基于动态污点分析的DOM XSS漏洞检测算法

发布时间：2017-10-11 21:24

  本文关键词：基于动态污点分析的DOM XSS漏洞检测算法

  更多相关文章： 动态污点分析 注入点 输出点 执行路径

【摘要】：针对Web客户端中基于文档对象模型的跨站脚本攻击(DOM XSS)漏洞检测问题,提出一种基于动态污点分析的DOM XSS漏洞检测算法。通过构造DOM模型和修改Firefox Spider Monkey脚本引擎,利用动态的、基于bytecode的污点分析方法实现了DOM XSS漏洞的检测。对DOM对象类属性的扩展和Spider Monkey字符串编码格式的修改可以完成污点数据标记;遍历Java Script指令代码bytecode的执行路径,获得污点传播路径,实现污点数据集的生成;监控所有可能会触发DOM XSS攻击的输出点,实现DOM XSS漏洞的判定。在此基础上,利用爬虫程序设计并实现了一个互联网DOM XSS漏洞检测系统。实验结果表明,所提算法能有效检测网页存在的DOM XSS漏洞,其检测率可达92%。
【作者单位】： 南京理工大学计算机科学与工程学院;
【关键词】： 动态污点分析 注入点 输出点 执行路径
【基金】：国家自然科学基金资助项目(61202352) 江苏省自然科学基金资助项目(BK20140797)~~
【分类号】：TP393.08
【正文快照】： 0引言随着网络技术的快速发展以及互联网的广泛应用,Web服务也在不断地更新与发展。然而,与Web应用相伴的是Web安全问题,早期Web安全主要体现在服务端动态脚本与Web服务器安全方面,而Web攻击技术的不断演进,使得Web客户端逐渐成为攻击的热点,针对Web客户端的攻击主要有跨站脚

【参考文献】

中国期刊全文数据库 前2条

1 吴世忠;郭涛;董国伟;王嘉捷;;软件漏洞分析技术进展[J];清华大学学报(自然科学版);2012年10期

2 朱贯淼;曾凡平;袁园;武飞;;基于污点跟踪的黑盒fuzzing测试[J];小型微型计算机系统;2012年08期

【相似文献】

中国期刊全文数据库 前10条

1 ;漏洞检测代表产品[J];每周电脑报;2003年46期

2 杨阔朝,蒋凡;模拟攻击测试方式的漏洞检测系统的设计与实现[J];计算机应用;2005年07期

3 龙银香;一种新的漏洞检测系统方案[J];微计算机信息;2005年05期

4 贾永杰,王恩堂;一种新的漏洞检测系统方案[J];中国科技信息;2005年09期

5 刘完芳;;基于网络的漏洞检测系统的设计[J];湘潭师范学院学报(自然科学版);2006年03期

6 金怡;蔡勉;王亚军;;基于中间件的漏洞检测系统设计[J];信息安全与通信保密;2007年04期

7 花青;高岭;张林;;分布式漏洞检测系统的设计与实现[J];东南大学学报(自然科学版);2008年S1期

8 张林;高岭;汤声潮;杨e，

本文编号：1014824