跨站腳本攻擊特性分析和防御技術(shù)研究
發(fā)布時(shí)間:2023-05-13 04:30
早期的Web給用戶提供的功能僅僅是信息的展示,用戶能做的只是選擇瀏覽哪些頁(yè)面,缺少與服務(wù)器的交互。隨后,在Web2.0概念的廣泛影響下,Web站點(diǎn)提供的服務(wù)內(nèi)容和服務(wù)方式有了翻天覆地的變化,與早期單一的信息展示相比,如今的網(wǎng)絡(luò)應(yīng)用更加注重用戶的體驗(yàn)和與用戶的交流,用戶可以提交輸入數(shù)據(jù)甚至影響網(wǎng)站數(shù)據(jù)庫(kù)中的內(nèi)容。如果對(duì)這些用戶的輸入沒有進(jìn)行足夠的檢查和過濾,就有可能存在跨站腳本漏洞�?缯韭┒创嬖诘母驹蚴菍�(duì)用戶輸入缺乏充分的檢查和過濾,而跨站攻擊實(shí)現(xiàn)的根本途徑是惡意代碼經(jīng)過混淆、偽造等掩飾手段成功躲避過防御系統(tǒng)。針對(duì)上述問題,本文開展了以下研發(fā)工作:1、實(shí)現(xiàn)了一個(gè)針對(duì)跨站腳本攻擊的協(xié)同檢測(cè)和防御系統(tǒng),從檢測(cè)和防御兩方面入手:檢測(cè)模塊在用戶發(fā)出頁(yè)面請(qǐng)求時(shí),通過動(dòng)態(tài)測(cè)試方式模擬攻擊行為,檢測(cè)可能存在的跨站漏洞,驗(yàn)證網(wǎng)站脆弱性,完善網(wǎng)站服務(wù)器對(duì)用戶的輸入驗(yàn)證;防御模塊在服務(wù)器端使用分離策略和標(biāo)記算法將Web頁(yè)面中的非信任內(nèi)容進(jìn)行分離,同時(shí)在客戶端引入末端限制和混淆代碼檢測(cè)等手段對(duì)標(biāo)記出的非信任內(nèi)容進(jìn)行分析和檢測(cè),協(xié)同完成跨站腳本防御工作。2、現(xiàn)階段的協(xié)同系統(tǒng)對(duì)跨站腳本攻擊的防御往往過分依賴服...
【文章頁(yè)數(shù)】:83 頁(yè)
【學(xué)位級(jí)別】:碩士
【文章目錄】:
摘要
ABSTRACT
第一章 緒論
1.1 課題背景
1.2 研究概況
1.3 論文組織
1.4 論文研究?jī)?nèi)容
第二章 跨站腳本攻防概述
2.1 Ajax
2.2 跨站腳本攻擊
2.2.1 跨站腳本攻擊的種類
2.2.2 跨站腳本攻擊的方式
2.2.3 攻擊嚴(yán)重性
2.3 跨站腳本防御
2.3.1 服務(wù)器端防御
2.3.2 客戶端防御
2.3.3 服務(wù)器端與客戶端協(xié)同防御
2.4 不同防御策略的效果對(duì)比
2.5 本章小結(jié)
第三章 協(xié)同檢測(cè)和防御系統(tǒng)核心技術(shù)
3.1 模板引擎機(jī)制
3.2 代碼分離技術(shù)
3.3 混淆JS代碼的檢測(cè)技術(shù)
3.4 頁(yè)面漏洞檢測(cè)技術(shù)
3.5 基于Fuzzing的頁(yè)面漏洞檢測(cè)技術(shù)
3.5.1 Fuzzing概述
3.5.2 Fuzzing漏洞檢測(cè)技術(shù)局限性
3.5.3 Fuzzing漏洞檢測(cè)技術(shù)的改進(jìn)
3.5.3.1 Fuzzing技術(shù)的使用和研究現(xiàn)狀
3.5.3.2 頁(yè)面漏洞特點(diǎn)分析
3.5.3.3 本文對(duì)Fuzzing技術(shù)的改進(jìn)
3.6 本章總結(jié)
第四章 協(xié)同檢測(cè)和防御系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)
4.1 系統(tǒng)概述
4.2 服務(wù)器端的設(shè)計(jì)與實(shí)現(xiàn)
4.2.1 模板引擎擴(kuò)展
4.2.2 非信任內(nèi)容的標(biāo)記規(guī)則
4.2.3 隨機(jī)標(biāo)記算法
4.3 客戶端的設(shè)計(jì)與實(shí)現(xiàn)
4.3.1 HTML文檔末端節(jié)點(diǎn)限制
4.3.2 混淆代碼檢測(cè)
4.3.2.1 監(jiān)控動(dòng)態(tài)執(zhí)行函數(shù)
4.3.2.2 環(huán)境檢測(cè)
4.3.2.3 反檢測(cè)技術(shù)及應(yīng)對(duì)
4.3.2.4 混淆代碼檢測(cè)模塊實(shí)現(xiàn)
4.3.3 Fuzzing模塊的實(shí)現(xiàn)
4.3.3.3 Fuzzing模塊的實(shí)現(xiàn)
4.3.3.4 改進(jìn)效果驗(yàn)證
4.4 本章總結(jié)
第五章 系統(tǒng)測(cè)試
5.1 Fuzzing模塊的測(cè)試
5.1.1 測(cè)試環(huán)境
5.1.2 測(cè)試的內(nèi)容
5.1.3 測(cè)試過程
5.1.4 對(duì)比測(cè)試
5.2 整體系統(tǒng)測(cè)試
5.2.1 測(cè)試環(huán)境
5.2.2 測(cè)試過程
5.2.3 性能分析
5.3 本章總結(jié)
第六章 總結(jié)與展望
6.1 本文所做的工作
6.2 下一步的工作
致謝
參考文獻(xiàn)
本文編號(hào):3815306
【文章頁(yè)數(shù)】:83 頁(yè)
【學(xué)位級(jí)別】:碩士
【文章目錄】:
摘要
ABSTRACT
第一章 緒論
1.1 課題背景
1.2 研究概況
1.3 論文組織
1.4 論文研究?jī)?nèi)容
第二章 跨站腳本攻防概述
2.1 Ajax
2.2 跨站腳本攻擊
2.2.1 跨站腳本攻擊的種類
2.2.2 跨站腳本攻擊的方式
2.2.3 攻擊嚴(yán)重性
2.3 跨站腳本防御
2.3.1 服務(wù)器端防御
2.3.2 客戶端防御
2.3.3 服務(wù)器端與客戶端協(xié)同防御
2.4 不同防御策略的效果對(duì)比
2.5 本章小結(jié)
第三章 協(xié)同檢測(cè)和防御系統(tǒng)核心技術(shù)
3.1 模板引擎機(jī)制
3.2 代碼分離技術(shù)
3.3 混淆JS代碼的檢測(cè)技術(shù)
3.4 頁(yè)面漏洞檢測(cè)技術(shù)
3.5 基于Fuzzing的頁(yè)面漏洞檢測(cè)技術(shù)
3.5.1 Fuzzing概述
3.5.2 Fuzzing漏洞檢測(cè)技術(shù)局限性
3.5.3 Fuzzing漏洞檢測(cè)技術(shù)的改進(jìn)
3.5.3.1 Fuzzing技術(shù)的使用和研究現(xiàn)狀
3.5.3.2 頁(yè)面漏洞特點(diǎn)分析
3.5.3.3 本文對(duì)Fuzzing技術(shù)的改進(jìn)
3.6 本章總結(jié)
第四章 協(xié)同檢測(cè)和防御系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)
4.1 系統(tǒng)概述
4.2 服務(wù)器端的設(shè)計(jì)與實(shí)現(xiàn)
4.2.1 模板引擎擴(kuò)展
4.2.2 非信任內(nèi)容的標(biāo)記規(guī)則
4.2.3 隨機(jī)標(biāo)記算法
4.3 客戶端的設(shè)計(jì)與實(shí)現(xiàn)
4.3.1 HTML文檔末端節(jié)點(diǎn)限制
4.3.2 混淆代碼檢測(cè)
4.3.2.1 監(jiān)控動(dòng)態(tài)執(zhí)行函數(shù)
4.3.2.2 環(huán)境檢測(cè)
4.3.2.3 反檢測(cè)技術(shù)及應(yīng)對(duì)
4.3.2.4 混淆代碼檢測(cè)模塊實(shí)現(xiàn)
4.3.3 Fuzzing模塊的實(shí)現(xiàn)
4.3.3.3 Fuzzing模塊的實(shí)現(xiàn)
4.3.3.4 改進(jìn)效果驗(yàn)證
4.4 本章總結(jié)
第五章 系統(tǒng)測(cè)試
5.1 Fuzzing模塊的測(cè)試
5.1.1 測(cè)試環(huán)境
5.1.2 測(cè)試的內(nèi)容
5.1.3 測(cè)試過程
5.1.4 對(duì)比測(cè)試
5.2 整體系統(tǒng)測(cè)試
5.2.1 測(cè)試環(huán)境
5.2.2 測(cè)試過程
5.2.3 性能分析
5.3 本章總結(jié)
第六章 總結(jié)與展望
6.1 本文所做的工作
6.2 下一步的工作
致謝
參考文獻(xiàn)
本文編號(hào):3815306
本文鏈接:http://sikaile.net/guanlilunwen/ydhl/3815306.html
最近更新
教材專著
