收藏本站
《国防科技大学》 2017年
收藏 | 手机打开
二维码
手机客户端打开本文

跨站脚本漏洞检测技术研究

潘瑾琨  
【摘要】:随着互联网和Web2.0的发展,Web应用越来越普遍,深入人们的生活。但在给我们带来便利的同时,Web应用也伴随着巨大的风险。各种Web漏洞威胁着Web应用及用户数据的安全。其中,跨站脚本漏洞由于数量众多、形式多样且危害严重,位列OWASP Web漏洞排行榜第三名。一旦被攻击者利用,跨站脚本漏洞可以导致用户隐私泄露、用户会话劫持、网页钓鱼挂马等一系列严重后果。多年以来,学术界和工业界一直都致力于跨站脚本漏洞的检测防护等方面的研究,取得了很多进展。但是由于跨站脚本漏洞形式多变防不胜防,加上针对Web应用的程序分析技术的局限,跨站脚本漏洞的检测仍然面临着很多挑战。本文围绕白盒检测和黑盒检测两方面,分别从输入点选取和漏洞利用生成两个阶段作为切入点,主要工作与创新点总结如下:第一,针对浏览器扩展的特殊性,提出了一种引入了DOM作为新的攻击面的漏洞类型,即源于DOM的跨站脚本漏洞。同时针对该漏洞,提出了一种结合静态分析和动态分析的检测框架。该框架利用文本过滤、AST解析等轻量级静态分析技术进行初步筛选,利用影子DOM扩展动态符号执行对于结构化DOM文档的支持,并能够生成漏洞利用的DOM文档。从现实世界的浏览器扩展Greasemonkey的用户脚本中,我们成功地检测出了58个源于DOM的跨站脚本漏洞,潜在影响用户数达到676,174。第二,针对Web应用中广泛存在的正则表达式问题,提出了一种面向正则表达式增强的跨站脚本漏洞检测技术。该技术通过扩展约减规则,增强了现有技术对于边界、反向引用、断言等一系列高级正则表达式特性的支持;通过引入更具有表现力的正则表达式约束描述语言,简化了对于正则表达式的描述和表达;通过“延迟生成”、“按需展开”等一系列优化措施,提高了正则表达式相关约束的求解效率。第三,针对污点推断过程中受到的URL重写和HTML净化的影响,提出了一种借鉴生物信息学的基因序列比对技术的跨站脚本漏洞污点推断技术。通过局部序列比对解决了Web服务器URL重写对URL输入带来的问题,利用空位罚分机制缓解了Web应用HTML净化措施对HTML输出造成的影响。这些措施使得污点推断在这两种场景中的准确率和精度得到了有效的提高。第四,针对现有黑盒跨站脚本漏洞扫描器对于人工知识的依赖问题,以及现有基于机器学习脚本漏洞检测技术的误报问题,借鉴自然语言处理领域生成式智能问答系统的解决方案,提出了一种基于序列到序列模型的跨站脚本漏洞检测技术。通过将跨站脚本漏洞检测问题建模成序列到序列模型,生成可验证的漏洞利用攻击载荷,从而消除了误报。通过采用引入注意力机制的编码器-解码器框架,其中编码器解码器均采用数据驱动的长短期记忆循环神经网络,从而摆脱了对人工知识的依赖,根据不同的上下文有针对性地生成攻击载荷。我们的方法有效提高了跨站脚本漏洞的检测率和检测效率。
【学位授予单位】:国防科技大学
【学位级别】:博士
【学位授予年份】:2017
【分类号】:TP393.08

手机知网App
【参考文献】
中国期刊全文数据库 前3条
1 吴少华;程书宝;胡勇;;基于SVM的Web攻击检测技术[J];计算机科学;2015年S1期
2 贾文超;汪永益;施凡;常超;;基于动态污点传播模型的DOM XSS漏洞检测[J];计算机应用研究;2014年07期
3 陈景峰;王一丁;张玉清;刘奇旭;;存储型XSS攻击向量自动化生成技术[J];中国科学院研究生院学报;2012年06期
中国硕士学位论文全文数据库 前2条
1 顾明昌;基于渗透测试的跨站脚本漏洞检测方法研究[D];北京工业大学;2016年
2 吴晓恒;跨站脚本攻击的防御技术研究[D];上海交通大学;2011年
【共引文献】
中国期刊全文数据库 前6条
1 李浩杰;裘国永;;基于自动化渗透测试的分析[J];电子设计工程;2015年22期
2 余学永;江国华;;一种跨站脚本的检测方法[J];小型微型计算机系统;2015年08期
3 肖胜仁;;浅析PHP安全漏洞防范技术分析[J];网络安全技术与应用;2015年04期
4 徐中原;蒋华;王鑫;;基于行为的Web邮箱系统XSS防范[J];计算机工程与设计;2014年12期
5 刘奇旭;温涛;闻观行;;Flash跨站脚本漏洞挖掘技术研究[J];计算机研究与发展;2014年07期
6 蒋华;徐中原;王鑫;;基于行为的XSS攻击防范方法[J];计算机工程与设计;2014年06期
中国硕士学位论文全文数据库 前10条
1 冯亦彤;基于攻击向量自动生成的XSS漏洞检测系统的研究与设计[D];北京邮电大学;2019年
2 沈宏伟;基于Flask的企业内网安全系统的设计与实现[D];北京交通大学;2018年
3 许苗华;Web应用漏洞的检测方法研究与实现[D];中南林业科技大学;2018年
4 王斌;Web二阶安全漏洞检测研究[D];广州大学;2018年
5 崔武杰;基于服务器与客户端协同的XSS漏洞检测和防御的研究[D];燕山大学;2018年
6 郝子希;基于渗透技术的Web应用漏洞扫描器设计与实现[D];东华大学;2018年
7 薛楠凤;基于渗透测试的逻辑漏洞检测技术研究[D];电子科技大学;2018年
8 段炼;三湘风纪网站安全加固方案设计[D];湖南大学;2018年
9 许明阳;跨站脚本攻击的检测防御技术研究[D];兰州理工大学;2017年
10 张丹丹;基于大数据的Web攻击溯源技术研究[D];沈阳理工大学;2017年
【二级参考文献】
中国期刊全文数据库 前9条
1 张伟;吴灏;邹郢路;;针对基于编码的跨站脚本攻击分析及防范方法[J];小型微型计算机系统;2013年07期
2 温凯;郭帆;余敏;;自适应的Web攻击异常检测方法[J];计算机应用;2012年07期
3 孙义;胡雨霁;黄皓;;基于序列比对的SQL注入攻击检测方法[J];计算机应用研究;2010年09期
4 杨晓峰;孙明明;胡雪蕾;;一种基于DFA的网络攻击检测算法[J];计算机工程;2010年13期
5 陈建青;张玉清;;Web跨站脚本漏洞检测工具的设计与实现[J];计算机工程;2010年06期
6 吴志勇;王红川;孙乐昌;潘祖烈;刘京菊;;Fuzzing技术综述[J];计算机应用研究;2010年03期
7 张晓惠;林柏钢;;基于特征选择和多分类支持向量机的异常检测[J];通信学报;2009年S1期
8 曾金全;赵辉;刘才铭;彭凌西;;受免疫原理启发的Web攻击检测方法[J];电子科技大学学报;2007年06期
9 甘俊英,张有为;一种基于奇异值特征的神经网络人脸识别新途径[J];电子学报;2004年01期
中国硕士学位论文全文数据库 前4条
1 杨洁;基于渗透测试的分布式跨站漏洞挖掘系统的设计与实现[D];西安电子科技大学;2012年
2 张哲;Web应用中安全漏洞检测技术的研究[D];西安电子科技大学;2011年
3 刘鑫;基于Web2.0的入侵检测与防范技术研究[D];哈尔滨理工大学;2009年
4 丁娜;基于AJAX的WEB2.0技术研究[D];浙江大学;2007年
【相似文献】
中国期刊全文数据库 前10条
1 ;你知道吗?在HTML文件中,PHP脚本程序[J];网络与信息;2004年11期
2 吴瑕;;Javascript DOM脚本程序设计的发展与应用方法[J];科技视界;2015年03期
3 戴瑶,龙宁;BusinessObjects脚本程序在信息管理系统中的应用[J];铁路计算机应用;2004年03期
4 动力火柴;;Windows脚本程序存在的漏洞及解决办法[J];电脑采购周刊;2002年47期
5 齐玉斌;拨号脚本程序的使用[J];电脑爱好者;1999年21期
6 马明;一个VFP B/S化的方案[J];中小学信息技术教育;2004年10期
7 刘庆伟;李志先;;虚拟场景中特殊显示效果的实现[J];洛阳工业高等专科学校学报;2006年04期
8 ;新软物语[J];电脑爱好者;2010年17期
9 李兴旺;超级解霸与VBS的邂逅[J];电脑爱好者;2004年04期
10 张雷,辛钢,孟长功;编写Tcl-Hcl混合脚本程序模拟沸石转晶[J];计算机与应用化学;2005年01期
中国重要报纸全文数据库 前5条
1 湖北 魏炜;Outlook让管理更轻松(下)[N];电脑报;2003年
2 糯米;闪存,也可以“自动播放”[N];电脑报;2003年
3 安徽 许幼珍;“自动更新”帮你打补丁[N];电脑报;2004年
4 北京邮电大学 张剑;XML与HTML的结合(上)[N];计算机世界;2001年
5 幸运鸟;FLASH高级技术:Actions基本命令详解(4)[N];江苏经济报;2002年
中国博士学位论文全文数据库 前1条
1 潘瑾琨;跨站脚本漏洞检测技术研究[D];国防科技大学;2017年
中国硕士学位论文全文数据库 前3条
1 梁员豪;基于BCM5892的脚本化金融POS机的设计[D];东南大学;2017年
2 冯正伟;计及电网模型的继电保护仿真培训系统研究[D];华北电力大学(北京);2010年
3 马微;基于常规显示设备的3D视频生成技术研究[D];西安理工大学;2017年
中国知网广告投放
 快捷付款方式  订购知网充值卡  订购热线  帮助中心
  • 400-819-9993
  • 010-62791813
  • 010-62985026