基于指令集隨機化的XSS檢測系統(tǒng)研究.pdf

1、隨著Web2.0技術的興起，互聯(lián)網(wǎng)成為交流的主要媒介和商業(yè)活動渠道，Web應用程序的數(shù)量得到了極大的增加，這些Web應用程序提供了人們日常所需的各種服務，如購物、銀行、娛樂等等。但同時，這些Web應用程序包含了許多潛在的安全漏洞，且每天都以驚人的速度被發(fā)現(xiàn)和利用?？缯灸_本(XSS)作為Web安全漏洞的一種，被研究者和業(yè)內人士普遍認為是Web應用程序中最普遍和流行的安全漏洞。
　　以實現(xiàn)功能為導向的這種自然而簡單的軟件開發(fā)思路來指導

2、開發(fā)Web應用程序是很容易導致XSS以及其他安全漏洞的。為了應對這種情況，多年來各種安全工具被開發(fā)出來，用于避免開發(fā)過程中常見的Web應用程序漏洞。然而，現(xiàn)有的技術工具，包括一些新興防御技術，都存在著各種不盡如人意的缺陷，如實用性不佳，部署方式欠靈活，性能損失較大以及較大的誤報率和漏檢率等。理想情況下，一個可靠、高效和可配置的服務器端工具應該可以無縫地用來保護任何組織的系統(tǒng)，防御不斷進化的XSS威脅，無論是已被發(fā)現(xiàn)的還是未被發(fā)現(xiàn)的。

3、r>　　在本文中，我們詳細介紹了XSS的定義和常見類型，闡述了可能導致XSS的來源和載體，以及XSS攻擊的原因，影響和特別之處。介紹了XSS的典型利用場景和危害，探討了現(xiàn)實世界中可能被攻擊者所使用的工具，逃避當前網(wǎng)絡防御機制的方法和流程。對過去已有的和新興的保護解決方案根據(jù)他們的部署點進行了分類介紹和總結。
　　最后，根據(jù)軟件工程、安全編碼，和防火墻的理論，我們提出了一套設計原則。我們的框架系統(tǒng)根據(jù)這些原則開發(fā)，在實用性、檢測率和