基于行為的XSS攻擊防范方法研究.pdf

1、密級(jí)桂林電子科技大學(xué)碩士學(xué)位論文題目題目基于行為的XSS攻擊防范方法研究(英文英文)ResearchOnCrossSiteingAttackPreventBasedOnBehavi研究生學(xué)號(hào)：112031125研究生姓名：名：徐中原指導(dǎo)教師姓名、職務(wù)：指導(dǎo)教師姓名、職務(wù)：蔣華教授申請學(xué)位門類：類：工學(xué)碩士學(xué)科、?？?、專業(yè)：業(yè)：計(jì)算機(jī)應(yīng)用技術(shù)提交論文日期：期：2014年04月論文答辯日期：期：2014年06月摘要I摘要進(jìn)入Web2.0時(shí)代

2、，隨著各類Web網(wǎng)站用戶體驗(yàn)的提升和功能的日趨完善，在給廣大互聯(lián)網(wǎng)用戶帶來便利和實(shí)惠的同時(shí)也帶來了一系列安全問題。而這其中跨站腳本攻擊(XSS)和跨站腳本蠕蟲(XSSWm)攻擊就是其中的閃亮明星，在安全威脅界中占有重要的地位。面對此種情況，近年來已經(jīng)有不少的安全廠商相繼推出了對應(yīng)的防范檢測跨站腳本攻擊的安全工具，但由于動(dòng)態(tài)代碼混淆技術(shù)(DCO)已經(jīng)被黑客和惡意攻擊者所掌握并熟練應(yīng)用，使得基于特征碼的防范檢測技術(shù)已不再像以前那樣有效。在這

3、種情況下就需要另辟蹊徑，從新的角度考慮對XSS攻擊的防范對策。本文提出了一種基于行為的XSS攻擊防范研究思路，采用在客戶端進(jìn)行防范檢測的策略，采用動(dòng)態(tài)污點(diǎn)分析和靜態(tài)污點(diǎn)分析相結(jié)合的方法，將用戶的敏感信息和隱私數(shù)據(jù)標(biāo)記為污點(diǎn)數(shù)據(jù)，對標(biāo)記的污點(diǎn)數(shù)據(jù)在程序執(zhí)行的過程中進(jìn)行動(dòng)態(tài)追蹤，對污點(diǎn)數(shù)據(jù)所參與的運(yùn)算，如：算術(shù)運(yùn)算、賦值運(yùn)算、邏輯運(yùn)算等進(jìn)行分析，對運(yùn)算的結(jié)果添加污點(diǎn)標(biāo)記，并進(jìn)行追蹤。對污點(diǎn)數(shù)據(jù)所參與的函數(shù)調(diào)用等結(jié)構(gòu)進(jìn)行污點(diǎn)分析，然后根據(jù)分析

4、結(jié)果對結(jié)構(gòu)中的相關(guān)變量添加污點(diǎn)標(biāo)記，當(dāng)污點(diǎn)數(shù)據(jù)在程序的執(zhí)行中進(jìn)入控制結(jié)構(gòu)時(shí)進(jìn)行靜態(tài)污點(diǎn)分析，根據(jù)靜態(tài)污點(diǎn)分析算法劃定污點(diǎn)作用域并根據(jù)其分析策略對控制結(jié)構(gòu)中的相關(guān)變量添加污點(diǎn)標(biāo)記。當(dāng)在程序運(yùn)行時(shí)檢測到污點(diǎn)數(shù)據(jù)將要被發(fā)送到第三方時(shí)，根據(jù)傳輸點(diǎn)分析和污點(diǎn)信息處理策略進(jìn)行分析，如為可疑XSS行為則向用戶發(fā)出警報(bào)，否則，予以放行。對XSS蠕蟲的防御，主要從以后可能出現(xiàn)的各種變種考慮，采用從根本上進(jìn)行防御的策略，由于XSS蠕蟲的傳播在根本上需要通過

5、用戶的瀏覽器向服務(wù)器端提交POST請求，因此該論文采用對瀏覽器所提交的HTTP請求進(jìn)行攔截和分析判斷的策略，對于發(fā)現(xiàn)的可疑POST請求發(fā)出警報(bào)并申請用戶裁決。在實(shí)驗(yàn)設(shè)計(jì)中，本文采用Firefox瀏覽器，對其Javript引擎中的相關(guān)數(shù)據(jù)結(jié)構(gòu)進(jìn)行擴(kuò)展，并在Firefox瀏覽器中添加TamperData插件對所提交的HTTP請求進(jìn)行攔截分析。在對實(shí)驗(yàn)結(jié)果的分析過程中發(fā)現(xiàn)了一些沒有考慮周全的方面，與預(yù)先設(shè)想的實(shí)驗(yàn)結(jié)果稍有偏差但總體上是與設(shè)計(jì)預(yù)