(yīng)用[J];電子技術(shù)與軟件工程;2014年05期

8 邱珊;;使用HTML5 Web Worker提高Web的應(yīng)用性能研究[J];軟件導(dǎo)刊;2013年12期

9 方霞;;Cookie安全與用戶隱私研究[J];科技通報(bào);2013年08期

10 何良;方勇;方f ;蒲偉;;瀏覽器跨域通信安全技術(shù)研究[J];信息安全與通信保密;2013年04期

相關(guān)碩士學(xué)位論文 前8條

1 王云;基于爬蟲和模糊測試的XSS漏洞檢測工具設(shè)計(jì)與實(shí)現(xiàn)[D];華南理工大學(xué);2015年

2 萬芳芳;基于網(wǎng)絡(luò)爬蟲的XSS漏洞檢測技術(shù)[D];江西師范大學(xué);2014年

3 鄭超群;基于遺傳算法的測試用例自動(dòng)生成系統(tǒng)模型的研究[D];西北農(nóng)林科技大學(xué);2014年

4 鄭艷;HTML5本地存儲和離線緩存機(jī)制應(yīng)用研究[D];武漢理工大學(xué);2014年

5 邵鵬;基于滲透測試的跨站腳本漏洞檢測研究[D];鄭州大學(xué);2013年

6 張一;基于HTTP協(xié)議的Web訪問監(jiān)測系統(tǒng)[D];電子科技大學(xué);2012年

7 唐知華;跨站點(diǎn)腳本攻擊的檢測技術(shù)研究[D];杭州電子科技大學(xué);2011年

8 公衍磊;跨站腳本漏洞與攻擊的客戶端檢測方法研究[D];大連理工大學(xué);2011年

，

本文編號：1597209