本文關(guān)鍵詞：Web應(yīng)用程序的跨站腳本漏洞檢測(cè)問題的研究，，由筆耕文化傳播整理發(fā)布。

【摘要】：隨著互聯(lián)網(wǎng)技術(shù)的成熟,以及瀏覽器客戶端Web應(yīng)用程序的普及,Web安全漏洞已經(jīng)成為互聯(lián)網(wǎng)最嚴(yán)重的安全隱患之一,其中跨站腳本(XSS)漏洞是近年來較為流行的一種漏洞。由于JavaScript的動(dòng)態(tài)特性Ajax技術(shù)的廣泛應(yīng)用,Web應(yīng)用存在大量隱含頁面,XSS的漏洞注入點(diǎn)越來越隱蔽,漏洞檢測(cè)越來越困難,其危害性及快速的傳播能力因而也越來越強(qiáng)�，F(xiàn)有的漏洞檢測(cè)技術(shù)沒有充分對(duì)XSS漏洞的漏洞注入點(diǎn)的查找進(jìn)行研究尤其是隱含頁面,使用的漏洞檢測(cè)技術(shù)也沒有充分考慮測(cè)試請(qǐng)求后相關(guān)的頁面,導(dǎo)致漏洞檢測(cè)率相對(duì)較低。針對(duì)現(xiàn)有漏洞檢測(cè)技術(shù)的不足之處,加強(qiáng)了對(duì)隱含頁面的DOM結(jié)構(gòu)分析,提出了基于DOM狀態(tài)改變的方式查找漏洞注入點(diǎn)的方法,在此基礎(chǔ)上提出了基于頁面交互點(diǎn)相關(guān)的漏洞檢測(cè)方法,設(shè)計(jì)并實(shí)現(xiàn)了XSS漏洞檢測(cè)原型系統(tǒng)。實(shí)驗(yàn)證明該原型系統(tǒng)能夠找到更多的漏洞注入點(diǎn),能有效地提高漏洞檢測(cè)率。本文主要貢獻(xiàn)如下:(1)分析并介紹了主流瀏覽器的訪問控制策略,其次對(duì)JavaScript腳本以及Ajax技術(shù)進(jìn)行了安全性分析,然后介紹了XSS漏洞攻擊的攻擊原理以及攻擊類型,同時(shí)對(duì)現(xiàn)有的漏洞檢測(cè)方法進(jìn)行了分析研究。(2)提出了基于DOM狀態(tài)改變的方式進(jìn)行XSS漏洞注入查找的方法,特別是針對(duì)隱含頁面的漏洞注入點(diǎn)的查找。由于JavaScript語言的動(dòng)態(tài)特性,以及Ajax技術(shù)在Web應(yīng)用開發(fā)中的廣泛應(yīng)用,導(dǎo)致隱含頁面大量存在,而隱含頁面是存在漏洞注入點(diǎn)的,本文針對(duì)這個(gè)問題加強(qiáng)了對(duì)隱含頁面DOM結(jié)構(gòu)的分析,并在隱含頁面查找漏洞注入點(diǎn)。(3)提出了基于頁面交互點(diǎn)相關(guān)的方法進(jìn)行漏洞的檢測(cè),該方法主要是針對(duì)存儲(chǔ)型跨站腳本漏洞,能夠減少漏洞漏報(bào)率。本文在現(xiàn)有的漏洞檢測(cè)技術(shù)的基礎(chǔ)上做了改進(jìn),充分考慮了測(cè)試請(qǐng)求后相關(guān)的頁面,擴(kuò)大了分析頁面范圍。此外,本文還使用了改進(jìn)的探子請(qǐng)求技術(shù),通過探子請(qǐng)求字符串判斷頁面輸出位置類型,然后使用針對(duì)性的測(cè)試用例進(jìn)行漏洞檢測(cè),可以減少后續(xù)漏洞檢測(cè)不必要的測(cè)試請(qǐng)求。(4)基于上述技術(shù)理論設(shè)計(jì)并實(shí)現(xiàn)了XSS漏洞檢測(cè)工具的原型系統(tǒng)。為了驗(yàn)證本文所提出的漏洞注入點(diǎn)查找方法和漏洞檢測(cè)方法的有效性,對(duì)原型系統(tǒng)做了真實(shí)的實(shí)驗(yàn)評(píng)估,效果良好。
【關(guān)鍵詞】：跨站腳本漏洞 隱含頁面 漏洞注入點(diǎn) 漏洞檢測(cè)
【學(xué)位授予單位】：北京工業(yè)大學(xué)
【學(xué)位級(jí)別】：碩士
【學(xué)位授予年份】：2015
【分類號(hào)】：TP393.08

【參考文獻(xiàn)】

中國期刊全文數(shù)據(jù)庫 前1條

1 王強(qiáng);蔡皖東;姚燁;;基于滲透測(cè)試的跨站腳本漏洞檢測(cè)方法研究[J];計(jì)算機(jī)技術(shù)與發(fā)展;2013年03期

  本文關(guān)鍵詞：Web應(yīng)用程序的跨站腳本漏洞檢測(cè)問題的研究，由筆耕文化傳播整理發(fā)布。

本文編號(hào)：327931