跨站腳本攻擊特性分析和防御技術(shù)研究
發(fā)布時間:2023-05-13 04:30
早期的Web給用戶提供的功能僅僅是信息的展示,用戶能做的只是選擇瀏覽哪些頁面,缺少與服務器的交互。隨后,在Web2.0概念的廣泛影響下,Web站點提供的服務內(nèi)容和服務方式有了翻天覆地的變化,與早期單一的信息展示相比,如今的網(wǎng)絡(luò)應用更加注重用戶的體驗和與用戶的交流,用戶可以提交輸入數(shù)據(jù)甚至影響網(wǎng)站數(shù)據(jù)庫中的內(nèi)容。如果對這些用戶的輸入沒有進行足夠的檢查和過濾,就有可能存在跨站腳本漏洞?缯韭┒创嬖诘母驹蚴菍τ脩糨斎肴狈Τ浞值臋z查和過濾,而跨站攻擊實現(xiàn)的根本途徑是惡意代碼經(jīng)過混淆、偽造等掩飾手段成功躲避過防御系統(tǒng)。針對上述問題,本文開展了以下研發(fā)工作:1、實現(xiàn)了一個針對跨站腳本攻擊的協(xié)同檢測和防御系統(tǒng),從檢測和防御兩方面入手:檢測模塊在用戶發(fā)出頁面請求時,通過動態(tài)測試方式模擬攻擊行為,檢測可能存在的跨站漏洞,驗證網(wǎng)站脆弱性,完善網(wǎng)站服務器對用戶的輸入驗證;防御模塊在服務器端使用分離策略和標記算法將Web頁面中的非信任內(nèi)容進行分離,同時在客戶端引入末端限制和混淆代碼檢測等手段對標記出的非信任內(nèi)容進行分析和檢測,協(xié)同完成跨站腳本防御工作。2、現(xiàn)階段的協(xié)同系統(tǒng)對跨站腳本攻擊的防御往往過分依賴服...
【文章頁數(shù)】:83 頁
【學位級別】:碩士
【文章目錄】:
摘要
ABSTRACT
第一章 緒論
1.1 課題背景
1.2 研究概況
1.3 論文組織
1.4 論文研究內(nèi)容
第二章 跨站腳本攻防概述
2.1 Ajax
2.2 跨站腳本攻擊
2.2.1 跨站腳本攻擊的種類
2.2.2 跨站腳本攻擊的方式
2.2.3 攻擊嚴重性
2.3 跨站腳本防御
2.3.1 服務器端防御
2.3.2 客戶端防御
2.3.3 服務器端與客戶端協(xié)同防御
2.4 不同防御策略的效果對比
2.5 本章小結(jié)
第三章 協(xié)同檢測和防御系統(tǒng)核心技術(shù)
3.1 模板引擎機制
3.2 代碼分離技術(shù)
3.3 混淆JS代碼的檢測技術(shù)
3.4 頁面漏洞檢測技術(shù)
3.5 基于Fuzzing的頁面漏洞檢測技術(shù)
3.5.1 Fuzzing概述
3.5.2 Fuzzing漏洞檢測技術(shù)局限性
3.5.3 Fuzzing漏洞檢測技術(shù)的改進
3.5.3.1 Fuzzing技術(shù)的使用和研究現(xiàn)狀
3.5.3.2 頁面漏洞特點分析
3.5.3.3 本文對Fuzzing技術(shù)的改進
3.6 本章總結(jié)
第四章 協(xié)同檢測和防御系統(tǒng)的設(shè)計與實現(xiàn)
4.1 系統(tǒng)概述
4.2 服務器端的設(shè)計與實現(xiàn)
4.2.1 模板引擎擴展
4.2.2 非信任內(nèi)容的標記規(guī)則
4.2.3 隨機標記算法
4.3 客戶端的設(shè)計與實現(xiàn)
4.3.1 HTML文檔末端節(jié)點限制
4.3.2 混淆代碼檢測
4.3.2.1 監(jiān)控動態(tài)執(zhí)行函數(shù)
4.3.2.2 環(huán)境檢測
4.3.2.3 反檢測技術(shù)及應對
4.3.2.4 混淆代碼檢測模塊實現(xiàn)
4.3.3 Fuzzing模塊的實現(xiàn)
4.3.3.3 Fuzzing模塊的實現(xiàn)
4.3.3.4 改進效果驗證
4.4 本章總結(jié)
第五章 系統(tǒng)測試
5.1 Fuzzing模塊的測試
5.1.1 測試環(huán)境
5.1.2 測試的內(nèi)容
5.1.3 測試過程
5.1.4 對比測試
5.2 整體系統(tǒng)測試
5.2.1 測試環(huán)境
5.2.2 測試過程
5.2.3 性能分析
5.3 本章總結(jié)
第六章 總結(jié)與展望
6.1 本文所做的工作
6.2 下一步的工作
致謝
參考文獻
本文編號:3815306
【文章頁數(shù)】:83 頁
【學位級別】:碩士
【文章目錄】:
摘要
ABSTRACT
第一章 緒論
1.1 課題背景
1.2 研究概況
1.3 論文組織
1.4 論文研究內(nèi)容
第二章 跨站腳本攻防概述
2.1 Ajax
2.2 跨站腳本攻擊
2.2.1 跨站腳本攻擊的種類
2.2.2 跨站腳本攻擊的方式
2.2.3 攻擊嚴重性
2.3 跨站腳本防御
2.3.1 服務器端防御
2.3.2 客戶端防御
2.3.3 服務器端與客戶端協(xié)同防御
2.4 不同防御策略的效果對比
2.5 本章小結(jié)
第三章 協(xié)同檢測和防御系統(tǒng)核心技術(shù)
3.1 模板引擎機制
3.2 代碼分離技術(shù)
3.3 混淆JS代碼的檢測技術(shù)
3.4 頁面漏洞檢測技術(shù)
3.5 基于Fuzzing的頁面漏洞檢測技術(shù)
3.5.1 Fuzzing概述
3.5.2 Fuzzing漏洞檢測技術(shù)局限性
3.5.3 Fuzzing漏洞檢測技術(shù)的改進
3.5.3.1 Fuzzing技術(shù)的使用和研究現(xiàn)狀
3.5.3.2 頁面漏洞特點分析
3.5.3.3 本文對Fuzzing技術(shù)的改進
3.6 本章總結(jié)
第四章 協(xié)同檢測和防御系統(tǒng)的設(shè)計與實現(xiàn)
4.1 系統(tǒng)概述
4.2 服務器端的設(shè)計與實現(xiàn)
4.2.1 模板引擎擴展
4.2.2 非信任內(nèi)容的標記規(guī)則
4.2.3 隨機標記算法
4.3 客戶端的設(shè)計與實現(xiàn)
4.3.1 HTML文檔末端節(jié)點限制
4.3.2 混淆代碼檢測
4.3.2.1 監(jiān)控動態(tài)執(zhí)行函數(shù)
4.3.2.2 環(huán)境檢測
4.3.2.3 反檢測技術(shù)及應對
4.3.2.4 混淆代碼檢測模塊實現(xiàn)
4.3.3 Fuzzing模塊的實現(xiàn)
4.3.3.3 Fuzzing模塊的實現(xiàn)
4.3.3.4 改進效果驗證
4.4 本章總結(jié)
第五章 系統(tǒng)測試
5.1 Fuzzing模塊的測試
5.1.1 測試環(huán)境
5.1.2 測試的內(nèi)容
5.1.3 測試過程
5.1.4 對比測試
5.2 整體系統(tǒng)測試
5.2.1 測試環(huán)境
5.2.2 測試過程
5.2.3 性能分析
5.3 本章總結(jié)
第六章 總結(jié)與展望
6.1 本文所做的工作
6.2 下一步的工作
致謝
參考文獻
本文編號:3815306
本文鏈接:http://sikaile.net/guanlilunwen/ydhl/3815306.html
最近更新
教材專著
