上下文敏感XSS漏洞的檢測優(yōu)化
發(fā)布時間:2022-12-11 11:41
隨著新時代互聯(lián)網(wǎng)的快速發(fā)展,越來越多網(wǎng)絡(luò)相關(guān)的服務(wù)性產(chǎn)品相繼出現(xiàn)。其中域名管理系統(tǒng)是幫助用戶解決創(chuàng)建網(wǎng)站過程中及后續(xù)管理維護(hù)網(wǎng)站遇到的大部分問題的專業(yè)域名軟件,但由于新通用頂級域的迅速發(fā)展,在互聯(lián)網(wǎng)市場中此類產(chǎn)品的競爭愈加激烈。深圳某企業(yè)為提升其開發(fā)的域名管理系統(tǒng)在同類產(chǎn)品中的競爭力,決定通過將已有的安全防御體系再升級來獲得更多的用戶留存率與轉(zhuǎn)化率。在實現(xiàn)過程中,所在的開發(fā)團(tuán)隊發(fā)現(xiàn)該域名管理系統(tǒng)存在上下文敏感XSS漏洞(Content Sensitive XSS Flaws,縮寫CSXF)可能性。但現(xiàn)今沒有能適用于該系統(tǒng)開發(fā)框架且能有效檢測出上下文敏感XSS漏洞的檢測工具或方法,針對此問題,本文提出了一種可在該域名管理系統(tǒng)中有效檢測出上下文敏感XSS漏洞的檢測機(jī)制。本文結(jié)合動態(tài)追蹤污點(diǎn)技術(shù)、正則表達(dá)式、Vue內(nèi)部渲染過程等技術(shù)知識,分改進(jìn)的動態(tài)追蹤模塊、模型瀏覽器和對比判定模塊三大部分來設(shè)計實現(xiàn)上下文敏感XSS漏洞檢測機(jī)制。其中改進(jìn)的動態(tài)追蹤模塊是先使用常見的XSS攻擊特征和正則表達(dá)式對外界不可信數(shù)據(jù)進(jìn)行預(yù)處理后,再全程動態(tài)追蹤污點(diǎn)數(shù)據(jù)并記錄數(shù)據(jù)信息及過濾器相關(guān)信息;模型瀏覽器是在域名...
【文章頁數(shù)】:81 頁
【學(xué)位級別】:碩士
【文章目錄】:
摘要
ABSTRACT
第1章 緒論
1.1 研究背景及意義
1.2 國內(nèi)外研究現(xiàn)狀
1.2.1 國內(nèi)研究現(xiàn)狀
1.2.2 國外研究現(xiàn)狀
1.3 擬解決的關(guān)鍵問題和技術(shù)特色
1.4 研究內(nèi)容與論文組織結(jié)構(gòu)
第2章 相關(guān)技術(shù)介紹
2.1 上下文敏感的XSS漏洞
2.2 動態(tài)污點(diǎn)追蹤技術(shù)
2.3 正則表達(dá)式
2.4 瀏覽器渲染過程
2.5 響應(yīng)式原理
2.6 VUE內(nèi)部渲染過程
2.6.1 渲染流程
2.6.2 AST樹
2.6.3 Virtual DOM
2.7 本章小結(jié)
第3章 上下文敏感XSS漏洞檢測機(jī)制設(shè)計
3.1 檢測機(jī)制結(jié)構(gòu)設(shè)計
3.2 改進(jìn)的動態(tài)追蹤模塊
3.2.1 數(shù)據(jù)預(yù)處理
3.2.2 改進(jìn)的動態(tài)追蹤算法設(shè)計
3.3 模型瀏覽器
3.4 對比判定模塊
3.5 本章小結(jié)
第4章 CSXF檢測機(jī)制與域名管理系統(tǒng)的結(jié)合設(shè)計
4.1 系統(tǒng)需求分析與框架設(shè)計
4.1.1 需求分析
4.1.2 系統(tǒng)框架設(shè)計
4.2 系統(tǒng)安全防御設(shè)計
4.2.1 身份認(rèn)證設(shè)計
4.2.2 DDOS防御設(shè)計
4.3 系統(tǒng)防御與CSXF檢測機(jī)制的結(jié)合
4.3.1 XSS防御設(shè)計
4.3.2 XSS防御與CSXF檢測機(jī)制的結(jié)合
4.4 本章小結(jié)
第5章 CSXF檢測機(jī)制在域名管理系統(tǒng)中的實現(xiàn)及測試
5.1 域名管理系統(tǒng)實現(xiàn)
5.1.1 系統(tǒng)實現(xiàn)框架
5.1.2 系統(tǒng)功能實現(xiàn)
5.2 CSXF檢測機(jī)制實現(xiàn)
5.2.1 過濾器實現(xiàn)
5.2.2 改進(jìn)的動態(tài)追蹤實現(xiàn)
5.2.3 模型瀏覽器實現(xiàn)
5.3 CSXF檢測機(jī)制測試
5.6.1 功能性驗證
5.6.2 性能測試
5.4 本章小結(jié)
第6章 總結(jié)和展望
6.1 全文總結(jié)
6.2 工作展望
參考文獻(xiàn)
致謝
研究生階段取得的成果
【參考文獻(xiàn)】:
期刊論文
[1]ERP系統(tǒng)中基于websocket協(xié)議的實時通訊機(jī)制的設(shè)計與實現(xiàn)[J]. 李翔. 數(shù)字通信世界. 2020(02)
[2]基于nodejs的校園智能視頻監(jiān)控系統(tǒng)設(shè)計和實現(xiàn)[J]. 何錫浩,單玉剛. 電腦知識與技術(shù). 2019(36)
[3]數(shù)據(jù)的可視化傳播路徑選擇[J]. 張剛,呂華遠(yuǎn). 青年記者. 2019(32)
[4]MVVM設(shè)計模式的前端應(yīng)用[J]. 鄧成,孫書會. 電腦知識與技術(shù). 2019(29)
[5]污點(diǎn)分析技術(shù)研究綜述[J]. 任玉柱,張有為,艾成煒. 計算機(jī)應(yīng)用. 2019(08)
[6]基于動態(tài)分析的XSS漏洞檢測模型[J]. 谷家騰,辛陽. 計算機(jī)工程. 2018(10)
[7]基于EBNF和二次爬取策略的XSS漏洞檢測技術(shù)[J]. 黃文鋒,李曉偉,霍占強(qiáng). 計算機(jī)應(yīng)用研究. 2019(08)
[8]CC攻擊的原理與防御[J]. 劉京義. 網(wǎng)絡(luò)安全和信息化. 2017(12)
[9]一種基于Cookie的跨域單點(diǎn)登錄方案設(shè)計[J]. 郭豪,王國才,羅聘. 計算機(jī)工程與科學(xué). 2017(07)
[10]基于Dom Diff算法分析React刷新機(jī)制[J]. 嚴(yán)新巧,白俊峰. 電腦知識與技術(shù). 2017(18)
碩士論文
[1]基于攻擊向量自動生成的XSS漏洞檢測系統(tǒng)的研究與設(shè)計[D]. 馮亦彤.北京郵電大學(xué) 2019
[2]發(fā)布者/訂閱者通信機(jī)制的研究與實現(xiàn)[D]. 劉旭軍.中國科學(xué)院研究生院(沈陽計算技術(shù)研究所) 2010
本文編號:3718717
【文章頁數(shù)】:81 頁
【學(xué)位級別】:碩士
【文章目錄】:
摘要
ABSTRACT
第1章 緒論
1.1 研究背景及意義
1.2 國內(nèi)外研究現(xiàn)狀
1.2.1 國內(nèi)研究現(xiàn)狀
1.2.2 國外研究現(xiàn)狀
1.3 擬解決的關(guān)鍵問題和技術(shù)特色
1.4 研究內(nèi)容與論文組織結(jié)構(gòu)
第2章 相關(guān)技術(shù)介紹
2.1 上下文敏感的XSS漏洞
2.2 動態(tài)污點(diǎn)追蹤技術(shù)
2.3 正則表達(dá)式
2.4 瀏覽器渲染過程
2.5 響應(yīng)式原理
2.6 VUE內(nèi)部渲染過程
2.6.1 渲染流程
2.6.2 AST樹
2.6.3 Virtual DOM
2.7 本章小結(jié)
第3章 上下文敏感XSS漏洞檢測機(jī)制設(shè)計
3.1 檢測機(jī)制結(jié)構(gòu)設(shè)計
3.2 改進(jìn)的動態(tài)追蹤模塊
3.2.1 數(shù)據(jù)預(yù)處理
3.2.2 改進(jìn)的動態(tài)追蹤算法設(shè)計
3.3 模型瀏覽器
3.4 對比判定模塊
3.5 本章小結(jié)
第4章 CSXF檢測機(jī)制與域名管理系統(tǒng)的結(jié)合設(shè)計
4.1 系統(tǒng)需求分析與框架設(shè)計
4.1.1 需求分析
4.1.2 系統(tǒng)框架設(shè)計
4.2 系統(tǒng)安全防御設(shè)計
4.2.1 身份認(rèn)證設(shè)計
4.2.2 DDOS防御設(shè)計
4.3 系統(tǒng)防御與CSXF檢測機(jī)制的結(jié)合
4.3.1 XSS防御設(shè)計
4.3.2 XSS防御與CSXF檢測機(jī)制的結(jié)合
4.4 本章小結(jié)
第5章 CSXF檢測機(jī)制在域名管理系統(tǒng)中的實現(xiàn)及測試
5.1 域名管理系統(tǒng)實現(xiàn)
5.1.1 系統(tǒng)實現(xiàn)框架
5.1.2 系統(tǒng)功能實現(xiàn)
5.2 CSXF檢測機(jī)制實現(xiàn)
5.2.1 過濾器實現(xiàn)
5.2.2 改進(jìn)的動態(tài)追蹤實現(xiàn)
5.2.3 模型瀏覽器實現(xiàn)
5.3 CSXF檢測機(jī)制測試
5.6.1 功能性驗證
5.6.2 性能測試
5.4 本章小結(jié)
第6章 總結(jié)和展望
6.1 全文總結(jié)
6.2 工作展望
參考文獻(xiàn)
致謝
研究生階段取得的成果
【參考文獻(xiàn)】:
期刊論文
[1]ERP系統(tǒng)中基于websocket協(xié)議的實時通訊機(jī)制的設(shè)計與實現(xiàn)[J]. 李翔. 數(shù)字通信世界. 2020(02)
[2]基于nodejs的校園智能視頻監(jiān)控系統(tǒng)設(shè)計和實現(xiàn)[J]. 何錫浩,單玉剛. 電腦知識與技術(shù). 2019(36)
[3]數(shù)據(jù)的可視化傳播路徑選擇[J]. 張剛,呂華遠(yuǎn). 青年記者. 2019(32)
[4]MVVM設(shè)計模式的前端應(yīng)用[J]. 鄧成,孫書會. 電腦知識與技術(shù). 2019(29)
[5]污點(diǎn)分析技術(shù)研究綜述[J]. 任玉柱,張有為,艾成煒. 計算機(jī)應(yīng)用. 2019(08)
[6]基于動態(tài)分析的XSS漏洞檢測模型[J]. 谷家騰,辛陽. 計算機(jī)工程. 2018(10)
[7]基于EBNF和二次爬取策略的XSS漏洞檢測技術(shù)[J]. 黃文鋒,李曉偉,霍占強(qiáng). 計算機(jī)應(yīng)用研究. 2019(08)
[8]CC攻擊的原理與防御[J]. 劉京義. 網(wǎng)絡(luò)安全和信息化. 2017(12)
[9]一種基于Cookie的跨域單點(diǎn)登錄方案設(shè)計[J]. 郭豪,王國才,羅聘. 計算機(jī)工程與科學(xué). 2017(07)
[10]基于Dom Diff算法分析React刷新機(jī)制[J]. 嚴(yán)新巧,白俊峰. 電腦知識與技術(shù). 2017(18)
碩士論文
[1]基于攻擊向量自動生成的XSS漏洞檢測系統(tǒng)的研究與設(shè)計[D]. 馮亦彤.北京郵電大學(xué) 2019
[2]發(fā)布者/訂閱者通信機(jī)制的研究與實現(xiàn)[D]. 劉旭軍.中國科學(xué)院研究生院(沈陽計算技術(shù)研究所) 2010
本文編號:3718717
本文鏈接:http://sikaile.net/guanlilunwen/ydhl/3718717.html
最近更新
教材專著
