本文關(guān)鍵詞：Flash跨站腳本漏洞挖掘技術(shù)研究

  更多相關(guān)文章： Adobe Flash ActionScript 跨站腳本 安全漏洞 Web安全

【摘要】：Flash引起的跨站腳本攻擊能夠?qū)е掠脩綦[私泄露,嚴重威脅Web安全.有必要對此類漏洞的挖掘技術(shù)進行深入研究,盡早發(fā)現(xiàn)并修復安全隱患.通過分析總結(jié)可以導致XSS(cross-site scripting)漏洞的不安全ActionScript函數(shù),設計并實現(xiàn)了Flash跨站腳本漏洞挖掘工具(flash XSS detector,FXD).它將靜態(tài)分析和動態(tài)測試技術(shù)相結(jié)合,能夠自動地反編譯Flash文件,分析ActionScript文件中包含的危險函數(shù)及對應參數(shù),并通過動態(tài)測試方法加以驗證.通過使用該工具對Alexa Top100站點中的Flash文件進行廣泛的測試,發(fā)現(xiàn)18個站點的48個Flash應用可以導致XSS攻擊.該測試結(jié)果表明了FXD的有效性和先進性.
【作者單位】： 中國科學院大學國家計算機網(wǎng)絡入侵防范中心;綜合業(yè)務網(wǎng)理論及關(guān)鍵技術(shù)國家重點實驗室(西安電子科技大學);
【關(guān)鍵詞】： Adobe Flash ActionScript 跨站腳本 安全漏洞 Web安全
【基金】：國家自然科學基金項目(61303239,61272481) 北京市自然科學基金項目(4122089) 國家發(fā)展和改革委員會2011年信息安全專項項目(發(fā)改辦高技[2012]1424號) 中國科學院大學校長基金項目(Y25102HN00)
【分類號】：TP393.08
【正文快照】： Flash被廣泛用于諸多Web應用中,可以提供作為常見的Web應用安全威脅,黑客能夠利用XSS包括視頻、廣告、動畫等在內(nèi)的多種形式的動態(tài)內(nèi)攻擊獲取受害者的隱私信息(例如Cookies信息,進容.然而,Flash同時也能對Web應用的安全性和可而劫持用戶賬戶).如圖1所示,若example.com子靠性構(gòu)

【參考文獻】

中國期刊全文數(shù)據(jù)庫 前1條

1 陳景峰;王一丁;張玉清;劉奇旭;;存儲型XSS攻擊向量自動化生成技術(shù)[J];中國科學院研究生院學報;2012年06期

【共引文獻】

中國期刊全文數(shù)據(jù)庫 前1條

1 蔣華;徐中原;王鑫;;基于行為的XSS攻擊防范方法[J];計算機工程與設計;2014年06期

【二級參考文獻】

中國期刊全文數(shù)據(jù)庫 前1條

1 陳建青;張玉清;;Web跨站腳本漏洞檢測工具的設計與實現(xiàn)[J];計算機工程;2010年06期

中國碩士學位論文全文數(shù)據(jù)庫 前1條

1 邱勇杰;跨站腳本攻擊與防御技術(shù)研究[D];北京交通大學;2010年

【相似文獻】

中國期刊全文數(shù)據(jù)庫 前10條

1 松下客;我的Flash代碼你別看![J];電腦知識與技術(shù);2003年36期

2 紀宏偉;;基于ActionScript下可查詢成績網(wǎng)頁的開發(fā)實例[J];電腦編程技巧與維護;2011年14期

3 王治文;面向瀏覽器的ActionScript函數(shù)作圖[J];遠程教育雜志;2005年03期

4 智文靜;;全Flash網(wǎng)站的建立[J];集寧師專學報;2007年04期

5 張海黎;鄭為;;設計純Flash網(wǎng)頁與Flash作品的區(qū)別及關(guān)鍵技術(shù)[J];包頭職業(yè)技術(shù)學院學報;2005年04期

6 張金區(qū);王云鵬;;構(gòu)建WebGIS系統(tǒng)的Flash解決方法[J];計算機工程與應用;2010年17期

7 張智;曾誠;;基于RIA技術(shù)的在線試衣間系統(tǒng)的設計[J];計算機技術(shù)與發(fā)展;2011年10期

8 ;遠程Flash技術(shù)[J];個人電腦;2004年02期

9 唐政棟;如何實現(xiàn)Flash數(shù)據(jù)動態(tài)抓取[J];中國傳媒科技;2003年09期

10 毛耀,楊頌華,祖正容,葉海濱;基于Flash的動態(tài)網(wǎng)站新方案[J];西南民族學院學報(自然科學版);2001年03期

中國重要報紙全文數(shù)據(jù)庫 前1條

1 苗得雨;獨家爆料 FlaSh成SNS社區(qū)“炸彈”[N];電腦報;2009年

中國碩士學位論文全文數(shù)據(jù)庫 前10條

1 王世鵬;塔防模塊在ARPG中的設計與實現(xiàn)[D];電子科技大學;2013年

2 陳顯軍;基于Flex的RIA應用與研究[D];電子科技大學;2007年

3 鄧娟;基于RIA技術(shù)的健康服務系統(tǒng)開發(fā)實現(xiàn)[D];電子科技大學;2011年

4 魏傳振;校園虛擬地圖系統(tǒng)的研究與應用[D];中國地質(zhì)大學（北京）;2011年

5 劉小珍;基于AVM2逃逸的漏洞挖掘技術(shù)研究及防范[D];四川師范大學;2012年

6 胡亞楠;社交網(wǎng)絡數(shù)據(jù)獲取技術(shù)與實現(xiàn)[D];哈爾濱工業(yè)大學;2011年

7 屈立虎;復雜網(wǎng)絡拓撲結(jié)構(gòu)聚合與展現(xiàn)系統(tǒng)的設計與實現(xiàn)[D];長安大學;2012年

8 張晨;校園在線卡拉OK平臺的設計與實現(xiàn)[D];華中科技大學;2012年

9 何雪杰;基于FLEX的虛擬社區(qū)框架的研究與設計[D];成都理工大學;2013年

10 賈睿;基于SIP的Web語音系統(tǒng)的研究[D];北京郵電大學;2010年

，

本文編號：667645