基于AJAX應(yīng)用程序的跨站腳本攻擊防御方法研究.pdf

1、Web2.0應(yīng)用程序以其界面友好、功能豐富、實(shí)用性強(qiáng)等特點(diǎn)受到越來(lái)越多Web應(yīng)用開(kāi)發(fā)者和使用者的青睞?；赪eb2.0應(yīng)用程序的特點(diǎn)，它允許接受不受信任的來(lái)源，導(dǎo)致針對(duì)Web2.0應(yīng)用程序漏洞的攻擊已超過(guò)所有安全漏洞攻擊的三分之二。隨著Web2.0的發(fā)展，越來(lái)越多的計(jì)算工作被放到客戶端處理，AJAX(Asynchronous JavaScript and XML)技術(shù)就是這一技術(shù)最典型的應(yīng)用。但目前的安全技術(shù)發(fā)展遠(yuǎn)遠(yuǎn)落后于應(yīng)用技術(shù)的發(fā)展

2、，使得其屢遭攻擊。
　　 JavaScript是AJAX程序的基石，正常程序需要利用它使程序交互性更強(qiáng)，同時(shí)攻擊者也會(huì)利用它達(dá)成各種攻擊目的，跨站腳本(cross-site scripting，XSS)攻擊就是最常利用JavaScript來(lái)編寫(xiě)惡意代碼侵害Web用戶的攻擊手段之一。MITRE’s CVE列表顯示，在各種Web漏洞中，XSS已成為最普遍且最危險(xiǎn)的漏洞之一，通過(guò)向網(wǎng)頁(yè)插入惡意腳本代碼，導(dǎo)致用戶瀏覽網(wǎng)頁(yè)時(shí)惡意代碼在瀏覽

3、器中不知不覺(jué)的執(zhí)行，竊取用戶隱私信息。如何區(qū)分JavaScript代碼的正常和惡意部分成了檢測(cè)跨站腳本的關(guān)鍵之所在。
　　 基于上述原因，本文提出了一種JavaScript執(zhí)行流分析的AJAX應(yīng)用程序跨站腳本檢測(cè)方法，通過(guò)分析AJAX程序在客戶端瀏覽器中運(yùn)行時(shí)JavaScript函數(shù)的執(zhí)行流，形成有限狀態(tài)機(jī)(finite-state automata，F(xiàn)SA)來(lái)模擬程序的正常運(yùn)行行為。本文的工具部署于代理中，無(wú)需修改程序源代碼及