基于HTML5的跨站脚本攻击检测技术研究与实现
本文选题:HTML5 切入点:跨站脚本攻击 出处:《北京邮电大学》2017年硕士论文 论文类型:学位论文
【摘要】:HTML5作为开放的Web网络平台的奠基石,凭借着丰富的多媒体内容,良好的跨平台、跨终端等特点,不仅为Web应用带来了巨大的变革,并且逐步成为下一代移动互联网应用的主流。然而新特征在推动互联网发展的同时,也带来了相应的安全问题。跨站脚本攻击是Web应用常见的攻击之一,其运用手段灵活多样,攻击形式丰富,具有严重的危害性。HTML5引入的新特征在不经过严格过滤及防御的情况下,极易成为跨站脚本攻击的载体,引发跨站脚本攻击。本文通过分析HTML5引入的新特征,及其易引起的跨站脚本攻击方式,设计并实现了基于HTML5的跨站脚本攻击检测模型。本文主要研究内容及创新点如下:(1)研究分析了基于HTML5的跨站脚本漏洞。分析了跨站脚本攻击的基本原理,跨站脚本分类,跨站脚本利用形式及检测方式。结合HTML5新标签及新属性,深入研究了基于HTML5的跨站脚本漏洞。(2)提出了基于HTML5的跨站脚本攻击检测模型。该模型包含数据显示层、功能实现层、以及数据存储层三层体系架构,重点研究并分析了功能层中各子功能的设计,包括网络爬虫、注入点分析、攻击向量生成、模拟攻击、以及漏洞分析等。(3)设计并实现基于遗传算法的跨站脚本攻击向量生成算法。该算法基于遗传算法的思想,模拟生物交叉遗传的特征,通过设计合适的交叉算子、适应度函数以及选择算子,生成面向HTML5的跨站脚本种子攻击向量,模拟生物变异的特征,采用变形与编码两种变异方式,对种子向量进行变异优化,得到最终的面向HTML5的跨站脚本攻击向量。(4)实现并评测基于HTML5的跨站脚本攻击检测模型。通过对比当前流行的漏洞扫描工具与本文提出算法的检测结果,分析验证本文提出的检测模型的可行性、有效性以及可扩展性。
[Abstract]:As the cornerstone of the open Web network platform, HTML5, with its rich multimedia content, good cross-platform, cross-terminal and other characteristics, has not only brought great changes to the Web application. And gradually become the mainstream of the next generation of mobile Internet applications. However, the new features not only promote the development of the Internet, but also bring about the corresponding security problems. Cross-site scripting attacks are one of the common attacks in Web applications. The attacks are rich in form and have serious harmfulness. HTML5 can easily become the carrier of cross-site script attacks without strict filtering and defense. This paper analyzes the new features introduced by HTML5. And its easily caused cross-site script attacks, In this paper, the main research contents and innovations are as follows: 1) this paper studies and analyzes the cross-station script vulnerability based on HTML5, and analyzes the basic principle of cross-station script attack, the classification of cross-site script. Combined with the new tags and new attributes of HTML5, a cross-station script vulnerability detection model based on HTML5 is proposed. The model includes data display layer and function realization layer. And the three-tier architecture of data storage layer. The design of each sub-function in the function layer is studied and analyzed emphatically, including network crawler, injection point analysis, attack vector generation, simulation attack, etc. This algorithm is based on the idea of genetic algorithm, simulates the characteristics of biological cross-genetic, and designs appropriate crossover operator. Fitness function and selection operator are used to generate cross-site script seed attack vector for HTML5, to simulate the characteristics of biological variation, and to optimize the seed vector by means of deformation and coding. Finally, the HTML5 oriented cross-site script attack vector. 4) is implemented and evaluated based on HTML5. By comparing the current popular vulnerability scanning tools and the detection results of the algorithm proposed in this paper, The feasibility, validity and extensibility of the proposed detection model are analyzed and verified.
【学位授予单位】:北京邮电大学
【学位级别】:硕士
【学位授予年份】:2017
【分类号】:TP393.08
【参考文献】
相关期刊论文 前10条
1 冷涛;何良;;“伪基站+钓鱼网站”诈骗犯罪中的渗透取证研究[J];电子制作;2016年13期
2 陈丽枫;郑力新;王佳斌;;基于HTML5 WebSocket的Web实时通信机制的研究与实现[J];微型机与应用;2016年10期
3 董卫利;;HTML5本地存储和离线缓存应用研究[J];科技创新与应用;2015年34期
4 余学永;江国华;;一种跨站脚本的检测方法[J];小型微型计算机系统;2015年08期
5 荣艳冬;;HTML5 Web Worker技术及应用研究[J];无线互联科技;2015年11期
6 郑子伟;陈奋;;HTML5离线应用开发技术研究[J];厦门城市职业学院学报;2015年01期
7 周广深;;浅谈Session对象在用户登录页面中的应用[J];电子技术与软件工程;2014年05期
8 邱珊;;使用HTML5 Web Worker提高Web的应用性能研究[J];软件导刊;2013年12期
9 方霞;;Cookie安全与用户隐私研究[J];科技通报;2013年08期
10 何良;方勇;方f ;蒲伟;;浏览器跨域通信安全技术研究[J];信息安全与通信保密;2013年04期
相关硕士学位论文 前8条
1 王云;基于爬虫和模糊测试的XSS漏洞检测工具设计与实现[D];华南理工大学;2015年
2 万芳芳;基于网络爬虫的XSS漏洞检测技术[D];江西师范大学;2014年
3 郑超群;基于遗传算法的测试用例自动生成系统模型的研究[D];西北农林科技大学;2014年
4 郑艳;HTML5本地存储和离线缓存机制应用研究[D];武汉理工大学;2014年
5 邵鹏;基于渗透测试的跨站脚本漏洞检测研究[D];郑州大学;2013年
6 张一;基于HTTP协议的Web访问监测系统[D];电子科技大学;2012年
7 唐知华;跨站点脚本攻击的检测技术研究[D];杭州电子科技大学;2011年
8 公衍磊;跨站脚本漏洞与攻击的客户端检测方法研究[D];大连理工大学;2011年
,本文编号:1597209
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/1597209.html
