跨站腳本攻擊客戶端防御技術(shù)研究.pdf

1、跨站腳本攻擊是當今Web應用領域危害最嚴重、最常見的威脅之一，該攻擊根源于Web應用安全機制的薄弱環(huán)節(jié):對用戶輸入缺乏足夠的過濾處理。雖然在服務器端修復Web應用中的跨站腳本漏洞可以根本性解決該問題，但是由于安全補丁的更新速度慢，系統(tǒng)運維人員的安全意識薄弱等各種原因，仍有很多Web應用不能及時修復漏洞，從而導致用戶在使用這些應用時處于遭受跨站攻擊的風險下。因而為了提高用戶面對跨站腳本攻擊的主動防御能力，研究客戶端的跨站攻擊防御措施顯得很

2、有必要。
　　論文的主要工作包括以下四個方面:
　　首先，論述了Web應用的安全現(xiàn)狀，分析了客戶端現(xiàn)有的安全機制和承受的安全風險，這些安全機制都是跨站腳本攻擊所要挑戰(zhàn)、克服的。
　　隨后，依據(jù)形成原因不同對跨站腳本攻擊進行了分類，并分別歸納各種類型跨站腳本攻擊的特點。總結(jié)了跨站腳本漏洞挖掘技巧，包括跨站腳本編碼方式以及防御策略繞過技巧。同時研究了跨站腳本在HTML界面中的觸發(fā)機制。
　　另外，搭建了一個虛擬的博客

3、網(wǎng)站系統(tǒng)，針對竊取cookie隱私、跨站腳本釣魚攻擊、跨站腳本蠕蟲攻擊等跨站攻擊方式，通過實例逐個演示了其具體攻擊過程并驗證其危害。簡單探討了鍵盤監(jiān)測、訪問本地剪貼板等其他攻擊方式。
　　最后，鑒于跨站腳本攻擊的主要目的是竊取用戶的敏感信息，其行為特征是未經(jīng)用戶的授權(quán)而將用戶的敏感信息發(fā)送給第三方，本文設計了全新的跨站攻擊防御方法，該方法在客戶端瀏覽器以動態(tài)污點追蹤為主，輔以靜態(tài)污點分析，通過污點追蹤對當前頁面中的敏感信息傳輸進行