基于行為的XSS攻擊防范方法研究.pdf

1、密級桂林電子科技大學碩士學位論文題目題目基于行為的XSS攻擊防范方法研究(英文英文)ResearchOnCrossSiteingAttackPreventBasedOnBehavi研究生學號：112031125研究生姓名：名：徐中原指導教師姓名、職務：指導教師姓名、職務：蔣華教授申請學位門類：類：工學碩士學科、專科、專業(yè)：業(yè)：計算機應用技術提交論文日期：期：2014年04月論文答辯日期：期：2014年06月摘要I摘要進入Web2.0時代

2、，隨著各類Web網站用戶體驗的提升和功能的日趨完善，在給廣大互聯(lián)網用戶帶來便利和實惠的同時也帶來了一系列安全問題。而這其中跨站腳本攻擊(XSS)和跨站腳本蠕蟲(XSSWm)攻擊就是其中的閃亮明星，在安全威脅界中占有重要的地位。面對此種情況，近年來已經有不少的安全廠商相繼推出了對應的防范檢測跨站腳本攻擊的安全工具，但由于動態(tài)代碼混淆技術(DCO)已經被黑客和惡意攻擊者所掌握并熟練應用，使得基于特征碼的防范檢測技術已不再像以前那樣有效。在這

3、種情況下就需要另辟蹊徑，從新的角度考慮對XSS攻擊的防范對策。本文提出了一種基于行為的XSS攻擊防范研究思路，采用在客戶端進行防范檢測的策略，采用動態(tài)污點分析和靜態(tài)污點分析相結合的方法，將用戶的敏感信息和隱私數(shù)據(jù)標記為污點數(shù)據(jù)，對標記的污點數(shù)據(jù)在程序執(zhí)行的過程中進行動態(tài)追蹤，對污點數(shù)據(jù)所參與的運算，如：算術運算、賦值運算、邏輯運算等進行分析，對運算的結果添加污點標記，并進行追蹤。對污點數(shù)據(jù)所參與的函數(shù)調用等結構進行污點分析，然后根據(jù)分析

4、結果對結構中的相關變量添加污點標記，當污點數(shù)據(jù)在程序的執(zhí)行中進入控制結構時進行靜態(tài)污點分析，根據(jù)靜態(tài)污點分析算法劃定污點作用域并根據(jù)其分析策略對控制結構中的相關變量添加污點標記。當在程序運行時檢測到污點數(shù)據(jù)將要被發(fā)送到第三方時，根據(jù)傳輸點分析和污點信息處理策略進行分析，如為可疑XSS行為則向用戶發(fā)出警報，否則，予以放行。對XSS蠕蟲的防御，主要從以后可能出現(xiàn)的各種變種考慮，采用從根本上進行防御的策略，由于XSS蠕蟲的傳播在根本上需要通過

5、用戶的瀏覽器向服務器端提交POST請求，因此該論文采用對瀏覽器所提交的HTTP請求進行攔截和分析判斷的策略，對于發(fā)現(xiàn)的可疑POST請求發(fā)出警報并申請用戶裁決。在實驗設計中，本文采用Firefox瀏覽器，對其Javript引擎中的相關數(shù)據(jù)結構進行擴展，并在Firefox瀏覽器中添加TamperData插件對所提交的HTTP請求進行攔截分析。在對實驗結果的分析過程中發(fā)現(xiàn)了一些沒有考慮周全的方面，與預先設想的實驗結果稍有偏差但總體上是與設計預