基于行為的XSS攻擊防范方法研究.pdf

1、密級桂林電子科技大學碩士學位論文題目題目基于行為的XSS攻擊防范方法研究(英文英文)ResearchOnCrossSiteingAttackPreventBasedOnBehavi研究生學號：112031125研究生姓名：名：徐中原指導(dǎo)教師姓名、職務(wù)：指導(dǎo)教師姓名、職務(wù)：蔣華教授申請學位門類：類：工學碩士學科、專科、專業(yè)：業(yè)：計算機應(yīng)用技術(shù)提交論文日期：期：2014年04月論文答辯日期：期：2014年06月摘要I摘要進入Web2.0時代

2、，隨著各類Web網(wǎng)站用戶體驗的提升和功能的日趨完善，在給廣大互聯(lián)網(wǎng)用戶帶來便利和實惠的同時也帶來了一系列安全問題。而這其中跨站腳本攻擊(XSS)和跨站腳本蠕蟲(XSSWm)攻擊就是其中的閃亮明星，在安全威脅界中占有重要的地位。面對此種情況，近年來已經(jīng)有不少的安全廠商相繼推出了對應(yīng)的防范檢測跨站腳本攻擊的安全工具，但由于動態(tài)代碼混淆技術(shù)(DCO)已經(jīng)被黑客和惡意攻擊者所掌握并熟練應(yīng)用，使得基于特征碼的防范檢測技術(shù)已不再像以前那樣有效。在這

3、種情況下就需要另辟蹊徑，從新的角度考慮對XSS攻擊的防范對策。本文提出了一種基于行為的XSS攻擊防范研究思路，采用在客戶端進行防范檢測的策略，采用動態(tài)污點分析和靜態(tài)污點分析相結(jié)合的方法，將用戶的敏感信息和隱私數(shù)據(jù)標記為污點數(shù)據(jù)，對標記的污點數(shù)據(jù)在程序執(zhí)行的過程中進行動態(tài)追蹤，對污點數(shù)據(jù)所參與的運算，如：算術(shù)運算、賦值運算、邏輯運算等進行分析，對運算的結(jié)果添加污點標記，并進行追蹤。對污點數(shù)據(jù)所參與的函數(shù)調(diào)用等結(jié)構(gòu)進行污點分析，然后根據(jù)分析

4、結(jié)果對結(jié)構(gòu)中的相關(guān)變量添加污點標記，當污點數(shù)據(jù)在程序的執(zhí)行中進入控制結(jié)構(gòu)時進行靜態(tài)污點分析，根據(jù)靜態(tài)污點分析算法劃定污點作用域并根據(jù)其分析策略對控制結(jié)構(gòu)中的相關(guān)變量添加污點標記。當在程序運行時檢測到污點數(shù)據(jù)將要被發(fā)送到第三方時，根據(jù)傳輸點分析和污點信息處理策略進行分析，如為可疑XSS行為則向用戶發(fā)出警報，否則，予以放行。對XSS蠕蟲的防御，主要從以后可能出現(xiàn)的各種變種考慮，采用從根本上進行防御的策略，由于XSS蠕蟲的傳播在根本上需要通過

5、用戶的瀏覽器向服務(wù)器端提交POST請求，因此該論文采用對瀏覽器所提交的HTTP請求進行攔截和分析判斷的策略，對于發(fā)現(xiàn)的可疑POST請求發(fā)出警報并申請用戶裁決。在實驗設(shè)計中，本文采用Firefox瀏覽器，對其Javript引擎中的相關(guān)數(shù)據(jù)結(jié)構(gòu)進行擴展，并在Firefox瀏覽器中添加TamperData插件對所提交的HTTP請求進行攔截分析。在對實驗結(jié)果的分析過程中發(fā)現(xiàn)了一些沒有考慮周全的方面，與預(yù)先設(shè)想的實驗結(jié)果稍有偏差但總體上是與設(shè)計預(yù)