基于污點分析的Web安全檢測系統的研究與實現.pdf

1、隨著Web技術的蓬勃發(fā)展，互聯網變得越來越豐富，隨之而來的是，針對Web應用程序漏洞的攻擊也越來越多，其危害程度也越來越大，給Web應用程序的安全帶來了巨大的威脅，其中最為著名的有跨站腳本攻擊、SQL注入、跨站請求偽造、點擊劫持。攻擊者可以利用這些漏洞注入自己編寫的惡意代碼、改變程序的執(zhí)行流程、破壞用戶程序以及竊取用戶敏感信息等?，F有的Web安全措施主要集中在服務端，客戶端的安全機制相對比較薄弱，客戶端安全檢測防御工作亟需完善，因此研究

2、一種客戶端的安全檢測防御方法是個有意義的課題。
　　傳統的污點檢測方法大多是針對服務端特定語言，由于服務端web應用程序所使用的編程語言多種多樣，實現一種適用于服務端所有編程語言的通用污點分析方法幾乎是件不可能的事。而通過擴展瀏覽器內核加強客戶端安全是一種復雜且不通用的方法，主要是因為瀏覽器的種類繁多，不同版本的瀏覽器其實現也不同。
　　針對上述問題，本文提出了一種新的web漏洞檢測防御方法，基于客戶端代碼重寫的動態(tài)污點分析

3、方法，目的是在無需修改服務端和客戶端代碼的情況下能夠阻止惡意腳本的非法行為。該方法首先將客戶端JavaScript代碼轉換成中間代碼，然后實現具體的污點分析引擎，該引擎在程序運行時動態(tài)的追蹤敏感數據的處理過程，記錄所有敏感數據的信息流，找出目標數據與源數據之間的依賴關系，阻止不信任域的源數據流入到目標數據中，從而達到檢測防御漏洞攻擊的目的。
　　在上述動態(tài)污點分析方法的基礎上，本文設計并實現了一個Web漏洞攻擊檢測防御系統，系統以