Web客戶端安全漏洞評(píng)估方案設(shè)計(jì)與實(shí)現(xiàn).pdf

1、隨著Web2.0時(shí)代的到來(lái)，互聯(lián)網(wǎng)用戶由信息的接收者漸漸也變成了信息的制造者和傳播者，諸如聊天，交友，購(gòu)物等功能強(qiáng)大的Web應(yīng)用程序正在不斷涌現(xiàn)，基于Web的應(yīng)用程序變得越來(lái)越普及。然而，這些應(yīng)用在帶給人們生活方便的同時(shí)也夾帶著許許多多的安全隱患，海量的用戶個(gè)人隱私數(shù)據(jù)隨時(shí)有被暴露的危險(xiǎn)。如今各種社交類網(wǎng)站的客戶端漏洞層出不窮，攻擊者無(wú)需攻擊服務(wù)器便可獲取私密信息或者進(jìn)行非授權(quán)操作，其對(duì)用戶造成的影響并不亞于Web后端漏洞及系統(tǒng)漏洞，許

2、多開發(fā)以及研究人員對(duì)漏洞的檢測(cè)及防御做出了大量工作。又由于Web客戶端網(wǎng)絡(luò)環(huán)境復(fù)雜且不受開發(fā)人員控制，其漏洞數(shù)量也不容小覷，因此如何在眾多漏洞發(fā)現(xiàn)時(shí)能夠高效合理地進(jìn)行修復(fù)也是應(yīng)當(dāng)重視的環(huán)節(jié)之一，這就需要對(duì)漏洞進(jìn)行等級(jí)劃分評(píng)估。
　　目前的安全漏洞評(píng)估工作無(wú)論是定量評(píng)估還是定性評(píng)估都是針對(duì)于通用系統(tǒng)漏洞來(lái)進(jìn)行的，旨在為所有的信息系統(tǒng)安全漏洞制定出一個(gè)通用的標(biāo)準(zhǔn)。然而，Web客戶端漏洞本身具有特殊性，這些安全漏洞主要影響Web客戶端的

3、安全，其往往不會(huì)對(duì)服務(wù)器端造成影響。但目前Web客戶端新安全漏洞層出不窮、數(shù)量繁多，在Web時(shí)代極其影響用戶的系統(tǒng)安全。為此，本文為Web客戶端漏洞專門設(shè)計(jì)了一個(gè)漏洞評(píng)價(jià)體系，以便更好地提高Web客戶端漏洞的修復(fù)效率，促進(jìn)Web信息系統(tǒng)的安全。論文的主要工作和創(chuàng)新點(diǎn)如下：
　　1.對(duì)Web客戶端漏洞的主要類別：XSS，CSRF，clickjacking進(jìn)行了深入分析，分析這些漏洞的成因及其影響，選取了針對(duì)這些安全漏洞的評(píng)估要素集。