跨站腳本攻擊客戶端防御技術(shù)研究.pdf

1、跨站腳本攻擊是當(dāng)今Web應(yīng)用領(lǐng)域危害最嚴(yán)重、最常見的威脅之一，該攻擊根源于Web應(yīng)用安全機(jī)制的薄弱環(huán)節(jié):對用戶輸入缺乏足夠的過濾處理。雖然在服務(wù)器端修復(fù)Web應(yīng)用中的跨站腳本漏洞可以根本性解決該問題，但是由于安全補(bǔ)丁的更新速度慢，系統(tǒng)運(yùn)維人員的安全意識薄弱等各種原因，仍有很多Web應(yīng)用不能及時修復(fù)漏洞，從而導(dǎo)致用戶在使用這些應(yīng)用時處于遭受跨站攻擊的風(fēng)險下。因而為了提高用戶面對跨站腳本攻擊的主動防御能力，研究客戶端的跨站攻擊防御措施顯得很

2、有必要。
　　論文的主要工作包括以下四個方面:
　　首先，論述了Web應(yīng)用的安全現(xiàn)狀，分析了客戶端現(xiàn)有的安全機(jī)制和承受的安全風(fēng)險，這些安全機(jī)制都是跨站腳本攻擊所要挑戰(zhàn)、克服的。
　　隨后，依據(jù)形成原因不同對跨站腳本攻擊進(jìn)行了分類，并分別歸納各種類型跨站腳本攻擊的特點(diǎn)。總結(jié)了跨站腳本漏洞挖掘技巧，包括跨站腳本編碼方式以及防御策略繞過技巧。同時研究了跨站腳本在HTML界面中的觸發(fā)機(jī)制。
　　另外，搭建了一個虛擬的博客

3、網(wǎng)站系統(tǒng)，針對竊取cookie隱私、跨站腳本釣魚攻擊、跨站腳本蠕蟲攻擊等跨站攻擊方式，通過實(shí)例逐個演示了其具體攻擊過程并驗(yàn)證其危害。簡單探討了鍵盤監(jiān)測、訪問本地剪貼板等其他攻擊方式。
　　最后，鑒于跨站腳本攻擊的主要目的是竊取用戶的敏感信息，其行為特征是未經(jīng)用戶的授權(quán)而將用戶的敏感信息發(fā)送給第三方，本文設(shè)計(jì)了全新的跨站攻擊防御方法，該方法在客戶端瀏覽器以動態(tài)污點(diǎn)追蹤為主，輔以靜態(tài)污點(diǎn)分析，通過污點(diǎn)追蹤對當(dāng)前頁面中的敏感信息傳輸進(jìn)行