上下文敏感XSS漏洞的檢測優(yōu)化
發(fā)布時(shí)間:2022-12-11 11:41
隨著新時(shí)代互聯(lián)網(wǎng)的快速發(fā)展,越來越多網(wǎng)絡(luò)相關(guān)的服務(wù)性產(chǎn)品相繼出現(xiàn)。其中域名管理系統(tǒng)是幫助用戶解決創(chuàng)建網(wǎng)站過程中及后續(xù)管理維護(hù)網(wǎng)站遇到的大部分問題的專業(yè)域名軟件,但由于新通用頂級(jí)域的迅速發(fā)展,在互聯(lián)網(wǎng)市場中此類產(chǎn)品的競爭愈加激烈。深圳某企業(yè)為提升其開發(fā)的域名管理系統(tǒng)在同類產(chǎn)品中的競爭力,決定通過將已有的安全防御體系再升級(jí)來獲得更多的用戶留存率與轉(zhuǎn)化率。在實(shí)現(xiàn)過程中,所在的開發(fā)團(tuán)隊(duì)發(fā)現(xiàn)該域名管理系統(tǒng)存在上下文敏感XSS漏洞(Content Sensitive XSS Flaws,縮寫CSXF)可能性。但現(xiàn)今沒有能適用于該系統(tǒng)開發(fā)框架且能有效檢測出上下文敏感XSS漏洞的檢測工具或方法,針對(duì)此問題,本文提出了一種可在該域名管理系統(tǒng)中有效檢測出上下文敏感XSS漏洞的檢測機(jī)制。本文結(jié)合動(dòng)態(tài)追蹤污點(diǎn)技術(shù)、正則表達(dá)式、Vue內(nèi)部渲染過程等技術(shù)知識(shí),分改進(jìn)的動(dòng)態(tài)追蹤模塊、模型瀏覽器和對(duì)比判定模塊三大部分來設(shè)計(jì)實(shí)現(xiàn)上下文敏感XSS漏洞檢測機(jī)制。其中改進(jìn)的動(dòng)態(tài)追蹤模塊是先使用常見的XSS攻擊特征和正則表達(dá)式對(duì)外界不可信數(shù)據(jù)進(jìn)行預(yù)處理后,再全程動(dòng)態(tài)追蹤污點(diǎn)數(shù)據(jù)并記錄數(shù)據(jù)信息及過濾器相關(guān)信息;模型瀏覽器是在域名...
【文章頁數(shù)】:81 頁
【學(xué)位級(jí)別】:碩士
【文章目錄】:
摘要
ABSTRACT
第1章 緒論
1.1 研究背景及意義
1.2 國內(nèi)外研究現(xiàn)狀
1.2.1 國內(nèi)研究現(xiàn)狀
1.2.2 國外研究現(xiàn)狀
1.3 擬解決的關(guān)鍵問題和技術(shù)特色
1.4 研究內(nèi)容與論文組織結(jié)構(gòu)
第2章 相關(guān)技術(shù)介紹
2.1 上下文敏感的XSS漏洞
2.2 動(dòng)態(tài)污點(diǎn)追蹤技術(shù)
2.3 正則表達(dá)式
2.4 瀏覽器渲染過程
2.5 響應(yīng)式原理
2.6 VUE內(nèi)部渲染過程
2.6.1 渲染流程
2.6.2 AST樹
2.6.3 Virtual DOM
2.7 本章小結(jié)
第3章 上下文敏感XSS漏洞檢測機(jī)制設(shè)計(jì)
3.1 檢測機(jī)制結(jié)構(gòu)設(shè)計(jì)
3.2 改進(jìn)的動(dòng)態(tài)追蹤模塊
3.2.1 數(shù)據(jù)預(yù)處理
3.2.2 改進(jìn)的動(dòng)態(tài)追蹤算法設(shè)計(jì)
3.3 模型瀏覽器
3.4 對(duì)比判定模塊
3.5 本章小結(jié)
第4章 CSXF檢測機(jī)制與域名管理系統(tǒng)的結(jié)合設(shè)計(jì)
4.1 系統(tǒng)需求分析與框架設(shè)計(jì)
4.1.1 需求分析
4.1.2 系統(tǒng)框架設(shè)計(jì)
4.2 系統(tǒng)安全防御設(shè)計(jì)
4.2.1 身份認(rèn)證設(shè)計(jì)
4.2.2 DDOS防御設(shè)計(jì)
4.3 系統(tǒng)防御與CSXF檢測機(jī)制的結(jié)合
4.3.1 XSS防御設(shè)計(jì)
4.3.2 XSS防御與CSXF檢測機(jī)制的結(jié)合
4.4 本章小結(jié)
第5章 CSXF檢測機(jī)制在域名管理系統(tǒng)中的實(shí)現(xiàn)及測試
5.1 域名管理系統(tǒng)實(shí)現(xiàn)
5.1.1 系統(tǒng)實(shí)現(xiàn)框架
5.1.2 系統(tǒng)功能實(shí)現(xiàn)
5.2 CSXF檢測機(jī)制實(shí)現(xiàn)
5.2.1 過濾器實(shí)現(xiàn)
5.2.2 改進(jìn)的動(dòng)態(tài)追蹤實(shí)現(xiàn)
5.2.3 模型瀏覽器實(shí)現(xiàn)
5.3 CSXF檢測機(jī)制測試
5.6.1 功能性驗(yàn)證
5.6.2 性能測試
5.4 本章小結(jié)
第6章 總結(jié)和展望
6.1 全文總結(jié)
6.2 工作展望
參考文獻(xiàn)
致謝
研究生階段取得的成果
【參考文獻(xiàn)】:
期刊論文
[1]ERP系統(tǒng)中基于websocket協(xié)議的實(shí)時(shí)通訊機(jī)制的設(shè)計(jì)與實(shí)現(xiàn)[J]. 李翔. 數(shù)字通信世界. 2020(02)
[2]基于nodejs的校園智能視頻監(jiān)控系統(tǒng)設(shè)計(jì)和實(shí)現(xiàn)[J]. 何錫浩,單玉剛. 電腦知識(shí)與技術(shù). 2019(36)
[3]數(shù)據(jù)的可視化傳播路徑選擇[J]. 張剛,呂華遠(yuǎn). 青年記者. 2019(32)
[4]MVVM設(shè)計(jì)模式的前端應(yīng)用[J]. 鄧成,孫書會(huì). 電腦知識(shí)與技術(shù). 2019(29)
[5]污點(diǎn)分析技術(shù)研究綜述[J]. 任玉柱,張有為,艾成煒. 計(jì)算機(jī)應(yīng)用. 2019(08)
[6]基于動(dòng)態(tài)分析的XSS漏洞檢測模型[J]. 谷家騰,辛陽. 計(jì)算機(jī)工程. 2018(10)
[7]基于EBNF和二次爬取策略的XSS漏洞檢測技術(shù)[J]. 黃文鋒,李曉偉,霍占強(qiáng). 計(jì)算機(jī)應(yīng)用研究. 2019(08)
[8]CC攻擊的原理與防御[J]. 劉京義. 網(wǎng)絡(luò)安全和信息化. 2017(12)
[9]一種基于Cookie的跨域單點(diǎn)登錄方案設(shè)計(jì)[J]. 郭豪,王國才,羅聘. 計(jì)算機(jī)工程與科學(xué). 2017(07)
[10]基于Dom Diff算法分析React刷新機(jī)制[J]. 嚴(yán)新巧,白俊峰. 電腦知識(shí)與技術(shù). 2017(18)
碩士論文
[1]基于攻擊向量自動(dòng)生成的XSS漏洞檢測系統(tǒng)的研究與設(shè)計(jì)[D]. 馮亦彤.北京郵電大學(xué) 2019
[2]發(fā)布者/訂閱者通信機(jī)制的研究與實(shí)現(xiàn)[D]. 劉旭軍.中國科學(xué)院研究生院(沈陽計(jì)算技術(shù)研究所) 2010
本文編號(hào):3718717
【文章頁數(shù)】:81 頁
【學(xué)位級(jí)別】:碩士
【文章目錄】:
摘要
ABSTRACT
第1章 緒論
1.1 研究背景及意義
1.2 國內(nèi)外研究現(xiàn)狀
1.2.1 國內(nèi)研究現(xiàn)狀
1.2.2 國外研究現(xiàn)狀
1.3 擬解決的關(guān)鍵問題和技術(shù)特色
1.4 研究內(nèi)容與論文組織結(jié)構(gòu)
第2章 相關(guān)技術(shù)介紹
2.1 上下文敏感的XSS漏洞
2.2 動(dòng)態(tài)污點(diǎn)追蹤技術(shù)
2.3 正則表達(dá)式
2.4 瀏覽器渲染過程
2.5 響應(yīng)式原理
2.6 VUE內(nèi)部渲染過程
2.6.1 渲染流程
2.6.2 AST樹
2.6.3 Virtual DOM
2.7 本章小結(jié)
第3章 上下文敏感XSS漏洞檢測機(jī)制設(shè)計(jì)
3.1 檢測機(jī)制結(jié)構(gòu)設(shè)計(jì)
3.2 改進(jìn)的動(dòng)態(tài)追蹤模塊
3.2.1 數(shù)據(jù)預(yù)處理
3.2.2 改進(jìn)的動(dòng)態(tài)追蹤算法設(shè)計(jì)
3.3 模型瀏覽器
3.4 對(duì)比判定模塊
3.5 本章小結(jié)
第4章 CSXF檢測機(jī)制與域名管理系統(tǒng)的結(jié)合設(shè)計(jì)
4.1 系統(tǒng)需求分析與框架設(shè)計(jì)
4.1.1 需求分析
4.1.2 系統(tǒng)框架設(shè)計(jì)
4.2 系統(tǒng)安全防御設(shè)計(jì)
4.2.1 身份認(rèn)證設(shè)計(jì)
4.2.2 DDOS防御設(shè)計(jì)
4.3 系統(tǒng)防御與CSXF檢測機(jī)制的結(jié)合
4.3.1 XSS防御設(shè)計(jì)
4.3.2 XSS防御與CSXF檢測機(jī)制的結(jié)合
4.4 本章小結(jié)
第5章 CSXF檢測機(jī)制在域名管理系統(tǒng)中的實(shí)現(xiàn)及測試
5.1 域名管理系統(tǒng)實(shí)現(xiàn)
5.1.1 系統(tǒng)實(shí)現(xiàn)框架
5.1.2 系統(tǒng)功能實(shí)現(xiàn)
5.2 CSXF檢測機(jī)制實(shí)現(xiàn)
5.2.1 過濾器實(shí)現(xiàn)
5.2.2 改進(jìn)的動(dòng)態(tài)追蹤實(shí)現(xiàn)
5.2.3 模型瀏覽器實(shí)現(xiàn)
5.3 CSXF檢測機(jī)制測試
5.6.1 功能性驗(yàn)證
5.6.2 性能測試
5.4 本章小結(jié)
第6章 總結(jié)和展望
6.1 全文總結(jié)
6.2 工作展望
參考文獻(xiàn)
致謝
研究生階段取得的成果
【參考文獻(xiàn)】:
期刊論文
[1]ERP系統(tǒng)中基于websocket協(xié)議的實(shí)時(shí)通訊機(jī)制的設(shè)計(jì)與實(shí)現(xiàn)[J]. 李翔. 數(shù)字通信世界. 2020(02)
[2]基于nodejs的校園智能視頻監(jiān)控系統(tǒng)設(shè)計(jì)和實(shí)現(xiàn)[J]. 何錫浩,單玉剛. 電腦知識(shí)與技術(shù). 2019(36)
[3]數(shù)據(jù)的可視化傳播路徑選擇[J]. 張剛,呂華遠(yuǎn). 青年記者. 2019(32)
[4]MVVM設(shè)計(jì)模式的前端應(yīng)用[J]. 鄧成,孫書會(huì). 電腦知識(shí)與技術(shù). 2019(29)
[5]污點(diǎn)分析技術(shù)研究綜述[J]. 任玉柱,張有為,艾成煒. 計(jì)算機(jī)應(yīng)用. 2019(08)
[6]基于動(dòng)態(tài)分析的XSS漏洞檢測模型[J]. 谷家騰,辛陽. 計(jì)算機(jī)工程. 2018(10)
[7]基于EBNF和二次爬取策略的XSS漏洞檢測技術(shù)[J]. 黃文鋒,李曉偉,霍占強(qiáng). 計(jì)算機(jī)應(yīng)用研究. 2019(08)
[8]CC攻擊的原理與防御[J]. 劉京義. 網(wǎng)絡(luò)安全和信息化. 2017(12)
[9]一種基于Cookie的跨域單點(diǎn)登錄方案設(shè)計(jì)[J]. 郭豪,王國才,羅聘. 計(jì)算機(jī)工程與科學(xué). 2017(07)
[10]基于Dom Diff算法分析React刷新機(jī)制[J]. 嚴(yán)新巧,白俊峰. 電腦知識(shí)與技術(shù). 2017(18)
碩士論文
[1]基于攻擊向量自動(dòng)生成的XSS漏洞檢測系統(tǒng)的研究與設(shè)計(jì)[D]. 馮亦彤.北京郵電大學(xué) 2019
[2]發(fā)布者/訂閱者通信機(jī)制的研究與實(shí)現(xiàn)[D]. 劉旭軍.中國科學(xué)院研究生院(沈陽計(jì)算技術(shù)研究所) 2010
本文編號(hào):3718717
本文鏈接:http://sikaile.net/guanlilunwen/ydhl/3718717.html
最近更新
教材專著
