返回
基于行为的XSS攻击防范方法-论文.pdf

基于行为的XSS攻击防范方法-论文.pdf

ID:58139555

大小:356.69 KB

页数:5页

时间:2020-04-24

基于行为的XSS攻击防范方法-论文.pdf_第1页
基于行为的XSS攻击防范方法-论文.pdf_第2页
基于行为的XSS攻击防范方法-论文.pdf_第3页
基于行为的XSS攻击防范方法-论文.pdf_第4页
基于行为的XSS攻击防范方法-论文.pdf_第5页
资源描述:

《基于行为的XSS攻击防范方法-论文.pdf》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、2014年6月计算机工程与设计June2014第35卷第6期COMPUTERENGINEERINGANDDESIGNVo1.35No.6基于行为的XSS攻击防范方法蒋华,徐中原,王鑫(桂林电子科技大学计算机科学与工程学院,广西桂林541004)摘要:为了更好地防范XSS攻击以及由此所衍生的XSS蠕虫攻击,提出了一种结合动态污点分析和HTTP请求分析处理相结合的方法。对应用程序中的敏感数据进行标记,对标记数据的流向进行跟踪,防止敏感数据被发送到第三方,同时从XSS蠕虫传播所必需的POST请求入手,对HTTP数据包中的POST请求数据包进行拦截并分析,防止

2、XSS蠕虫的繁衍。实验分析结果表明,该方法能有效地防御XSS攻击和O-DayXSS蠕虫的传播及攻击。关键词:跨站脚本攻击;动态污点分析;跨站脚本蠕虫;请求数据包;控制依赖中图法分类号:TP393文献标识号:A文章编号:i000—7024(2014)06—1911—04XSSattackdefensemethodbasedonbehaviorJIANGHua,XUZhong-yuan,WANGXin(SchoolofComputerandControl,GuilinUniversityofElectronicTechnology,Guilin541004

3、,China)Abstract:Thecrosssitescripting(XSS)vulnerabilityhadbecomeoneofthebiggestthreatstoInternetsecurity,topreventXSSattacksandXSSwormderivedfromXSSattacks。amethodcombinedwithdynamictaintanalysisandHTTPrequestanalysiswaspresented,theapplicationofsensitivedatawasmarked,theflowoft

4、hetagdatatopreventsensitivedatasenttothethirdparty.AtthesametimebecausetheXSSWo1TnpropagationmustsubmitaPOSTrequest,POSTrequestdataintheHTTPdatapacketwasinterceptedandanalysisedtopreventXSSworms.ExperimentalanalysisshowedthatthismethodcouldeffectivelydefenseXSSattacksandpropagat

5、ionandattacksofO-DayXSSworn~Keywords:XSSattack;dynamictaintanalysis;XSSwormsrequestpacket;contro1dependence求数据包分别进行分析处理的客户端防范方法,该研究设计0引言的StopXSS对防范XSS蠕虫攻击有一定的作用,但对XSS攻据WhiteHatSecurity统计,近几年来跨站脚本(XSS击窃取用户敏感信息和隐私数据方面防范不足嘲;VogtP等提攻击)攻击一直在威胁Web安全的严重程度指数中名列前出了基于动态分析追踪的客户端防范方法[43、章明等

6、使用静态茅[1]。与此同时,从2005年起,跨站脚本(XSS)蠕虫也约束分析和动态检测相结合的客户端防御方法l_5],可对xSs攻已在国内很多社交网站上陆续崭露头脚,其传播速度和范击进行比较有效的防范,但面对Xss蠕虫的攻击束手无策。围都令传统的网络蠕虫黯然失色[2]。针对此种情况该论文结合上述研究的优点设计出了纯客目前对于XSS攻击主要的防范措施都集中在服务器端,户端的XSS防御设计方案,通过实验验证了该方法不仅可以通过对用户的输入进行过滤来防范XSS攻击,但是这样做更加有效地防御XSS攻击,检测准确率可以达95左右,的缺点是很容易使恶意攻击者通过探

7、测工具绕过过滤来实另一方面对于XSS攻击向量的变种亦具有同样的防御能施注入攻击。另外,如果在服务器端所设立的过滤算法过力E6],同时该方法还具有检测防范0-DayXSS蠕虫的能力。于复杂,将不可避免地影响到服务器的性能。1)(SS攻击此外,近几年来防范措施设置在客户端方面的设想和做法也已陆续被提出,王夏莉,张玉清等提出了通过将用户对1.1XSS攻击描述web应用程序的HTTP请求数据包分离为GET和POST请XSS(crosssitescripting)即跨站脚本攻击,主要是由收稿Et期:2013—08-21;修订日期:2013—10-22基金项目:国

8、家自然科学基金重点基金项目(61262074)作者简介:蒋华(1963一),男,河南信阳人,教

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。