【摘要】：跨站腳本XSS(Cross Site Scripting)漏洞已經(jīng)成為了大多數(shù)網(wǎng)站共同面對的Web安全問題,對XSS漏洞的有效預(yù)防檢測有利于提高Web安全。分析XSS漏洞的攻擊原理,指出現(xiàn)有動態(tài)分析方法在檢測存儲型XSS漏洞方面的不足,提出一種有效的存儲型漏洞動態(tài)檢測方法。設(shè)計并實現(xiàn)了Stored-XSS漏洞動態(tài)檢測模型,并在實際的場景下對該模型進(jìn)行了測試評估,實驗證明提出的方法能對存儲型XSS漏洞進(jìn)行有效檢測。
[Abstract]:Cross-site script XSS (Cross Site Scripting) vulnerability has become a common Web security problem faced by most websites. The effective prevention and detection of XSS vulnerability is helpful to improve the Web security. This paper analyzes the attack principle of XSS vulnerability, points out the shortcomings of existing dynamic analysis methods in detecting storage XSS vulnerability, and proposes an effective dynamic detection method for storage vulnerability. The dynamic detection model of Stored-XSS vulnerability is designed and implemented, and the model is tested and evaluated in the actual scenario. The experimental results show that the proposed method can effectively detect the stored XSS vulnerability.
【作者單位】： 上海理工大學(xué)光電信息與計算機(jī)工程學(xué)院;上海計算機(jī)軟件技術(shù)開發(fā)中心上海市計算機(jī)軟件評測重點實驗室;
【基金】：國家自然科學(xué)基金委員會與中國民航空局聯(lián)合資助項目(60979011)
【分類號】：TP393.08

【相似文獻(xiàn)】

相關(guān)期刊論文 前10條

1 宋其章;張佇;;互聯(lián)網(wǎng)技術(shù)的應(yīng)用與安全[J];金融電子化;2000年12期

2 富宇,唐國維,劉顯德;緩沖區(qū)溢出的預(yù)防與檢測技術(shù)綜述[J];計算機(jī)工程與應(yīng)用;2005年32期

3 陳文波;李善璽;;ARP欺騙動態(tài)檢測防御系統(tǒng)[J];中國教育網(wǎng)絡(luò);2007年08期

4 黃玉文;劉春英;李肖堅;;基于可執(zhí)行文件的緩沖區(qū)溢出檢測模型[J];計算機(jī)工程;2010年02期

5 于繼江;;基于危險函數(shù)的緩沖區(qū)溢出檢測方法的研究與實現(xiàn)[J];計算機(jī)應(yīng)用與軟件;2011年09期

6 劉建波;;基于流量分析的P2P僵尸網(wǎng)絡(luò)檢測[J];計算機(jī)與數(shù)字工程;2011年03期

7 段紅;三足鼎立:邊界+內(nèi)部+Web——Check Point推出全新Web安全網(wǎng)關(guān)[J];計算機(jī)安全;2004年06期

8 徐鋒,呂建;Web安全中的信任管理研究與進(jìn)展[J];軟件學(xué)報;2002年11期

9 曉齊;為基于Web連接提供安全保護(hù) Check Point全新Web安全網(wǎng)關(guān)—Connectra[J];信息網(wǎng)絡(luò)安全;2004年06期

10 查義國,徐小巖,張毓森;在Web上實現(xiàn)基于角色的訪問控制[J];計算機(jī)研究與發(fā)展;2002年03期

相關(guān)會議論文 前5條

1 馬俊;李根;盧凱;;基于模擬器的緩沖區(qū)溢出動態(tài)檢測方法[A];全國第19屆計算機(jī)技術(shù)與應(yīng)用（CACIS）學(xué)術(shù)會議論文集（下冊）[C];2008年

2 張繼紅;陳小全;;Web開發(fā)課程中“入侵與防范”教學(xué)探索與實踐[A];2008年中國高校通信類院系學(xué)術(shù)研討會論文集（下冊）[C];2009年

3 劉寶旭;梅杰;許榕生;安德海;于明儉;陳向陽;鄭鵬;;Internet安全信息系統(tǒng)建構(gòu)模式[A];第9屆全國核電子學(xué)與核探測技術(shù)學(xué)術(shù)年會論文集[C];1998年

4 李國俊;蘇銳丹;周利華;;基于OpenSSL的Web安全訪問控制設(shè)計與實現(xiàn)[A];2006年全國開放式分布與并行計算機(jī)學(xué)術(shù)會議論文集（三）[C];2006年

5 奚琪;王清賢;曾勇軍;;惡意代碼檢測技術(shù)綜述[A];計算機(jī)研究新進(jìn)展（2010）——河南省計算機(jī)學(xué)會2010年學(xué)術(shù)年會論文集[C];2010年

相關(guān)重要報紙文章 前10條

1 艾文;“一站式”：注力Web安全應(yīng)用[N];中國計算機(jī)報;2002年

2 本報記者 宋麗娜;一站式的Web安全網(wǎng)關(guān)[N];網(wǎng)絡(luò)世界;2004年

3 四川 鄭華;用SafeWeb安全上網(wǎng)[N];電腦報;2001年

4 陳紹瑜;支持安全的Web連接[N];中國計算機(jī)報;2004年

5 本報記者 胡英;NetSwift iGate：超越VPN的快速專網(wǎng)[N];計算機(jī)世界;2003年

6 評測實驗室 秦鋼 李韜;聯(lián)想網(wǎng)御SIS－3000測試小記[N];計算機(jī)世界;2005年

7 ;Web服務(wù)器安全鎧甲[N];中國計算機(jī)報;2000年

8 ;安全可靠接入方便[N];中國計算機(jī)報;2005年

9 易水;SSL VPN：虛擬專網(wǎng)的新發(fā)展[N];計算機(jī)世界;2003年

10 中國電信集團(tuán)北京研究院 葉華 張園;軟交換規(guī)模商用的瓶頸與出路[N];通信產(chǎn)業(yè)報;2003年

相關(guān)碩士學(xué)位論文 前10條

1 賈暉;基于Linux平臺的增強(qiáng)安全型Web Server系統(tǒng)的開發(fā)[D];華北電力大學(xué)（北京）;2003年

2 裴德志;基于J2EE的WEB安全研究[D];武漢理工大學(xué);2006年

3 石昌文;基于記憶原理的Web安全預(yù)警研究[D];西安建筑科技大學(xué);2006年

4 李新;基于Windows Server的虛擬主機(jī)Web安全研究[D];中國石油大學(xué);2009年

5 劉紅玉;基于WEB的基金申請系統(tǒng)代理簽名技術(shù)的研究[D];昆明理工大學(xué);2006年

6 張伍;數(shù)字化校園工程的建設(shè)及相關(guān)技術(shù)研究[D];電子科技大學(xué);2008年

7 馬闖;軍網(wǎng)安全漏洞檢測系統(tǒng)的研究與實現(xiàn)[D];吉林大學(xué);2008年

8 崔強(qiáng)強(qiáng);基于網(wǎng)絡(luò)的Web漏洞檢測系統(tǒng)的研究與實現(xiàn)[D];西安電子科技大學(xué);2008年

9 陳悅;面向AJAX框架Web服務(wù)的攻擊和安全防御[D];上海交通大學(xué);2007年

10 賀榮;Web應(yīng)用服務(wù)安全性研究及解決方案[D];中南大學(xué);2008年

，

本文編號：2244755