基于浏览器的XSS检测系统的研究与设计
发布时间:2020-06-30 22:24
【摘要】:随着Web 2.0时代的到来,用户开始成为Web内容的核心贡献者与分享者,这进一步促进了互联网和信息技术的繁荣,但由于用户的输入不可信任,也带来了更加严峻的安全问题。XSS是Web 2.0时代最重要的安全威胁之一,它产生于Web应用程序的漏洞,却对普通用户和Web服务提供商造成双重威胁。根据OWASP的调研报告显示,直到2017年,XSS依然是OWASP Top 10中第二普遍的安全问题,存在于近三分之二的应用中,并且由于漏洞利用简单、易被忽略等特性,XSS往往能够导致严重的安全事故。为了缓解XSS泛滥的现状,针对现有XSS检测系统存在的普适性不强、检测方向单一和脱离浏览器运行时等缺陷,本文提出了基于浏览器的XSS检测系统,对XSS检测进行了以下改进:1.改进了检测应用环境,基于浏览器运行时获取XSS检测所需的关键数据并实施检测,保证检测环境和XSS产生环境具有高度一致性,并提高了XSS检测系统的普适性。2.在防御XSS攻击时,首先集成了浏览器环境专用Parser,解决了提取脚本数据时的通信问题,增量式地解析请求参数和响应脚本,提高了 Parser性能和可维护性;然后基于对比验证算法完成对XSS攻击的检测,改进了算法的实现细节,首次在浏览器环境下完成了广义后缀树的构造,提高了检测效率。3.在挖掘XSS漏洞时,首先采用了模糊测试的思想进行检测,并基于浏览器运行时提供的优势,创新性地提出使用隐形iframe标签在后台无侵入持续测试的方案;然后基于分类讨论方法,根据恶意脚本在响应报文中的位置和调用方式预生成攻击向量集合,实现了攻击向量的可重复利用;最后,针对传统模糊测试漏报率较高的问题,研究并设计了额外的异常结果捕获手段,降低了漏洞挖掘的漏报率。本文研究并设计了基于浏览器运行时的综合性XSS检测系统,该系统整合了XSS攻击防御模块与XSS漏洞挖掘模块为一体,具有更强的跨平台性,经过实验证明,系统能够有效完成对XSS漏洞和反射型XSS攻击的检测,并具有较低的误报率和漏报率。
【学位授予单位】:北京邮电大学
【学位级别】:硕士
【学位授予年份】:2019
【分类号】:TP393.08
【图文】:
本章将从社会影响和经济发展等方面说明本文的研究意义与价值,然后介SS检测的研究现状,同时将简要介绍本文的主要研究工作,突出本文研究的所在。最后本章将介绍论文的组织结构,概述各个章节的内容。逡逑1.1研究背景及意义逡逑随着互联网和计算机技术的持续繁荣,Web应用也在近年迎来了它的黄金。通过Web邋2.0时代的Ajax技术和V8引擎的支持,Web应用的性能有了长足。不止在PC端,Web应用占据了绝大部分网络流量的入口;在移动端,随着4术的成熟和智能硬件设备性能的提升,客户端应用(如:Android邋App、IOSAp了追求快速的迭代以及优良的跨平台性,都将大部分功能迁移到Web应用⑴。逡逑根据CNNIC邋(中国互联网络信息中心)的《第41次中国互联网络发展状况报告》提供的数据[2],截至2017年12月,中国网站(指域名注册者在中国境网站)的数量达到533万个,年增长率10.6%;而中国网页的数量达到2604亿个,逡逑增长率10.3%。逡逑中捕曊站数丨I逡逑
并将用户的敏感信息发送给攻击者操控的服务器。因其构造相对简单且容逡逑易利用,反射型XSS成为了目前最泛滥的XSS攻击形式。逡逑反射型XSS攻击的流程如图2-1所示,首先用户登录网站,生成Cookie等敏感逡逑信息,然后攻击者精心构造包含恶意代码的URL诱骗用户点击,最终用户受骗,逡逑点击URL访问服务器,恶意代码被返回浏览器,浏览器认为服务器返回的代码是逡逑可信的,于是执行代码,将敏感数据发送给攻击者。逡逑用户逦<逦2?构造N偅丈延没У慊麇五骞セ髡咤义襄危担褚獯胫葱小⑺兔舾惺蒎五义戏衿麇义贤迹玻狈瓷湫停兀樱庸セ髁鞒体义希猓娲⑿停兀樱渝义洗娲⑿停兀樱佑敕瓷湫停兀樱永嗨疲际怯煞衿飨煊囟褚獯搿G鹪谟冢义洗娲⑿停兀樱邮窃诠セ髡哒业较低陈┒春螅酶寐┒唇褚獯敕⑺偷椒衿魃襄义洗娲⑵鹄醋魑昂戏ā笔荩没г阡榔魃厦看畏梦实秸庑昂戏ā笔荩义暇突嶂葱衅浒亩褚獯
本文编号:2735903
【学位授予单位】:北京邮电大学
【学位级别】:硕士
【学位授予年份】:2019
【分类号】:TP393.08
【图文】:
本章将从社会影响和经济发展等方面说明本文的研究意义与价值,然后介SS检测的研究现状,同时将简要介绍本文的主要研究工作,突出本文研究的所在。最后本章将介绍论文的组织结构,概述各个章节的内容。逡逑1.1研究背景及意义逡逑随着互联网和计算机技术的持续繁荣,Web应用也在近年迎来了它的黄金。通过Web邋2.0时代的Ajax技术和V8引擎的支持,Web应用的性能有了长足。不止在PC端,Web应用占据了绝大部分网络流量的入口;在移动端,随着4术的成熟和智能硬件设备性能的提升,客户端应用(如:Android邋App、IOSAp了追求快速的迭代以及优良的跨平台性,都将大部分功能迁移到Web应用⑴。逡逑根据CNNIC邋(中国互联网络信息中心)的《第41次中国互联网络发展状况报告》提供的数据[2],截至2017年12月,中国网站(指域名注册者在中国境网站)的数量达到533万个,年增长率10.6%;而中国网页的数量达到2604亿个,逡逑增长率10.3%。逡逑中捕曊站数丨I逡逑
并将用户的敏感信息发送给攻击者操控的服务器。因其构造相对简单且容逡逑易利用,反射型XSS成为了目前最泛滥的XSS攻击形式。逡逑反射型XSS攻击的流程如图2-1所示,首先用户登录网站,生成Cookie等敏感逡逑信息,然后攻击者精心构造包含恶意代码的URL诱骗用户点击,最终用户受骗,逡逑点击URL访问服务器,恶意代码被返回浏览器,浏览器认为服务器返回的代码是逡逑可信的,于是执行代码,将敏感数据发送给攻击者。逡逑用户逦<逦2?构造N偅丈延没У慊麇五骞セ髡咤义襄危担褚獯胫葱小⑺兔舾惺蒎五义戏衿麇义贤迹玻狈瓷湫停兀樱庸セ髁鞒体义希猓娲⑿停兀樱渝义洗娲⑿停兀樱佑敕瓷湫停兀樱永嗨疲际怯煞衿飨煊囟褚獯搿G鹪谟冢义洗娲⑿停兀樱邮窃诠セ髡哒业较低陈┒春螅酶寐┒唇褚獯敕⑺偷椒衿魃襄义洗娲⑵鹄醋魑昂戏ā笔荩没г阡榔魃厦看畏梦实秸庑昂戏ā笔荩义暇突嶂葱衅浒亩褚獯
本文编号:2735903
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/2735903.html
