基于指令集随机化的XSS检测系统研究
本文选题:Web安全 + 跨站脚本攻击 ; 参考:《中国科学技术大学》2014年硕士论文
【摘要】:随着Web2.0技术的兴起,互联网成为交流的主要媒介和商业活动渠道,Web应用程序的数量得到了极大的增加,这些Web应用程序提供了人们日常所需的各种服务,如购物、银行、娱乐等等。但同时,这些Web应用程序包含了许多潜在的安全漏洞,且每天都以惊人的速度被发现和利用。跨站脚本(XSS)作为Web安全漏洞的一种,被研究者和业内人士普遍认为是Web应用程序中最普遍和流行的安全漏洞。 以实现功能为导向的这种自然而简单的软件开发思路来指导开发Web应用程序是很容易导致XSS以及其他安全漏洞的。为了应对这种情况,多年来各种安全工具被开发出来,用于避免开发过程中常见的Web应用程序漏洞。然而,现有的技术工具,包括一些新兴防御技术,都存在着各种不尽如人意的缺陷,如实用性不佳,部署方式欠灵活,性能损失较大以及较大的误报率和漏检率等。理想情况下,一个可靠、高效和可配置的服务器端工具应该可以无缝地用来保护任何组织的系统,防御不断进化的XSS威胁,无论是已被发现的还是未被发现的。 在本文中,我们详细介绍了XSS的定义和常见类型,阐述了可能导致XSS的来源和载体,以及XSS攻击的原因,影响和特别之处。介绍了XSS的典型利用场景和危害,探讨了现实世界中可能被攻击者所使用的工具,逃避当前网络防御机制的方法和流程。对过去已有的和新兴的保护解决方案根据他们的部署点进行了分类介绍和总结。 最后,根据软件工程、安全编码,和防火墙的理论,我们提出了一套设计原则。我们的框架系统根据这些原则开发,在实用性、检测率和性能开销上都有令人满意的表现,能够为企业的Web应用程序提供实时的安全防护。该框架采用面向方面的程序设计(Aspected Oriented Programming)方法和开源技术实现。与期望的相同,在不影响和损害被评估Web应用程序功能的情况下,所有的测试用例和注入攻击都被成功地识别和化解。
[Abstract]:With the rise of Web2.0 technology, the number of web applications that have become the main medium for communication and a conduit for business activities has increased dramatically. These Web applications provide a variety of services that people need on a daily basis, such as shopping, banking, and so on. Entertainment, etc. But at the same time, these Web applications contain many potential security vulnerabilities and are discovered and exploited at an alarming rate every day. As one of the Web security vulnerabilities, cross-site scripting (XSS) is widely regarded by researchers and industry as the most common and popular security vulnerability in Web applications. This natural and simple idea of software development, which is oriented towards implementation, can easily lead to XSS and other security vulnerabilities to guide the development of Web applications. To deal with this situation, various security tools have been developed over the years to avoid common vulnerabilities in Web applications during development. However, the existing technical tools, including some emerging defense technologies, all have some shortcomings, such as poor practicability, less flexible deployment mode, large performance loss, large false alarm rate and false detection rate, etc. Ideally, a reliable, efficient, and configurable server-side tool should be seamlessly used to protect any organizational system against evolving XSS threats, whether discovered or not. In this paper, we introduce the definition and common types of XSS in detail, explain the source and carrier of XSS, and the reason, influence and special place of XSS attack. This paper introduces the typical utilization scenarios and harms of XSS, discusses the tools that may be used by attackers in the real world, and discusses the methods and processes of escaping the current network defense mechanism. The existing and emerging protection solutions are introduced and summarized according to their deployment points. Finally, according to the theory of software engineering, security coding, and firewall, we propose a set of design principles. Our framework system is developed according to these principles and has satisfactory performance in practicability, detection rate and performance overhead, which can provide real-time security protection for enterprise Web applications. The framework is implemented by aspect-oriented Oriented programming and open source technology. As expected, all test cases and injection attacks were successfully identified and resolved without affecting and compromising the functionality of the evaluated Web application.
【学位授予单位】:中国科学技术大学
【学位级别】:硕士
【学位授予年份】:2014
【分类号】:TP393.09
【相似文献】
相关期刊论文 前10条
1 江胜文;;通信设备自动化检测系统的研制[J];电子测试;2008年02期
2 王彤;戴伟;张军庆;晁爱农;;某型无人机地面检测系统中串行通信的研究与实现[J];计算机应用与软件;2008年05期
3 顾金建;黄伟志;李健;;一种非接触式在线水分检测系统的硬件设计[J];仪器仪表用户;2010年03期
4 王仕仲;;汽车轮胎平衡检测系统的设计[J];数字技术与应用;2010年02期
5 章韦伟;;箱装缺条检测系统原理及算法浅析[J];硅谷;2012年01期
6 王惠波;钢渣检测系统的原理与试验[J];自动化与仪器仪表;1997年04期
7 王水清;高速公路交通流量检测系统[J];计算机应用研究;2002年03期
8 张波云,张鼎兴,王树林,唐文胜;智能Agent在网络安全弱点检测系统中的应用[J];计算机与现代化;2004年06期
9 曹薇;;基于微控制器的玻璃抗风压检测系统设计[J];微计算机信息;2006年08期
10 徐长英;高春法;翁康静;;钢球表面检测系统的研究[J];测控技术;2007年09期
相关会议论文 前10条
1 唐宇;王洪;唐孟培;;新型激光诱导荧光光纤检测系统的研制[A];第一届中国高校通信类院系学术研讨会论文集[C];2007年
2 陈牡丹;周光明;;超声C扫描检测系统性能校核研究[A];中国力学大会——2013论文摘要集[C];2013年
3 马丰岭;黄波;;智能型闸盘偏摆检测系统的设计研究[A];第24届全国煤矿自动化与信息化学术会议暨第6届中国煤矿信息化与自动化高层论坛论文集[C];2014年
4 陈志强;高文焕;康克军;张丽;;大型集装箱检测系统的新型客户/服务器网络模型[A];第9届全国核电子学与核探测技术学术年会论文集[C];1998年
5 韩疆;刘晓星;潘接林;张建平;颜永红;张鹏远;吕萍;刘建;;一种网络信息安全中的语音关键词检测系统[A];全国网络与信息安全技术研讨会’2004论文集[C];2004年
6 邓延;;SDI-5420 Delta X大型超声C-扫描检测系统[A];陕西省第九届无损检测年会陕西省机械工程学会无损检测分会论文集[C];2004年
7 王振华;吕华;陆祖宏;;单分子荧光涨落检测系统的研制[A];中国生物医学工程学会医学物理分会第十次学术年会、中华医学会医学工程学分会第一次医疗设备科学管理研讨会论文集[C];1998年
8 陈宋宋;郭延凯;钟鸣;;移动式电力能效检测系统及方法[A];2013年中国电机工程学会年会论文集[C];2013年
9 黄健;吴世俊;;空调冷凝器、蒸发器残留水分量检测系统[A];加入WTO和中国科技与可持续发展——挑战与机遇、责任和对策(上册)[C];2002年
10 向新程;周立业;张颜民;灻毅斌;王立强;李富荣;高宝增;张玉爱;苗积臣;刘锡明;;组合移动式钴-60集装箱检测系统的研制[A];第十届全国核电子学与核探测技术学术年会论文集[C];2000年
相关重要报纸文章 前10条
1 齐泽萍;治超不停车检测系统在我省启用[N];山西经济日报;2008年
2 蒋梦恬 记者 王春;手机安全检测系统令“流氓”软件无处遁形[N];科技日报;2013年
3 郭晓;郑州建设简易工况检测系统[N];中国环境报;2006年
4 马晓艳;全省高速公路57个治超点启用不停车检测系统[N];山西经济日报;2008年
5 孙宏;先进光学3D板坯表面 质量检测系统[N];世界金属导报;2012年
6 谢昌民;运城高速全部实现不停车超限超载检测[N];山西日报;2008年
7 本报记者 张海瑞;创新科技治超 步入长效轨道[N];太原日报;2011年
8 安继刚 向新程 吴志芳 刘以思 邬海峰 王立强 作者安继刚为核研院学术委员会副主任,其余均为核研院核技术研究室教师;科学研究要走自主创新之路[N];新清华;2004年
9 方通;网络入侵检测系统——构筑全方位保障[N];中国水利报;2003年
10 刘永春;阳高县科技治超效果好[N];大同日报;2011年
相关博士学位论文 前6条
1 黎耀;IPv6环境下异常检测系统的关键技术研究[D];华中科技大学;2006年
2 熊俊;单细胞离子光电联合检测系统的研究与设计[D];华中科技大学;2007年
3 苏波;集成光纤的毛细管电泳芯片检测系统的研制[D];中国科学院研究生院(电子学研究所);2006年
4 胡文静;用于金属探测的混沌振子系统研究[D];山东大学;2012年
5 贺惠新;燃机异常检测系统的关键技术研究[D];哈尔滨工业大学;2013年
6 潘剑锋;主机恶意代码检测系统的设计与实现[D];中国科学技术大学;2009年
相关硕士学位论文 前10条
1 胡溢;微型无人直升机水面检测系统研究[D];浙江大学;2007年
2 彭鹏;牛乳大分子检测系统与建模[D];哈尔滨理工大学;2009年
3 周琪;图像制导火箭弹检测系统设计[D];南京理工大学;2012年
4 李享;安装于慢走丝电火花机床上嵌入式可视检测系统的验证和改进[D];广东工业大学;2012年
5 李美玲;基于计算机视觉的棉网质量检测系统的研究[D];东华大学;2010年
6 包宇;表面等离子体共振检测系统设计与实现[D];东北师范大学;2008年
7 李苗;奶杯表面质量检测系统设计与实现[D];电子科技大学;2013年
8 付兆敏;彩色显微网点面积率检测系统的开发[D];西安理工大学;2004年
9 陈杨;智能化热膨胀检测系统的实现与应用[D];南京理工大学;2004年
10 艾鑫;众核环境下深度包检测系统的设计与优化[D];哈尔滨工业大学;2013年
,本文编号:1866501
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/1866501.html
