【摘要】：隨著Web 2.0時(shí)代的到來,用戶開始成為Web內(nèi)容的核心貢獻(xiàn)者與分享者,這進(jìn)一步促進(jìn)了互聯(lián)網(wǎng)和信息技術(shù)的繁榮,但由于用戶的輸入不可信任,也帶來了更加嚴(yán)峻的安全問題。XSS是Web 2.0時(shí)代最重要的安全威脅之一,它產(chǎn)生于Web應(yīng)用程序的漏洞,卻對(duì)普通用戶和Web服務(wù)提供商造成雙重威脅。根據(jù)OWASP的調(diào)研報(bào)告顯示,直到2017年,XSS依然是OWASP Top 10中第二普遍的安全問題,存在于近三分之二的應(yīng)用中,并且由于漏洞利用簡(jiǎn)單、易被忽略等特性,XSS往往能夠?qū)е聡?yán)重的安全事故。為了緩解XSS泛濫的現(xiàn)狀,針對(duì)現(xiàn)有XSS檢測(cè)系統(tǒng)存在的普適性不強(qiáng)、檢測(cè)方向單一和脫離瀏覽器運(yùn)行時(shí)等缺陷,本文提出了基于瀏覽器的XSS檢測(cè)系統(tǒng),對(duì)XSS檢測(cè)進(jìn)行了以下改進(jìn):1.改進(jìn)了檢測(cè)應(yīng)用環(huán)境,基于瀏覽器運(yùn)行時(shí)獲取XSS檢測(cè)所需的關(guān)鍵數(shù)據(jù)并實(shí)施檢測(cè),保證檢測(cè)環(huán)境和XSS產(chǎn)生環(huán)境具有高度一致性,并提高了XSS檢測(cè)系統(tǒng)的普適性。2.在防御XSS攻擊時(shí),首先集成了瀏覽器環(huán)境專用Parser,解決了提取腳本數(shù)據(jù)時(shí)的通信問題,增量式地解析請(qǐng)求參數(shù)和響應(yīng)腳本,提高了 Parser性能和可維護(hù)性;然后基于對(duì)比驗(yàn)證算法完成對(duì)XSS攻擊的檢測(cè),改進(jìn)了算法的實(shí)現(xiàn)細(xì)節(jié),首次在瀏覽器環(huán)境下完成了廣義后綴樹的構(gòu)造,提高了檢測(cè)效率。3.在挖掘XSS漏洞時(shí),首先采用了模糊測(cè)試的思想進(jìn)行檢測(cè),并基于瀏覽器運(yùn)行時(shí)提供的優(yōu)勢(shì),創(chuàng)新性地提出使用隱形iframe標(biāo)簽在后臺(tái)無侵入持續(xù)測(cè)試的方案;然后基于分類討論方法,根據(jù)惡意腳本在響應(yīng)報(bào)文中的位置和調(diào)用方式預(yù)生成攻擊向量集合,實(shí)現(xiàn)了攻擊向量的可重復(fù)利用;最后,針對(duì)傳統(tǒng)模糊測(cè)試漏報(bào)率較高的問題,研究并設(shè)計(jì)了額外的異常結(jié)果捕獲手段,降低了漏洞挖掘的漏報(bào)率。本文研究并設(shè)計(jì)了基于瀏覽器運(yùn)行時(shí)的綜合性XSS檢測(cè)系統(tǒng),該系統(tǒng)整合了XSS攻擊防御模塊與XSS漏洞挖掘模塊為一體,具有更強(qiáng)的跨平臺(tái)性,經(jīng)過實(shí)驗(yàn)證明,系統(tǒng)能夠有效完成對(duì)XSS漏洞和反射型XSS攻擊的檢測(cè),并具有較低的誤報(bào)率和漏報(bào)率。
【學(xué)位授予單位】：北京郵電大學(xué)
【學(xué)位級(jí)別】：碩士
【學(xué)位授予年份】：2019
【分類號(hào)】：TP393.08
【圖文】：

本章將從社會(huì)影響和經(jīng)濟(jì)發(fā)展等方面說明本文的研究意義與價(jià)值，然后介ＳＳ檢測(cè)的研究現(xiàn)狀，同時(shí)將簡(jiǎn)要介紹本文的主要研究工作，突出本文研究的所在。最后本章將介紹論文的組織結(jié)構(gòu)，概述各個(gè)章節(jié)的內(nèi)容。逡逑１．１研究背景及意義逡逑隨著互聯(lián)網(wǎng)和計(jì)算機(jī)技術(shù)的持續(xù)繁榮，Ｗｅｂ應(yīng)用也在近年迎來了它的黃金。通過Ｗｅｂ邋２．０時(shí)代的Ａｊａｘ技術(shù)和Ｖ８引擎的支持，Ｗｅｂ應(yīng)用的性能有了長(zhǎng)足。不止在ＰＣ端，Ｗｅｂ應(yīng)用占據(jù)了絕大部分網(wǎng)絡(luò)流量的入口；在移動(dòng)端，隨著４術(shù)的成熟和智能硬件設(shè)備性能的提升，客戶端應(yīng)用（如：Ａｎｄｒｏｉｄ邋Ａｐｐ、ＩＯＳＡｐ了追求快速的迭代以及優(yōu)良的跨平臺(tái)性，都將大部分功能遷移到Ｗｅｂ應(yīng)用⑴。逡逑根據(jù)ＣＮＮＩＣ邋（中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心）的《第４１次中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r報(bào)告》提供的數(shù)據(jù)［２］，截至２０１７年１２月，中國(guó)網(wǎng)站（指域名注冊(cè)者在中國(guó)境網(wǎng)站）的數(shù)量達(dá)到５３３萬個(gè)，年增長(zhǎng)率１０．６％；而中國(guó)網(wǎng)頁(yè)的數(shù)量達(dá)到２６０４億個(gè)，逡逑增長(zhǎng)率１０．３％。逡逑中捕曊站數(shù)丨Ｉ逡逑

并將用戶的敏感信息發(fā)送給攻擊者操控的服務(wù)器。因其構(gòu)造相對(duì)簡(jiǎn)單且容逡逑易利用，反射型ＸＳＳ成為了目前最泛濫的ＸＳＳ攻擊形式。逡逑反射型ＸＳＳ攻擊的流程如圖２－１所示，首先用戶登錄網(wǎng)站，生成Ｃｏｏｋｉｅ等敏感逡逑信息，然后攻擊者精心構(gòu)造包含惡意代碼的ＵＲＬ誘騙用戶點(diǎn)擊，最終用戶受騙，逡逑點(diǎn)擊ＵＲＬ訪問服務(wù)器，惡意代碼被返回瀏覽器，瀏覽器認(rèn)為服務(wù)器返回的代碼是逡逑可信的，于是執(zhí)行代碼，將敏感數(shù)據(jù)發(fā)送給攻擊者。逡逑用戶邐＜邐２？構(gòu)造N�，诱裳記]У慊麇五騫セ髡咤義襄危擔(dān)褚獯脛蔥小⑺兔舾惺蒎五義戲衿麇義賢跡玻狽瓷湫停兀櫻庸セ髁鞒體義希猓媧⑿停兀櫻渝義洗媧⑿停兀櫻佑敕瓷湫停兀櫻永嗨�，峨H怯煞衿饗煊囟褚獯�。区柄勚冓，辶x洗媧⑿停兀櫻郵竊詮セ髡噠業(yè)較低陳┒春螅酶寐┒唇褚獯敕⑺偷椒衿魃襄義洗媧⑵鵠醋魑昂戲ā筆藎沒г阡榔魃廈看畏夢(mèng)實(shí)秸廡昂戲ā筆藎義暇突嶂蔥釁滸畝褚獯

本文編號(hào)：2735903