一种跨站脚本的检测方法
本文关键词:一种跨站脚本的检测方法
更多相关文章: 万维网 跨站脚本 污点分析 信息流 渗透测试 软件测试
【摘要】:跨站脚本是Web漏洞中一种非常常见并且影响比较广泛的漏洞,它通过浏览器端执行第三方的恶意脚本来实现攻击.针对跨站脚本的测试,提出一种新型的测试方法.与以往研究只针对对于单个服务页面不同的是,文中所提出的方法是从Web系统的整体出发并从用户变量的角度来对跨站脚本进行检测,整个方法包括客户端测试和服务端测试两个部分.针对客户端的数据验证机制的检测,采用了一种静态分析和渗透测试相结合的方法.而针对服务端的跨站脚本检测,通过构造代码的信息流并在信息流的基础上进行污点分析来确定系统中和漏洞相关的用户输入,并且确定与此类输入相关的验证机制是否存在缺陷.依据文中的测试方法实现了跨站脚本漏洞检测原型工具Web Tester,使用Web Tester进行实验的数据表明文中所提出的方法可以比较有效地检测出Web系统中的跨站脚本漏洞.
【作者单位】: 南京航空航天大学计算机科学与技术学院;
【关键词】: 万维网 跨站脚本 污点分析 信息流 渗透测试 软件测试
【分类号】:TP311.53;TP393.09
【正文快照】: 1引言随着互联网技术的发展,Web软件的使用已经非常广泛,越来越多的应用采用了B/S方式进行开发.与传统C/S体系结构的软件不同的是B/S结构软件不用为用户专门定制客户端应用程序,用户只需要通过浏览器进行加载就可以使用所有的应用.因此Web应用软件的优势非常明显,客户端程序仅
【参考文献】
中国期刊全文数据库 前1条
1 黄强;曾庆凯;;基于信息流策略的污点传播分析及动态验证[J];软件学报;2011年09期
【共引文献】
中国期刊全文数据库 前8条
1 秦中元;徐毓青;梁彪;张群芳;黄杰;;一种Android平台恶意软件静态检测方法[J];东南大学学报(自然科学版);2013年06期
2 叶永宏;武东英;陈扬;;一种基于细粒度污点分析的逆向平台[J];计算机工程与应用;2012年28期
3 史大伟;袁天伟;;一种粗细粒度结合的动态污点分析方法[J];计算机工程;2014年03期
4 刘奇旭;温涛;闻观行;;Flash跨站脚本漏洞挖掘技术研究[J];计算机研究与发展;2014年07期
5 孙浩;李会朋;曾庆凯;;基于信息流的整数漏洞插装和验证[J];软件学报;2013年12期
6 蒋华;徐中原;王鑫;;基于行为的XSS攻击防范方法[J];计算机工程与设计;2014年06期
7 徐中原;蒋华;王鑫;;基于行为的Web邮箱系统XSS防范[J];计算机工程与设计;2014年12期
8 舒辉;李政廉;康绯;张媛媛;;基于环境智能匹配的恶意代码完整性分析方法[J];计算机工程与设计;2015年02期
中国博士学位论文全文数据库 前1条
1 孔德光;结合语义的统计机器学习方法在代码安全中应用研究[D];中国科学技术大学;2010年
中国硕士学位论文全文数据库 前10条
1 彭青白;缓冲区溢出漏洞的挖掘与利用方法研究[D];华中科技大学;2009年
2 杨嘉;基于信息流的SELinux策略分析与调整技术研究[D];南京大学;2012年
3 乔航;无线智能移动终端的软件漏洞分析及发现技术研究[D];电子科技大学;2012年
4 姜曙光;基于符号执行的Web安全检测系统的研究与实现[D];湖南大学;2012年
5 文碧望;基于多层序列的攻击特征自动提取方法研究[D];中南大学;2013年
6 尤作赛;基于动态污点分析的恶意代码行为依赖图挖掘技术的研究与实现[D];国防科学技术大学;2012年
7 林龙成;PHP Web应用程序开发中漏洞消减技术研究[D];南京师范大学;2014年
8 刘苏洲;基于Muscle的攻击特征自动提取方法研究[D];中南大学;2014年
9 王小娟;信息流分析法在集成电路设计中的应用研究[D];大连理工大学;2014年
10 牛皓;基于网络爬虫的XSS漏洞检测系统的研究与设计[D];北京邮电大学;2015年
【二级参考文献】
中国期刊全文数据库 前1条
1 陈建青;张玉清;;Web跨站脚本漏洞检测工具的设计与实现[J];计算机工程;2010年06期
中国硕士学位论文全文数据库 前1条
1 邱勇杰;跨站脚本攻击与防御技术研究[D];北京交通大学;2010年
,本文编号:1113445
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/1113445.html
