基于白名单的Web应用程序安全防护研究

发布时间：2021-05-09 12:11

　　Web应用程序是当前最流行的一类计算机软件应用程序，这个程序采用基于浏览器的语言编码，依赖于通用网页浏览器来表现执行结果。浏览器所渲染解释的网页信息可以是静态的对象，也可以是动态的脚本，这些信息可以来自不同的源。为解决来自不同源的动态脚本的访问安全问题,人们提出了同源策略，以阻止从一个源加载的脚本获取或设置另一个源加载的文档的属性。然而，攻击者可以利用应用程序中存在的跨站脚本（XSS）等安全漏洞，绕过同源策略的限制，迫使浏览器运行攻击者注入的脚本,并实施进一步的攻击。Web攻击的成功完成需要访问第三方的网站，以下载恶意代码或发送盗取的信息。针对这个特点，本文提出一类基于白名单的Web应用安全防护策略WhiteDomain。其基本想法是用户Alice信任所访问的站点Bob，这类信任不仅仅是指Bob所提供的服务，也指相信对Bob的访问不会威胁到Alice本身节点的安全。而Web攻击者为达到通过Bob攻击Alice的目的，将利用Bob上的Web应用程序漏洞，注入攻击脚本，迫使Alice的浏览器访问第三方的网站。如果网站Bob能够向用户Alice提供其认可的白名单站点，则可以限制浏览器只能访问... 

【文章来源】：广州大学广东省

【文章页数】：58 页

【学位级别】：硕士

【文章目录】：
摘要
Abstract
第一章 绪论
    1.1 研究意义
    1.2 Web 应用程序安全防护方式
    1.3 国内外的研究现状和发展趋势
    1.4 本文的组织结构
第二章 Web 应用程序通信与威胁
    2.1 同源策略
        2.1.1 统一资源定位符（Uniform Resource Locator, URL）
        2.1.2 同源策略概念说明
        2.1.3 利用同源策略进行攻击
    2.2 浏览器架构渲染过程
        2.2.1 概述
        2.2.2 文档对象模型(Document Object Model, DOM)概述
        2.2.3 Firefox 浏览器的页面渲染过程
    2.3 HTTP/HTTPS 协议
        2.3.1 HTTP 协议概述
        2.3.2 HTTP 协议与 Web 通信
    2.4 XSS 攻击
        2.4.1 反射型 XSS 攻击
        2.4.2 存储型 XSS 攻击
        2.4.3 基于 DOM 的 XSS 攻击
    2.5 网页木马
        2.5.1 网页木马概述
        2.5.2 网页木马隐藏技术
    2.6 本章小结
第三章 白名单策略的设计与实现
    3.1 白名单描述
    3.2 通信过程
    3.3 白名单策略算法的设计
    3.4 插件实现
    3.5 本章小结
第四章 实验与讨论
    4.1 实验环境
    4.2 实验过程与结果分析
    4.3 本章小结
第五章 总结与展望
    5.1 总结
    5.2 未来工作展望
参考文献
附录 1 实现白名单策略的关键代码
攻读硕士学位期间发表学术论文
致谢


【参考文献】：
期刊论文
[1]一种基于行为的XSS客户端防范方法[J]. 王夏莉,张玉清.  中国科学院研究生院学报. 2011(05)
[2]利用脚本封装抵御跨站脚本攻击[J]. 沈伍强,唐屹.  广州大学学报(自然科学版). 2010(05)



本文编号：3177283