面向数据泄漏的Web沙箱测试方法

发布时间：2018-02-26 09:57

  本文关键词： Web沙箱 JavaScript 数据泄漏 测试方法　出处：《计算机科学》2017年S2期 　论文类型：期刊论文

【摘要】：数据泄漏是导致Web沙箱逃逸的重要原因,即在未授权情况下,程序可以访问系统的敏感数据。已有的Web应用安全分析方法不完全适用于发现Web沙箱的数据泄漏。设计一种面向数据泄漏的Web沙箱测试方法,在JavaScript对象建模的基础上,首先,采用深度优先的策略遍历浏览器的原生对象,获取程序可直接访问的对象集合;其次,设计敏感点导向的封装对象测试算法,获取程序间接访问的对象集合;再次,设计了多程序数据泄漏的测试算法,获取程序间可能的通信路径;最后,对比测试结果和Web沙箱的规格,以识别Web沙箱的数据泄漏。设计并实现了Web沙箱测试系统(WSTS),同时测试了不同版本的ADsafe沙箱,实验结果显示,所提方法具有良好的数据泄漏发现能力。
[Abstract]:Data leaks are an important reason for the escape of the Web sandbox, that is, in the case of unauthorized, The program can access the sensitive data of the system. The existing Web application security analysis method is not completely suitable for detecting the data leakage of the Web sandbox. A Web sandbox testing method for data leak oriented is designed. Based on the JavaScript object modeling, firstly, Using the depth-first strategy to traverse the browser's native objects, obtain the object set that the program can directly access. Secondly, design the sensitive point-oriented encapsulation object testing algorithm to obtain the object set indirectly accessed by the program. This paper designs a test algorithm for data leakage of multiple programs to obtain the possible communication path between programs. Finally, the test results and the specifications of Web sandbox are compared. In order to identify the data leakage of Web sandbox, a Web sandbox testing system is designed and implemented. At the same time, different versions of ADsafe sandbox are tested. The experimental results show that the proposed method has good data leak detection capability.
【作者单位】： 中国人民解放军信息工程大学;
【分类号】：TP393.0

【相似文献】

相关期刊论文 前10条

1 赵旭;陈丹敏;颜学雄;王清贤;;沙箱技术研究综述[J];中原工学院学报;2014年04期

2 李时惠;;一种增强的基于威胁度的沙箱框架设计[J];计算技术与自动化;2006年03期

3 王航宇,卢发兴;一种基于Web技术的交互式电子技术手册[J];舰船电子工程;2002年02期

4 杜保华,刘弹,侯成刚,徐光华;XML WebService在基于Web远程分析工具集中的应用[J];仪器仪表用户;2004年02期

5 严毅,唐天兵,宁葵;Web服务实现开放式的企业应用集成[J];广西大学学报(自然科学版);2005年03期

6 邵文田;;去除使用Web服务寻找适当的程序项目[J];电脑迷;2007年15期

7 宋平;;基于Web服务的企业应用集成[J];福建电脑;2007年10期

8 陈波;师惠忠;;一种新型Web应用安全漏洞统一描述语言[J];小型微型计算机系统;2011年10期

9 ;Web的50个矛盾[J];每周电脑报;1997年48期

10 钟晓班;Web工具的趋同[J];管理科学文摘;1999年06期

相关会议论文 前10条

1 刘正涛;毛宇光;应毅;;基于Web服务的分布式Web应用框架研究[A];第一届全国Web信息系统及其应用会议（WISA2004）论文集[C];2004年

2 戴琦;;Web上的数据挖掘[A];全国计算机网络应用年会论文集（2001）[C];2001年

3 李中华;;企业Web应用安全威胁与防护[A];创新·融合·发展——创新型煤炭企业发展与信息化高峰论坛论文集[C];2010年

4 张玉艳;黄国栋;冯文堂;侯金奎;;一种模型驱动的WEB报表系统开发方法[A];第二十七届中国控制会议论文集[C];2008年

5 李毅;顾健;顾铁军;;系统等级保护中的Web应用安全评估[A];全国计算机安全学术交流会论文集（第二十四卷）[C];2009年

6 徐建新;钱建彬;;Web在线编辑在建设用地管理中的应用[A];江苏省测绘学会2007年学术年会论文集[C];2008年

7 唐权;吴勤书;;基于web用户基础地理数据库更新技术研究[A];江苏省测绘学会2011年学术年会论文集[C];2011年

8 曹建平;曾柯;王晖;程佳军;乔凤才;;基于Web的交通情感分析方法和应用[A];2013第一届中国指挥控制大会论文集[C];2013年

9 邓世伟;;Web应用负载测试的生命周期方法[A];第一届全国Web信息系统及其应用会议（WISA2004）论文集[C];2004年

10 徐云风;蒋文蓉;;Web页面信息抽取的分析与研究[A];IT服务促进企业信息化——第十一届中国Java技术及应用交流大会文集[C];2008年

相关重要报纸文章 前10条

1 本报记者 赵晓涛;四问“Web防御与云安全”[N];网络世界;2008年

2 李晨;Web应用安全应贯穿生命周期[N];人民邮电;2009年

3 朱新亚;Web会议出标准[N];中国计算机报;2004年

4 朱敏;负载均衡简化Web方案[N];中国计算机报;2001年

5 边一;五大预测Web服务中的安全机制[N];网络世界;2003年

6 ;保护Web服务器的安全[N];中国计算机报;2001年

7 张雪琳;为“Web服务”营造安全环境[N];中国计算机报;2002年

8 陈绍瑜;支持安全的Web连接[N];中国计算机报;2004年

9 本报记者 边歆;6步实现Web应用的整体安全[N];网络世界;2009年

10 ;Web 2.0安全：效果与性能的融合之美[N];网络世界;2010年

相关博士学位论文 前10条

1 万志远;Web应用程序漏洞检测关键技术研究[D];浙江大学;2014年

2 孙慧峰;基于协同过滤的个性化Web推荐[D];北京邮电大学;2012年

3 张建武;面向Web应用的安全评测技术研究[D];北京邮电大学;2012年

4 龙慧云;基于进程代数的Web服务数据和组合的形式化方法研究[D];贵州大学;2009年

5 谢琪;基于协同过滤与QoS的个性化Web服务推荐研究[D];重庆大学;2012年

6 刘方方;Web服务合成与可用性的若干关键技术研究[D];复旦大学;2007年

7 刘晓光;网络化制造中Web服务自动组合的若干关键技术研究[D];上海交通大学;2008年

8 刘国奇;面向领域QoS约束的Web服务选取方法[D];东北大学;2011年

9 李杰;基于服务质量的Web服务模型及应用研究[D];中国科学院研究生院（计算技术研究所）;2005年

10 张海腾;本体支持的Web服务智能协商和监测机制研究[D];华东理工大学;2015年

相关硕士学位论文 前10条

1 陈燕红;基于沙箱的木马检测技术研究与实现[D];广东工业大学;2016年

2 李志勇;基于沙箱技术的恶意代码行为自动化检测方法[D];华中科技大学;2015年

3 张灿岩;用于恶意代码检测的沙箱技术研究[D];哈尔滨工程大学;2013年

4 李林蓉;基于Restful和OSGI的Web应用转换容器的研究与实现[D];华南理工大学;2015年

5 陈彬彬;基于QoS随机性的Web服务质量偏离监测方法研究与实现[D];昆明理工大学;2015年

6 游维;基于Rest的Web业务系统日志采集与分析系统的研究与开发[D];山东大学;2015年

7 汪洋;基于web的普通话新闻检索技术研究[D];电子科技大学;2014年

8 李政;基于模糊测试的Web应用漏洞发掘技术研究与实现[D];北京理工大学;2015年

9 冯理群;基于Web的统一身份认证信息系统的设计与实现[D];电子科技大学;2015年

10 梁微微;动态Web广告的智能获取技术研究[D];哈尔滨工业大学;2014年

，

本文编号：1537536