跨站腳本攻擊特性分析和防御技術(shù)研究.pdf

1、早期的Web給用戶提供的功能僅僅是信息的展示,用戶能做的只是選擇瀏覽哪些頁面,缺少與服務(wù)器的交互。隨后,在Web2.0概念的廣泛影響下,Web站點(diǎn)提供的服務(wù)內(nèi)容和服務(wù)方式有了翻天覆地的變化,與早期單一的信息展示相比,如今的網(wǎng)絡(luò)應(yīng)用更加注重用戶的體驗(yàn)和與用戶的交流,用戶可以提交輸入數(shù)據(jù)甚至影響網(wǎng)站數(shù)據(jù)庫中的內(nèi)容。如果對這些用戶的輸入沒有進(jìn)行足夠的檢查和過濾,就有可能存在跨站腳本漏洞。
　　跨站漏洞存在的根本原因是對用戶輸入缺乏充分的

2、檢查和過濾,而跨站攻擊實(shí)現(xiàn)的根本途徑是惡意代碼經(jīng)過混淆、偽造等掩飾手段成功躲避過防御系統(tǒng)。針對上述問題,本文開展了以下研發(fā)工作:
　　1、實(shí)現(xiàn)了一個(gè)針對跨站腳本攻擊的協(xié)同檢測和防御系統(tǒng),從檢測和防御兩方面入手:檢測模塊在用戶發(fā)出頁面請求時(shí),通過動態(tài)測試方式模擬攻擊行為,檢測可能存在的跨站漏洞,驗(yàn)證網(wǎng)站脆弱性,完善網(wǎng)站服務(wù)器對用戶的輸入驗(yàn)證;防御模塊在服務(wù)器端使用分離策略和標(biāo)記算法將 Web頁面中的非信任內(nèi)容進(jìn)行分離,同時(shí)在客戶端引

3、入末端限制和混淆代碼檢測等手段對標(biāo)記出的非信任內(nèi)容進(jìn)行分析和檢測,協(xié)同完成跨站腳本防御工作。
　　2、現(xiàn)階段的協(xié)同系統(tǒng)對跨站腳本攻擊的防御往往過分依賴服務(wù)器端,客戶端做的工作有限,這造成了服務(wù)器端系統(tǒng)開銷巨大而客戶端資源閑置的局面。本系統(tǒng)對模板引擎進(jìn)行了改進(jìn),服務(wù)器端在整個(gè)防御體系中只負(fù)責(zé)非信任內(nèi)容的分離,而頁面的生成和非信任內(nèi)容的檢測工作都在客戶端完成,這樣就減輕了服務(wù)器和網(wǎng)絡(luò)帶寬的壓力。另外,對于跨站漏洞的檢測工作,一般的檢測

4、手段普遍存在針對性不強(qiáng),漏檢率過高的情況。本系統(tǒng)對Fuzzing技術(shù)進(jìn)行了升級改進(jìn):從實(shí)際網(wǎng)絡(luò)中引入原始測試用例;擴(kuò)展HTML、CSS和JS為測試用例的語句元素,改進(jìn)后的測試方法,生成的測試用例針對性很強(qiáng),效率更高。
　　3、本文實(shí)現(xiàn)的協(xié)同檢測和防御系統(tǒng),借鑒分布式系統(tǒng)思想,解放了服務(wù)器,依靠數(shù)量巨大的客戶群和服務(wù)器共同完成跨站腳本攻擊的檢測和防御工作。經(jīng)過架設(shè)的虛擬網(wǎng)絡(luò)環(huán)境的實(shí)驗(yàn)驗(yàn)證,本系統(tǒng)在保證對存儲型、反射型和DOM(文檔對