本文選題：Web安全 + 跨站腳本攻擊��； 參考：《中國科學(xué)技術(shù)大學(xué)》2014年碩士論文

【摘要】：隨著Web2.0技術(shù)的興起,互聯(lián)網(wǎng)成為交流的主要媒介和商業(yè)活動(dòng)渠道,Web應(yīng)用程序的數(shù)量得到了極大的增加,這些Web應(yīng)用程序提供了人們?nèi)粘Ｋ璧母鞣N服務(wù),如購物、銀行、娛樂等等。但同時(shí),這些Web應(yīng)用程序包含了許多潛在的安全漏洞,且每天都以驚人的速度被發(fā)現(xiàn)和利用�？缯灸_本(XSS)作為Web安全漏洞的一種,被研究者和業(yè)內(nèi)人士普遍認(rèn)為是Web應(yīng)用程序中最普遍和流行的安全漏洞。 以實(shí)現(xiàn)功能為導(dǎo)向的這種自然而簡單的軟件開發(fā)思路來指導(dǎo)開發(fā)Web應(yīng)用程序是很容易導(dǎo)致XSS以及其他安全漏洞的。為了應(yīng)對(duì)這種情況,多年來各種安全工具被開發(fā)出來,用于避免開發(fā)過程中常見的Web應(yīng)用程序漏洞。然而,現(xiàn)有的技術(shù)工具,包括一些新興防御技術(shù),都存在著各種不盡如人意的缺陷,如實(shí)用性不佳,部署方式欠靈活,性能損失較大以及較大的誤報(bào)率和漏檢率等。理想情況下,一個(gè)可靠、高效和可配置的服務(wù)器端工具應(yīng)該可以無縫地用來保護(hù)任何組織的系統(tǒng),防御不斷進(jìn)化的XSS威脅,無論是已被發(fā)現(xiàn)的還是未被發(fā)現(xiàn)的。 在本文中,我們?cè)敿?xì)介紹了XSS的定義和常見類型,闡述了可能導(dǎo)致XSS的來源和載體,以及XSS攻擊的原因,影響和特別之處。介紹了XSS的典型利用場(chǎng)景和危害,探討了現(xiàn)實(shí)世界中可能被攻擊者所使用的工具,逃避當(dāng)前網(wǎng)絡(luò)防御機(jī)制的方法和流程。對(duì)過去已有的和新興的保護(hù)解決方案根據(jù)他們的部署點(diǎn)進(jìn)行了分類介紹和總結(jié)。 最后,根據(jù)軟件工程、安全編碼,和防火墻的理論,我們提出了一套設(shè)計(jì)原則。我們的框架系統(tǒng)根據(jù)這些原則開發(fā),在實(shí)用性、檢測(cè)率和性能開銷上都有令人滿意的表現(xiàn),能夠?yàn)槠髽I(yè)的Web應(yīng)用程序提供實(shí)時(shí)的安全防護(hù)。該框架采用面向方面的程序設(shè)計(jì)(Aspected Oriented Programming)方法和開源技術(shù)實(shí)現(xiàn)。與期望的相同,在不影響和損害被評(píng)估Web應(yīng)用程序功能的情況下,所有的測(cè)試用例和注入攻擊都被成功地識(shí)別和化解。
[Abstract]:With the rise of Web2.0 technology, the number of web applications that have become the main medium for communication and a conduit for business activities has increased dramatically. These Web applications provide a variety of services that people need on a daily basis, such as shopping, banking, and so on. Entertainment, etc. But at the same time, these Web applications contain many potential security vulnerabilities and are discovered and exploited at an alarming rate every day. As one of the Web security vulnerabilities, cross-site scripting (XSS) is widely regarded by researchers and industry as the most common and popular security vulnerability in Web applications. This natural and simple idea of software development, which is oriented towards implementation, can easily lead to XSS and other security vulnerabilities to guide the development of Web applications. To deal with this situation, various security tools have been developed over the years to avoid common vulnerabilities in Web applications during development. However, the existing technical tools, including some emerging defense technologies, all have some shortcomings, such as poor practicability, less flexible deployment mode, large performance loss, large false alarm rate and false detection rate, etc. Ideally, a reliable, efficient, and configurable server-side tool should be seamlessly used to protect any organizational system against evolving XSS threats, whether discovered or not. In this paper, we introduce the definition and common types of XSS in detail, explain the source and carrier of XSS, and the reason, influence and special place of XSS attack. This paper introduces the typical utilization scenarios and harms of XSS, discusses the tools that may be used by attackers in the real world, and discusses the methods and processes of escaping the current network defense mechanism. The existing and emerging protection solutions are introduced and summarized according to their deployment points. Finally, according to the theory of software engineering, security coding, and firewall, we propose a set of design principles. Our framework system is developed according to these principles and has satisfactory performance in practicability, detection rate and performance overhead, which can provide real-time security protection for enterprise Web applications. The framework is implemented by aspect-oriented Oriented programming and open source technology. As expected, all test cases and injection attacks were successfully identified and resolved without affecting and compromising the functionality of the evaluated Web application.
【學(xué)位授予單位】：中國科學(xué)技術(shù)大學(xué)
【學(xué)位級(jí)別】：碩士
【學(xué)位授予年份】：2014
【分類號(hào)】：TP393.09

【相似文獻(xiàn)】

相關(guān)期刊論文 前10條

1 江勝文;;通信設(shè)備自動(dòng)化檢測(cè)系統(tǒng)的研制[J];電子測(cè)試;2008年02期

2 王彤;戴偉;張軍慶;晁愛農(nóng);;某型無人機(jī)地面檢測(cè)系統(tǒng)中串行通信的研究與實(shí)現(xiàn)[J];計(jì)算機(jī)應(yīng)用與軟件;2008年05期

3 顧金建;黃偉志;李健;;一種非接觸式在線水分檢測(cè)系統(tǒng)的硬件設(shè)計(jì)[J];儀器儀表用戶;2010年03期

4 王仕仲;;汽車輪胎平衡檢測(cè)系統(tǒng)的設(shè)計(jì)[J];數(shù)字技術(shù)與應(yīng)用;2010年02期

5 章韋偉;;箱裝缺條檢測(cè)系統(tǒng)原理及算法淺析[J];硅谷;2012年01期

6 王惠波;鋼渣檢測(cè)系統(tǒng)的原理與試驗(yàn)[J];自動(dòng)化與儀器儀表;1997年04期

7 王水清;高速公路交通流量檢測(cè)系統(tǒng)[J];計(jì)算機(jī)應(yīng)用研究;2002年03期

8 張波云,張鼎興,王樹林,唐文勝;智能Agent在網(wǎng)絡(luò)安全弱點(diǎn)檢測(cè)系統(tǒng)中的應(yīng)用[J];計(jì)算機(jī)與現(xiàn)代化;2004年06期

9 曹薇;;基于微控制器的玻璃抗風(fēng)壓檢測(cè)系統(tǒng)設(shè)計(jì)[J];微計(jì)算機(jī)信息;2006年08期

10 徐長英;高春法;翁康靜;;鋼球表面檢測(cè)系統(tǒng)的研究[J];測(cè)控技術(shù);2007年09期

相關(guān)會(huì)議論文 前10條

1 唐宇;王洪;唐孟培;;新型激光誘導(dǎo)熒光光纖檢測(cè)系統(tǒng)的研制[A];第一屆中國高校通信類院系學(xué)術(shù)研討會(huì)論文集[C];2007年

2 陳牡丹;周光明;;超聲C掃描檢測(cè)系統(tǒng)性能校核研究[A];中國力學(xué)大會(huì)——2013論文摘要集[C];2013年

3 馬豐嶺;黃波;;智能型閘盤偏擺檢測(cè)系統(tǒng)的設(shè)計(jì)研究[A];第24屆全國煤礦自動(dòng)化與信息化學(xué)術(shù)會(huì)議暨第6屆中國煤礦信息化與自動(dòng)化高層論壇論文集[C];2014年

4 陳志強(qiáng);高文煥;康克軍;張麗;;大型集裝箱檢測(cè)系統(tǒng)的新型客戶／服務(wù)器網(wǎng)絡(luò)模型[A];第9屆全國核電子學(xué)與核探測(cè)技術(shù)學(xué)術(shù)年會(huì)論文集[C];1998年

5 韓疆;劉曉星;潘接林;張建平;顏永紅;張鵬遠(yuǎn);呂萍;劉建;;一種網(wǎng)絡(luò)信息安全中的語音關(guān)鍵詞檢測(cè)系統(tǒng)[A];全國網(wǎng)絡(luò)與信息安全技術(shù)研討會(huì)’2004論文集[C];2004年

6 鄧延;;SDI-5420 Delta X大型超聲C-掃描檢測(cè)系統(tǒng)[A];陜西省第九屆無損檢測(cè)年會(huì)陜西省機(jī)械工程學(xué)會(huì)無損檢測(cè)分會(huì)論文集[C];2004年

7 王振華;呂華;陸祖宏;;單分子熒光漲落檢測(cè)系統(tǒng)的研制[A];中國生物醫(yī)學(xué)工程學(xué)會(huì)醫(yī)學(xué)物理分會(huì)第十次學(xué)術(shù)年會(huì)、中華醫(yī)學(xué)會(huì)醫(yī)學(xué)工程學(xué)分會(huì)第一次醫(yī)療設(shè)備科學(xué)管理研討會(huì)論文集[C];1998年

8 陳宋宋;郭延凱;鐘鳴;;移動(dòng)式電力能效檢測(cè)系統(tǒng)及方法[A];2013年中國電機(jī)工程學(xué)會(huì)年會(huì)論文集[C];2013年

9 黃健;吳世俊;;空調(diào)冷凝器、蒸發(fā)器殘留水分量檢測(cè)系統(tǒng)[A];加入WTO和中國科技與可持續(xù)發(fā)展——挑戰(zhàn)與機(jī)遇、責(zé)任和對(duì)策（上冊(cè)）[C];2002年

10 向新程;周立業(yè);張顏民;灻毅斌;王立強(qiáng);李富榮;高寶增;張玉愛;苗積臣;劉錫明;;組合移動(dòng)式鈷-60集裝箱檢測(cè)系統(tǒng)的研制[A];第十屆全國核電子學(xué)與核探測(cè)技術(shù)學(xué)術(shù)年會(huì)論文集[C];2000年

相關(guān)重要報(bào)紙文章 前10條

1 齊澤萍;治超不停車檢測(cè)系統(tǒng)在我省啟用[N];山西經(jīng)濟(jì)日?qǐng)?bào);2008年

2 蔣夢(mèng)恬 記者 王春;手機(jī)安全檢測(cè)系統(tǒng)令“流氓”軟件無處遁形[N];科技日?qǐng)?bào);2013年

3 郭曉;鄭州建設(shè)簡易工況檢測(cè)系統(tǒng)[N];中國環(huán)境報(bào);2006年

4 馬曉艷;全省高速公路57個(gè)治超點(diǎn)啟用不停車檢測(cè)系統(tǒng)[N];山西經(jīng)濟(jì)日?qǐng)?bào);2008年

5 孫宏;先進(jìn)光學(xué)3D板坯表面 質(zhì)量檢測(cè)系統(tǒng)[N];世界金屬導(dǎo)報(bào);2012年

6 謝昌民;運(yùn)城高速全部實(shí)現(xiàn)不停車超限超載檢測(cè)[N];山西日?qǐng)?bào);2008年

7 本報(bào)記者 張海瑞;創(chuàng)新科技治超 步入長效軌道[N];太原日?qǐng)?bào);2011年

8 安繼剛 向新程 吳志芳 劉以思 鄔海峰 王立強(qiáng) 作者安繼剛為核研院學(xué)術(shù)委員會(huì)副主任，其余均為核研院核技術(shù)研究室教師;科學(xué)研究要走自主創(chuàng)新之路[N];新清華;2004年

9 方通;網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)——構(gòu)筑全方位保障[N];中國水利報(bào);2003年

10 劉永春;陽高縣科技治超效果好[N];大同日?qǐng)?bào);2011年

相關(guān)博士學(xué)位論文 前6條

1 黎耀;IPv6環(huán)境下異常檢測(cè)系統(tǒng)的關(guān)鍵技術(shù)研究[D];華中科技大學(xué);2006年

2 熊俊;單細(xì)胞離子光電聯(lián)合檢測(cè)系統(tǒng)的研究與設(shè)計(jì)[D];華中科技大學(xué);2007年

3 蘇波;集成光纖的毛細(xì)管電泳芯片檢測(cè)系統(tǒng)的研制[D];中國科學(xué)院研究生院（電子學(xué)研究所）;2006年

4 胡文靜;用于金屬探測(cè)的混沌振子系統(tǒng)研究[D];山東大學(xué);2012年

5 賀惠新;燃機(jī)異常檢測(cè)系統(tǒng)的關(guān)鍵技術(shù)研究[D];哈爾濱工業(yè)大學(xué);2013年

6 潘劍鋒;主機(jī)惡意代碼檢測(cè)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D];中國科學(xué)技術(shù)大學(xué);2009年

相關(guān)碩士學(xué)位論文 前10條

1 胡溢;微型無人直升機(jī)水面檢測(cè)系統(tǒng)研究[D];浙江大學(xué);2007年

2 彭鵬;牛乳大分子檢測(cè)系統(tǒng)與建模[D];哈爾濱理工大學(xué);2009年

3 周琪;圖像制導(dǎo)火箭彈檢測(cè)系統(tǒng)設(shè)計(jì)[D];南京理工大學(xué);2012年

4 李享;安裝于慢走絲電火花機(jī)床上嵌入式可視檢測(cè)系統(tǒng)的驗(yàn)證和改進(jìn)[D];廣東工業(yè)大學(xué);2012年

5 李美玲;基于計(jì)算機(jī)視覺的棉網(wǎng)質(zhì)量檢測(cè)系統(tǒng)的研究[D];東華大學(xué);2010年

6 包宇;表面等離子體共振檢測(cè)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[D];東北師范大學(xué);2008年

7 李苗;奶杯表面質(zhì)量檢測(cè)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[D];電子科技大學(xué);2013年

8 付兆敏;彩色顯微網(wǎng)點(diǎn)面積率檢測(cè)系統(tǒng)的開發(fā)[D];西安理工大學(xué);2004年

9 陳楊;智能化熱膨脹檢測(cè)系統(tǒng)的實(shí)現(xiàn)與應(yīng)用[D];南京理工大學(xué);2004年

10 艾鑫;眾核環(huán)境下深度包檢測(cè)系統(tǒng)的設(shè)計(jì)與優(yōu)化[D];哈爾濱工業(yè)大學(xué);2013年

，

本文編號(hào)：1866501