上下文敏感XSS漏洞的检测优化
发布时间:2022-12-11 11:41
随着新时代互联网的快速发展,越来越多网络相关的服务性产品相继出现。其中域名管理系统是帮助用户解决创建网站过程中及后续管理维护网站遇到的大部分问题的专业域名软件,但由于新通用顶级域的迅速发展,在互联网市场中此类产品的竞争愈加激烈。深圳某企业为提升其开发的域名管理系统在同类产品中的竞争力,决定通过将已有的安全防御体系再升级来获得更多的用户留存率与转化率。在实现过程中,所在的开发团队发现该域名管理系统存在上下文敏感XSS漏洞(Content Sensitive XSS Flaws,缩写CSXF)可能性。但现今没有能适用于该系统开发框架且能有效检测出上下文敏感XSS漏洞的检测工具或方法,针对此问题,本文提出了一种可在该域名管理系统中有效检测出上下文敏感XSS漏洞的检测机制。本文结合动态追踪污点技术、正则表达式、Vue内部渲染过程等技术知识,分改进的动态追踪模块、模型浏览器和对比判定模块三大部分来设计实现上下文敏感XSS漏洞检测机制。其中改进的动态追踪模块是先使用常见的XSS攻击特征和正则表达式对外界不可信数据进行预处理后,再全程动态追踪污点数据并记录数据信息及过滤器相关信息;模型浏览器是在域名...
【文章页数】:81 页
【学位级别】:硕士
【文章目录】:
摘要
ABSTRACT
第1章 绪论
1.1 研究背景及意义
1.2 国内外研究现状
1.2.1 国内研究现状
1.2.2 国外研究现状
1.3 拟解决的关键问题和技术特色
1.4 研究内容与论文组织结构
第2章 相关技术介绍
2.1 上下文敏感的XSS漏洞
2.2 动态污点追踪技术
2.3 正则表达式
2.4 浏览器渲染过程
2.5 响应式原理
2.6 VUE内部渲染过程
2.6.1 渲染流程
2.6.2 AST树
2.6.3 Virtual DOM
2.7 本章小结
第3章 上下文敏感XSS漏洞检测机制设计
3.1 检测机制结构设计
3.2 改进的动态追踪模块
3.2.1 数据预处理
3.2.2 改进的动态追踪算法设计
3.3 模型浏览器
3.4 对比判定模块
3.5 本章小结
第4章 CSXF检测机制与域名管理系统的结合设计
4.1 系统需求分析与框架设计
4.1.1 需求分析
4.1.2 系统框架设计
4.2 系统安全防御设计
4.2.1 身份认证设计
4.2.2 DDOS防御设计
4.3 系统防御与CSXF检测机制的结合
4.3.1 XSS防御设计
4.3.2 XSS防御与CSXF检测机制的结合
4.4 本章小结
第5章 CSXF检测机制在域名管理系统中的实现及测试
5.1 域名管理系统实现
5.1.1 系统实现框架
5.1.2 系统功能实现
5.2 CSXF检测机制实现
5.2.1 过滤器实现
5.2.2 改进的动态追踪实现
5.2.3 模型浏览器实现
5.3 CSXF检测机制测试
5.6.1 功能性验证
5.6.2 性能测试
5.4 本章小结
第6章 总结和展望
6.1 全文总结
6.2 工作展望
参考文献
致谢
研究生阶段取得的成果
【参考文献】:
期刊论文
[1]ERP系统中基于websocket协议的实时通讯机制的设计与实现[J]. 李翔. 数字通信世界. 2020(02)
[2]基于nodejs的校园智能视频监控系统设计和实现[J]. 何锡浩,单玉刚. 电脑知识与技术. 2019(36)
[3]数据的可视化传播路径选择[J]. 张刚,吕华远. 青年记者. 2019(32)
[4]MVVM设计模式的前端应用[J]. 邓成,孙书会. 电脑知识与技术. 2019(29)
[5]污点分析技术研究综述[J]. 任玉柱,张有为,艾成炜. 计算机应用. 2019(08)
[6]基于动态分析的XSS漏洞检测模型[J]. 谷家腾,辛阳. 计算机工程. 2018(10)
[7]基于EBNF和二次爬取策略的XSS漏洞检测技术[J]. 黄文锋,李晓伟,霍占强. 计算机应用研究. 2019(08)
[8]CC攻击的原理与防御[J]. 刘京义. 网络安全和信息化. 2017(12)
[9]一种基于Cookie的跨域单点登录方案设计[J]. 郭豪,王国才,罗聘. 计算机工程与科学. 2017(07)
[10]基于Dom Diff算法分析React刷新机制[J]. 严新巧,白俊峰. 电脑知识与技术. 2017(18)
硕士论文
[1]基于攻击向量自动生成的XSS漏洞检测系统的研究与设计[D]. 冯亦彤.北京邮电大学 2019
[2]发布者/订阅者通信机制的研究与实现[D]. 刘旭军.中国科学院研究生院(沈阳计算技术研究所) 2010
本文编号:3718717
【文章页数】:81 页
【学位级别】:硕士
【文章目录】:
摘要
ABSTRACT
第1章 绪论
1.1 研究背景及意义
1.2 国内外研究现状
1.2.1 国内研究现状
1.2.2 国外研究现状
1.3 拟解决的关键问题和技术特色
1.4 研究内容与论文组织结构
第2章 相关技术介绍
2.1 上下文敏感的XSS漏洞
2.2 动态污点追踪技术
2.3 正则表达式
2.4 浏览器渲染过程
2.5 响应式原理
2.6 VUE内部渲染过程
2.6.1 渲染流程
2.6.2 AST树
2.6.3 Virtual DOM
2.7 本章小结
第3章 上下文敏感XSS漏洞检测机制设计
3.1 检测机制结构设计
3.2 改进的动态追踪模块
3.2.1 数据预处理
3.2.2 改进的动态追踪算法设计
3.3 模型浏览器
3.4 对比判定模块
3.5 本章小结
第4章 CSXF检测机制与域名管理系统的结合设计
4.1 系统需求分析与框架设计
4.1.1 需求分析
4.1.2 系统框架设计
4.2 系统安全防御设计
4.2.1 身份认证设计
4.2.2 DDOS防御设计
4.3 系统防御与CSXF检测机制的结合
4.3.1 XSS防御设计
4.3.2 XSS防御与CSXF检测机制的结合
4.4 本章小结
第5章 CSXF检测机制在域名管理系统中的实现及测试
5.1 域名管理系统实现
5.1.1 系统实现框架
5.1.2 系统功能实现
5.2 CSXF检测机制实现
5.2.1 过滤器实现
5.2.2 改进的动态追踪实现
5.2.3 模型浏览器实现
5.3 CSXF检测机制测试
5.6.1 功能性验证
5.6.2 性能测试
5.4 本章小结
第6章 总结和展望
6.1 全文总结
6.2 工作展望
参考文献
致谢
研究生阶段取得的成果
【参考文献】:
期刊论文
[1]ERP系统中基于websocket协议的实时通讯机制的设计与实现[J]. 李翔. 数字通信世界. 2020(02)
[2]基于nodejs的校园智能视频监控系统设计和实现[J]. 何锡浩,单玉刚. 电脑知识与技术. 2019(36)
[3]数据的可视化传播路径选择[J]. 张刚,吕华远. 青年记者. 2019(32)
[4]MVVM设计模式的前端应用[J]. 邓成,孙书会. 电脑知识与技术. 2019(29)
[5]污点分析技术研究综述[J]. 任玉柱,张有为,艾成炜. 计算机应用. 2019(08)
[6]基于动态分析的XSS漏洞检测模型[J]. 谷家腾,辛阳. 计算机工程. 2018(10)
[7]基于EBNF和二次爬取策略的XSS漏洞检测技术[J]. 黄文锋,李晓伟,霍占强. 计算机应用研究. 2019(08)
[8]CC攻击的原理与防御[J]. 刘京义. 网络安全和信息化. 2017(12)
[9]一种基于Cookie的跨域单点登录方案设计[J]. 郭豪,王国才,罗聘. 计算机工程与科学. 2017(07)
[10]基于Dom Diff算法分析React刷新机制[J]. 严新巧,白俊峰. 电脑知识与技术. 2017(18)
硕士论文
[1]基于攻击向量自动生成的XSS漏洞检测系统的研究与设计[D]. 冯亦彤.北京邮电大学 2019
[2]发布者/订阅者通信机制的研究与实现[D]. 刘旭军.中国科学院研究生院(沈阳计算技术研究所) 2010
本文编号:3718717
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/3718717.html
