亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        基于服務(wù)器端的XSS攻擊防御

        2018-02-05 09:16:41
        軟件 2018年1期
        關(guān)鍵詞:檢測工具服務(wù)器端瀏覽器

        馮 倩

        (中南民族大學(xué),計算機科學(xué)學(xué)院,湖北 武漢 430074)

        隨著互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展,web應(yīng)用越來越流行,現(xiàn)如今web應(yīng)用已進(jìn)入我們生活的方方面面。我們已經(jīng)習(xí)慣網(wǎng)上購物,逛論壇,刷微博,發(fā)帖等web應(yīng)用。然而web安全問題不斷出現(xiàn),針對web應(yīng)用的網(wǎng)絡(luò)攻擊時常發(fā)生,因此web應(yīng)用的安全性也受到更多關(guān)注。根據(jù)最新的OWASP(Open Web Application Security Project)統(tǒng)計,XSS漏洞依然是web應(yīng)用漏洞的第三名[1]。XSS攻擊是一種經(jīng)常出現(xiàn)在Web應(yīng)用程序中的計算機安全漏洞,由于web應(yīng)用程序?qū)τ脩舻妮斎脒^濾不足而產(chǎn)生[2]。攻擊者利用網(wǎng)站漏洞把惡意的腳本代碼注入到網(wǎng)頁之中,當(dāng)用戶瀏覽這些網(wǎng)頁時就會執(zhí)行其中的惡意代碼,對受害用戶造成 Cookie資料盜竊[3]、回話劫持[4]、釣魚欺騙[5]、網(wǎng)頁掛馬[6]等各種攻擊。XSS攻擊無論對網(wǎng)站還是對用戶造成的危害甚大,因此研究XSS攻擊防御顯得尤為重要,它能源頭上防止XSS攻擊。

        XSS漏洞主要分為三類:反射性 XSS(reflected- XSS),存儲型XSS(stored-XSS,DOM型XSS(DOM- based XSS)[7]。反射型XSS漏洞是用戶提交的數(shù)據(jù)立即被服務(wù)器處理并返回一個響應(yīng)頁面,若用戶提交的數(shù)據(jù)沒有經(jīng)過有效地過濾就會產(chǎn)生反射型 XSS漏洞[8];存儲型XSS漏洞是服務(wù)器端沒有對用戶提交的數(shù)據(jù)沒做有效的過濾,并將數(shù)據(jù)存入數(shù)據(jù)庫,當(dāng)用戶瀏覽網(wǎng)頁時,服務(wù)器從數(shù)據(jù)庫中加載數(shù)據(jù)并在網(wǎng)頁中顯示,從而形成存儲型XSS漏洞[9];DOM型XSS漏洞是瀏覽器在接受到HTML代碼后,由瀏覽器向網(wǎng)頁中嵌入惡意腳本代并執(zhí)行產(chǎn)生[10]。存儲型XSS漏洞是對web服務(wù)器進(jìn)行攻擊且不易發(fā)現(xiàn),造成的危害甚大,然而當(dāng)前沒有一個較好的檢測工具。

        XSS漏洞挖掘的方法主要有靜態(tài)分析和動態(tài)分析方法[11]。靜態(tài)分析是針對應(yīng)用程序的源碼進(jìn)行分析,通過分析源碼來發(fā)現(xiàn)可能存在的漏洞,屬于白盒測試。相關(guān)的自動化檢測工具有Fortify SCA、XSSDetect、Pixy等[12]。這類檢測工具可以實現(xiàn)高效率自動檢測。但靜態(tài)分析具有一定的局限性,它需要獲取目標(biāo)站點的源碼。動態(tài)分析是在 Web站點運行過程中,根據(jù)運行結(jié)果推測Web站點中可能存在的漏洞,屬于黑盒測試[13]。動態(tài)檢測方法具有準(zhǔn)確率高、針對性強和無需程序源代碼的優(yōu)勢,不足之處是不當(dāng)?shù)墓粝蛄靠赡茉斐奢^高的漏報率,因此要求攻擊向量樣本的選取要全面,以此來降低漏報率,同時過大的樣本又會造成檢測效率低下。

        當(dāng)前對防御存儲型XSS攻擊的方法按其所處時間分為兩大類,在程序開發(fā)期進(jìn)行預(yù)防,主要有安全編碼規(guī)范,對用戶的輸入的信息進(jìn)行消毒處理[14];在程序完成后進(jìn)行漏洞檢測,主要有靜態(tài)分析,動態(tài)分析。靜態(tài)分析有源代碼審查,污點分析,動態(tài)分析有模糊測試和滲漏測試[14]。當(dāng)前也有一些研究者研究如何防御XSS攻擊,但都比較片面,本文深入研究XSS攻擊原理,并提出XSS防御策略。

        本文主要完成了以下幾項工作:

        1. 深入研究XSS攻擊工作原理和特點;

        2. 提出XSS防御策略;

        3. 實現(xiàn)漏洞檢測工具并進(jìn)行實驗測試。

        1 相關(guān)理論

        反射型XSS漏洞是用戶提交的數(shù)據(jù)立即被服務(wù)器處理并返回一個響應(yīng)頁面,若用戶提交的數(shù)據(jù)沒有經(jīng)過有效地過濾就會產(chǎn)生反射型XSS漏洞[8],反射型XSS漏洞特點是漏洞在服務(wù)端形成,立即執(zhí)行且執(zhí)行一次、非持久化;存儲型XSS漏洞是服務(wù)器端沒有對用戶提交的數(shù)據(jù)做有效的過濾,并將數(shù)據(jù)存入數(shù)據(jù)庫,當(dāng)用戶瀏覽網(wǎng)頁時,服務(wù)器從數(shù)據(jù)庫中加載數(shù)據(jù)并在網(wǎng)頁中顯示,從而形成存儲型XSS漏洞[9],存儲型XSS漏洞特點是漏洞在服務(wù)端形成,攻擊向量存入數(shù)據(jù)庫中、非立即執(zhí)行、可以執(zhí)行多次、持久化;DOM型XSS漏洞是瀏覽器在接受到HTML代碼后,由瀏覽器向網(wǎng)頁中嵌入惡意腳本代并執(zhí)行產(chǎn)生[10],DOM型XSS漏洞特點是漏洞在客戶端形成,立即執(zhí)行且執(zhí)行一次、非持久化。

        1.1 反射型XSS漏洞攻擊原理

        黑客構(gòu)造一個有惡意代碼URL發(fā)給用戶,用戶點擊URL,服務(wù)器將惡意代碼發(fā)送給瀏覽器,并在瀏覽器中執(zhí)行,從而造成攻擊。

        圖1 反射型XSS攻擊原理圖Fig.1 Attack principle of reflective xss

        1.2 存儲型XSS漏洞攻擊原理

        黑客提交惡意代碼到 web服務(wù)器,web服務(wù)器將惡意代碼存放在數(shù)據(jù)庫中,當(dāng)用戶瀏覽頁面是,web服務(wù)器從數(shù)據(jù)庫中讀取惡意代碼并發(fā)給瀏覽器,惡意代碼在用戶瀏覽器中執(zhí)行,從而造成攻擊。

        圖2 存儲型XSS攻擊原理圖Fig.2 Attack principle of stored xss

        1.3 DOM型XSS漏洞攻擊原理

        如圖3所示,黑客構(gòu)造一個有惡意代碼URL發(fā)給用戶,用戶點擊 URL,瀏覽器讀取 URL中的惡意代碼并執(zhí)行,從而造成攻擊。

        2 XSS防御

        XSS防御主要有如圖4中方式。

        圖3 DOM型XSS攻擊原理圖Fig.3 Attack principle of dom xss

        圖4 XSS防御圖Fig.4 Defense of stored xss

        2.1 過濾[23]

        將XSS攻擊向量寄生的宿主(HTML標(biāo)簽,事件,屬性)過濾掉,XSS攻擊向量便不能發(fā)生。

        1. 過濾

        欧美中文字幕在线看| 好吊妞无缓冲视频观看| 99re热视频这里只精品| 国产女人18一级毛片视频 | 国产精品三级在线观看无码| 亚洲熟妇网| 国产av黄色一区二区| а天堂中文地址在线| 国产97色在线 | 日韩| 天天躁日日躁狠狠躁一区| 日本熟妇视频在线中出| 国产精品沙发午睡系列| 国产人妻精品一区二区三区| 国产精品1区2区| 美女福利视频在线观看网址| 亚洲va久久久噜噜噜久久天堂| 在教室伦流澡到高潮hgl视频 | 白又丰满大屁股bbbbb| 91精品国产免费青青碰在线观看 | 成人大片免费观看视频| 亚洲精品久久久久中文字幕一福利| a在线免费| 亚洲精品中文字幕码专区| 日韩在线永久免费播放| 亚洲av无码精品色午夜蛋壳| 日本国产一区二区三区在线观看| 日韩精品一区二区亚洲观看av| 放荡的少妇2欧美版| 激情综合欧美| av免费一区在线播放| 亚洲精品久久久久一区二区| 亚洲av无码不卡| h动漫尤物视频| 黄片视频大全在线免费播放| 欧美a级情欲片在线观看免费 | 最新亚洲无码网站| 沐浴偷拍一区二区视频| 日本最大色倩网站www| 国产AV无码专区亚洲AV桃花庵| 视频一区精品中文字幕| 午夜性色一区二区三区不卡视频|