返回
基于动态污染追踪的dom型xss漏洞检测技术研究

基于动态污染追踪的dom型xss漏洞检测技术研究

ID:35061787

大小:4.14 MB

页数:56页

时间:2019-03-17

基于动态污染追踪的dom型xss漏洞检测技术研究_第1页
基于动态污染追踪的dom型xss漏洞检测技术研究_第2页
基于动态污染追踪的dom型xss漏洞检测技术研究_第3页
基于动态污染追踪的dom型xss漏洞检测技术研究_第4页
基于动态污染追踪的dom型xss漏洞检测技术研究_第5页
资源描述:

《基于动态污染追踪的dom型xss漏洞检测技术研究》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、基于动态污染追踪的DOM型XSS漏洞检测技术研究ResearchontheDetectionTechnologyofDOM-XSSBasedonDynamicTaint-tracking工程领域:计算机技术作者姓名:任言指导教师:许光全副教授企业导师:郭晓和高工天津大学计算机科学与技术学院二零一五年十一月摘要跨站脚本攻击(Cross-SiteScripting,XSS)作为Web应用安全中数量最多的攻击手段之一,已得到人们的广泛关注。DOM型XSS漏洞是一种基于文档对象模型(DocumentObjeetModel,DOM)的XSS漏

2、洞,是XSS漏洞的第三种类型。DOM型XSS漏洞有其独特特点:首先,恶意脚本不会出现在HTTP响应请求里;其次,攻击过程不需要与服务器端进行交互,完全在客户端执行。因此,以往反射型XSS和存储型XSS的检测方法并不适用于DOM型XSS的检测。目前针对DOM型XSS漏洞检测研究的文献相对较少,主要研究方法包括黑盒fuzzing、静态分析和动态分析等几个方向。但是,黑盒fuzzing漏报率较高,静态分析误报率较高,而动态分析方法的设计比较复杂,实现成本较高。为此,本文从客户端对DOM型XSS进行检测,提出了一种基于动态污染追踪的DOM型

3、XSS漏洞检测方法。该方法通过构造新的数据类型与方法,在客户端对页面进行解析的过程中,覆盖所有JavaScript语言特性和DOMAPI。对可控输入、危害输出及中间过程进行污染标记,从而得到有污染的路径,加以分析,并选择合适的攻击向量进行自动化漏洞验证。最后,通过对Webkit引擎中的WebCore和JavaScriptCore进行修改实现了检测模块,结合爬虫、任务调度、验证和UI等模块,实现了一个原型系统,并通过实验验证了本文提出的DOM型XSS检测方法的有效性和准确性。关键词:跨站脚本攻击,DOM型XSS,动态污染追踪,WebK

4、itIABSTRACTAsoneofthemostfrequentlyusedattackmethodsinwebapplicationsecurityfield,Cross-SiteScripting(XSS)haswidelyattractedthefocusofthepeople.TheDOMbasedXSSvulnerabilityisakindofXSSbasedontheDocumentObjectModel(DOM),alsocalledthethirdtypeXSS.TheDOMbasedXSShastwoFeatu

5、res:First,maliciousscriptsoftheDOMbasedXSSdonotappearintheHTTPresponse.Second,thewholeattackprocedureoftheDOMbasedXSSattackishappenedatclientside.Therefore,thetraditionaldetectionmethodforthereflectedXSSandthestoredXSSarenotapplicabletotheDOMbasedXSS.Theinvestigationof

6、theDOMbasedXSSisstillweakandnaïve.Mostoftheresearchersconcentrateonthreedetectingmethods:theblack-boxfuzzing,thestaticanalysis,andthedynamicanalysis.However,theblack-boxfuzzingandthestaticanalysissuffermuchfromthehighfalsenegativerateandthehighfalsepositiveraterespecti

7、vely.Thedesigningandrealizingofthedynamicanalysisarecomplexandexpensive,thoughitcanachievereasonableresults.ThisthesisproposesadetectionmethodtodetecttheDOMbasedXSSbyusingDynamicTaint-trackingattheclientside.Alternatively,wecreatenewdatatypesandmethodsfortaintingthepro

8、cessintheclientwhichcoverallJavaScriptfeaturesandDOMAPIs.Furthermore,duringtheparsingofpages,ourdetectingmethodtaints

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。