Web客戶端安全漏洞評估方案設(shè)計與實現(xiàn).pdf

1、隨著Web2.0時代的到來，互聯(lián)網(wǎng)用戶由信息的接收者漸漸也變成了信息的制造者和傳播者，諸如聊天，交友，購物等功能強大的Web應(yīng)用程序正在不斷涌現(xiàn)，基于Web的應(yīng)用程序變得越來越普及。然而，這些應(yīng)用在帶給人們生活方便的同時也夾帶著許許多多的安全隱患，海量的用戶個人隱私數(shù)據(jù)隨時有被暴露的危險。如今各種社交類網(wǎng)站的客戶端漏洞層出不窮，攻擊者無需攻擊服務(wù)器便可獲取私密信息或者進行非授權(quán)操作，其對用戶造成的影響并不亞于Web后端漏洞及系統(tǒng)漏洞，許

2、多開發(fā)以及研究人員對漏洞的檢測及防御做出了大量工作。又由于Web客戶端網(wǎng)絡(luò)環(huán)境復(fù)雜且不受開發(fā)人員控制，其漏洞數(shù)量也不容小覷，因此如何在眾多漏洞發(fā)現(xiàn)時能夠高效合理地進行修復(fù)也是應(yīng)當(dāng)重視的環(huán)節(jié)之一，這就需要對漏洞進行等級劃分評估。
　　目前的安全漏洞評估工作無論是定量評估還是定性評估都是針對于通用系統(tǒng)漏洞來進行的，旨在為所有的信息系統(tǒng)安全漏洞制定出一個通用的標(biāo)準(zhǔn)。然而，Web客戶端漏洞本身具有特殊性，這些安全漏洞主要影響Web客戶端的

3、安全，其往往不會對服務(wù)器端造成影響。但目前Web客戶端新安全漏洞層出不窮、數(shù)量繁多，在Web時代極其影響用戶的系統(tǒng)安全。為此，本文為Web客戶端漏洞專門設(shè)計了一個漏洞評價體系，以便更好地提高Web客戶端漏洞的修復(fù)效率，促進Web信息系統(tǒng)的安全。論文的主要工作和創(chuàng)新點如下：
　　1.對Web客戶端漏洞的主要類別：XSS，CSRF，clickjacking進行了深入分析，分析這些漏洞的成因及其影響，選取了針對這些安全漏洞的評估要素集。