跨站腳本漏洞檢測與防御技術研究

發(fā)布時間：2017-12-10 23:34

本文關鍵詞：跨站腳本漏洞檢測與防御技術研究

【摘要】：隨著Web2.0概念的提出與推廣,Web應用程序的實用性和友好性的特點使得Web應用受到越來越多開發(fā)人員和用戶的肯定,腳本技術(如JavaScript、VBScript等)在Web應用中的廣泛應用在帶給用戶便捷的同時,也給網(wǎng)絡帶來了新的安全威脅。在網(wǎng)絡安全領域中,跨站腳本攻擊(Cross Site Scripting)已經(jīng)是其中最嚴重的安全問題之一,它主要利用Web應用中的對外部數(shù)據(jù)的過濾缺陷,將惡意腳本成功注入到網(wǎng)頁中。論文在參考大量國內(nèi)外相關資料的基礎上,對跨站腳本漏洞的檢測和防御做了深入研究。為了提高檢測Web應用源碼中跨站腳本漏洞的效率,論文提出了一種基于靜態(tài)分析的逆向代碼審計算法,用于檢測和提取源代碼中的跨站腳本漏洞。算法將輸出節(jié)點定義為潛在危險節(jié)點,并對其進行逆向掃描,然后確定輸出節(jié)點是否引用了污點數(shù)據(jù)。通過算法生成的數(shù)據(jù)鏈還可以發(fā)現(xiàn)漏洞的位置及生成漏洞的數(shù)據(jù)來源,方便測試人員和開發(fā)團隊及時修復Web應用中的漏洞。實驗驗證表明該檢測算法在有效檢測源碼中的XSS跨站腳本漏洞,同時,大大提高了 XSS漏洞的檢測效率。另外,論文在深入研究跨站腳本攻擊方式的基礎上,提出了一種基于代理的跨站腳本防御框架。該框架部署在客戶端與服務器端之間,攔截客戶端與服務器端間的通信數(shù)據(jù),對數(shù)據(jù)進行深度分析和過濾。不僅能對跨站腳本攻擊進行有效的防御,而且可以對合法標簽進行放行,為客戶端用戶提供良好的訪問體驗。該防御框架由分析引擎和處理引擎構成,其中分析引擎分為重編碼、去除干擾字符和整理標簽子模塊,處理引擎分為處理非法標簽、處理非法事件和處理非法引用子模塊。該防御框架通過對數(shù)據(jù)的深入拆分解析,準確識別出標簽是否合法、數(shù)據(jù)中是否存在腳本以及數(shù)據(jù)是否安全。實驗表明該框架對于當前流行的跨站腳本攻擊(包括反射型跨站腳本、存儲型跨站腳本和DOM型跨站腳本)都有良好的防御效果,但是會存在延遲客戶端與服務器端響應時間的問題。此外,針對論文提出的跨站腳本防御框架會造成客戶端與服務器端間響應時間增加的問題,我們嘗試對該防御框架進行了改進,提出了基于“任務自動處理機”的框架模型。該框架主要包括數(shù)據(jù)掃描和數(shù)據(jù)處理兩個部分。所有存儲到數(shù)據(jù)庫的外部數(shù)據(jù)將被打上“未處理”標記,此時的數(shù)據(jù)沒有被服務器使用的權限。任務自動處理機中的數(shù)據(jù)掃描任務將所有標有“未處理”標記的數(shù)據(jù)掃描存儲,重新將數(shù)據(jù)標記為“處理中”,等待數(shù)據(jù)處理任務的處理。數(shù)據(jù)處理任務使用文中提出的防御算法對掃描到的數(shù)據(jù)按優(yōu)先級進行處理,處理成功將更新原有數(shù)據(jù)的值和狀態(tài),將數(shù)據(jù)標記為“處理成功”,帶有“處理成功”標記的數(shù)據(jù)可以被服務器端使用。論文還對此框架進行了有效性測試和性能測試,實驗證明,該框架可以有效減少服務器的壓力,降低客戶端與服務器端的響應時間。最后,論文對跨站腳本的檢測和防御都做出了詳細的總結(jié)和研究結(jié)論。
【學位授予單位】：揚州大學
【學位級別】：碩士
【學位授予年份】：2017
【分類號】：TP393.08

【相似文獻】

中國期刊全文數(shù)據(jù)庫前10條

1 趙現(xiàn)軍;董明武;;漏洞檢測類產(chǎn)品核心指標淺析[J];網(wǎng)絡安全技術與應用;2006年11期

2 ;漏洞檢測代表產(chǎn)品[J];每周電腦報;2003年46期

3 楊闊朝,蔣凡;模擬攻擊測試方式的漏洞檢測系統(tǒng)的設計與實現(xiàn)[J];計算機應用;2005年07期

4 龍銀香;一種新的漏洞檢測系統(tǒng)方案[J];微計算機信息;2005年05期

5 賈永杰,王恩堂;一種新的漏洞檢測系統(tǒng)方案[J];中國科技信息;2005年09期

6 劉完芳;;基于網(wǎng)絡的漏洞檢測系統(tǒng)的設計[J];湘潭師范學院學報(自然科學版);2006年03期

7 金怡;蔡勉;王亞軍;;基于中間件的漏洞檢測系統(tǒng)設計[J];信息安全與通信保密;2007年04期

8 花青;高嶺;張林;;分布式漏洞檢測系統(tǒng)的設計與實現(xiàn)[J];東南大學學報(自然科學版);2008年S1期

9 張林;高嶺;湯聲潮;楊e，

本文編號：1276352

資料下載