Web應(yīng)用程序是當(dāng)前最流行的一類計算機軟件應(yīng)用程序，這個程序采用基于瀏覽器的語言編碼，依賴于通用網(wǎng)頁瀏覽器來表現(xiàn)執(zhí)行結(jié)果。瀏覽器所渲染解釋的網(wǎng)頁信息可以是靜態(tài)的對象，也可以是動態(tài)的腳本，這些信息可以來自不同的源。為解決來自不同源的動態(tài)腳本的訪問安全問題,人們提出了同源策略，以阻止從一個源加載的腳本獲取或設(shè)置另一個源加載的文檔的屬性。然而，攻擊者可以利用應(yīng)用程序中存在的跨站腳本（XSS）等安全漏洞，繞過同源策略的限制，迫使瀏覽器運行攻擊者注入的腳本,并實施進(jìn)一步的攻擊。Web攻擊的成功完成需要訪問第三方的網(wǎng)站，以下載惡意代碼或發(fā)送盜取的信息。針對這個特點，本文提出一類基于白名單的Web應(yīng)用安全防護(hù)策略WhiteDomain。其基本想法是用戶Alice信任所訪問的站點Bob，這類信任不僅僅是指Bob所提供的服務(wù)，也指相信對Bob的訪問不會威脅到Alice本身節(jié)點的安全。而Web攻擊者為達(dá)到通過Bob攻擊Alice的目的，將利用Bob上的Web應(yīng)用程序漏洞，注入攻擊腳本，迫使Alice的瀏覽器訪問第三方的網(wǎng)站。如果網(wǎng)站Bob能夠向用戶Alice提供其認(rèn)可的白名單站點，則可以限制瀏覽器只能訪問... 

【文章來源】：廣州大學(xué)廣東省

【文章頁數(shù)】：58 頁

【學(xué)位級別】：碩士

【文章目錄】：
摘要
Abstract
第一章 緒論
    1.1 研究意義
    1.2 Web 應(yīng)用程序安全防護(hù)方式
    1.3 國內(nèi)外的研究現(xiàn)狀和發(fā)展趨勢
    1.4 本文的組織結(jié)構(gòu)
第二章 Web 應(yīng)用程序通信與威脅
    2.1 同源策略
        2.1.1 統(tǒng)一資源定位符（Uniform Resource Locator, URL）
        2.1.2 同源策略概念說明
        2.1.3 利用同源策略進(jìn)行攻擊
    2.2 瀏覽器架構(gòu)渲染過程
        2.2.1 概述
        2.2.2 文檔對象模型(Document Object Model, DOM)概述
        2.2.3 Firefox 瀏覽器的頁面渲染過程
    2.3 HTTP/HTTPS 協(xié)議
        2.3.1 HTTP 協(xié)議概述
        2.3.2 HTTP 協(xié)議與 Web 通信
    2.4 XSS 攻擊
        2.4.1 反射型 XSS 攻擊
        2.4.2 存儲型 XSS 攻擊
        2.4.3 基于 DOM 的 XSS 攻擊
    2.5 網(wǎng)頁木馬
        2.5.1 網(wǎng)頁木馬概述
        2.5.2 網(wǎng)頁木馬隱藏技術(shù)
    2.6 本章小結(jié)
第三章 白名單策略的設(shè)計與實現(xiàn)
    3.1 白名單描述
    3.2 通信過程
    3.3 白名單策略算法的設(shè)計
    3.4 插件實現(xiàn)
    3.5 本章小結(jié)
第四章 實驗與討論
    4.1 實驗環(huán)境
    4.2 實驗過程與結(jié)果分析
    4.3 本章小結(jié)
第五章 總結(jié)與展望
    5.1 總結(jié)
    5.2 未來工作展望
參考文獻(xiàn)
附錄 1 實現(xiàn)白名單策略的關(guān)鍵代碼
攻讀碩士學(xué)位期間發(fā)表學(xué)術(shù)論文
致謝


【參考文獻(xiàn)】：
期刊論文
[1]一種基于行為的XSS客戶端防范方法[J]. 王夏莉,張玉清.  中國科學(xué)院研究生院學(xué)報. 2011(05)
[2]利用腳本封裝抵御跨站腳本攻擊[J]. 沈伍強,唐屹.  廣州大學(xué)學(xué)報(自然科學(xué)版). 2010(05)



本文編號：3177283