基于AJAX應用程序的跨站腳本攻擊防御方法研究.pdf

1、Web2.0應用程序以其界面友好、功能豐富、實用性強等特點受到越來越多Web應用開發(fā)者和使用者的青睞?；赪eb2.0應用程序的特點，它允許接受不受信任的來源，導致針對Web2.0應用程序漏洞的攻擊已超過所有安全漏洞攻擊的三分之二。隨著Web2.0的發(fā)展，越來越多的計算工作被放到客戶端處理，AJAX(Asynchronous JavaScript and XML)技術就是這一技術最典型的應用。但目前的安全技術發(fā)展遠遠落后于應用技術的發(fā)展

2、，使得其屢遭攻擊。
　　 JavaScript是AJAX程序的基石，正常程序需要利用它使程序交互性更強，同時攻擊者也會利用它達成各種攻擊目的，跨站腳本(cross-site scripting，XSS)攻擊就是最常利用JavaScript來編寫惡意代碼侵害Web用戶的攻擊手段之一。MITRE’s CVE列表顯示，在各種Web漏洞中，XSS已成為最普遍且最危險的漏洞之一，通過向網(wǎng)頁插入惡意腳本代碼，導致用戶瀏覽網(wǎng)頁時惡意代碼在瀏覽

3、器中不知不覺的執(zhí)行，竊取用戶隱私信息。如何區(qū)分JavaScript代碼的正常和惡意部分成了檢測跨站腳本的關鍵之所在。
　　 基于上述原因，本文提出了一種JavaScript執(zhí)行流分析的AJAX應用程序跨站腳本檢測方法，通過分析AJAX程序在客戶端瀏覽器中運行時JavaScript函數(shù)的執(zhí)行流，形成有限狀態(tài)機(finite-state automata，F(xiàn)SA)來模擬程序的正常運行行為。本文的工具部署于代理中，無需修改程序源代碼及