Ajax Web应用程序的XSS漏洞检测

论文摘要

Web2.0已成为目前网络上的热点技术,作为其核心技术的Ajax给用户带来了无刷新的网络快速浏览新体验。但是,临界于桌面应用程序的“胖客服端”与Web应用程序的“瘦客户端”机制,Ajax技术的使用造成web应用程序同时具备这两种客户端特点的安全威胁。一方面Ajax将部分逻辑转嫁到客户端相应的暴露程序的部分业务逻辑；另一方面与Web服务器的交互信息以及可能的匿名访问也存在着潜在的攻击利用价值。尤其是Ajax中采用的脚本语言JavaScript更为跨站脚本攻击(XSS)提供便利。如何检测Ajax Web应用程序中的XSS漏洞,是值得大家共同关注的有相当意义的研究课题,是保障Ajax Web安全的必要措施。本文的主要分析研究工作如下：(1)分析了Ajax技术的工作原理和它存在的各种安全漏洞,着重研究了目前整个网络中最受关注的XSS攻击的原理、利用方式和检测方法,并对比分析了静态漏洞检测技术和动态漏洞检测技术,得出动态漏洞检测技术即错误注入技术它更接近实际情况,错误注入技术是在系统实际运行的时候,通过实际的攻击或模拟的攻击来发现漏洞,因此也就更能反映一个系统的实际的安全状况。(2)提出基于文本对象模型(DOM)状态转换的XSS漏洞检测算法,并结合使用逆向工程技术自动提取系统输入入口点,构建错误注入数据,综合运用动态检测技术,更细粒度地检测Ajax Web应用程序的XSS漏洞；提出DOM结构过滤算法减少状态数目,优化漏洞检测算法；提出Ajax XMLHttpRequest检测算法特殊检测Ajax中利用XMLHttpRequest攻击的漏洞。(3)设计并实现基于DOM状态转换的XSS漏洞检测工具AjaxXSS_Detector,详细讲述该工具主要模块的功能和工作流程。最后将工具运用到真实项目中,从可用性、可扩展性、自动化程度三个方面评估其效用,分析实验结果。

论文目录

摘要

Abstract

插图索引

附表索引

第1章绪论

1.1 研究背景

1.1.1 Ajax概述

1.1.2 XSS攻击

1.2 国内外研究现状

1.3 本文主要研究工作

1.4 论文结构

第2章 Ajax技术及其安全性研究

2.1 Ajax工作原理

2.2 Ajax核心技术

2.2.1 JavaScript脚本语言

2.2.2 XMLHttpRequest对象

2.2.3 DOM文档对象模型

2.3 Ajax应用实例

2.4 Ajax安全性研究

2.5 网络安全漏洞检测技术介绍

2.5.1 静态漏洞检测技术

2.5.2 动态漏洞检测技术

2.6 本章小结

第3章 XSS漏洞检测方法研究

3.1 XSS漏洞原理

3.2 XSS漏洞类型

3.2.1 本地利用漏洞

3.2.2 反射式漏洞

3.2.3 存储式漏洞

3.4 XSS漏洞利用方式

3.5 XSS漏洞检测方法

3.6 本章小结

第4章 Ajax XSS漏洞检测工具设计与实现

4.1 Ajax应用状态转换图

Detector的整体结构'>4.2 AjaxXSS_Detector的整体结构

Detector的核心算法'>4.3 AjaxXSS_Detector的核心算法

4.3.1 基于状态转换的Ajax XSS漏洞检测算法

4.3.2 Ajax XMLHttpRequest检测

4.3.3 DOM结构过滤

Detector主要模块与实现'>4.4 AjaxXSS_Detector主要模块与实现

4.4.1 User Simulator模块

4.4.2 Browser Simulator模块

4.4.3 Crawljax Controller模块

Detector工具的实现'>4.4.4 AjaxXSS_Detector工具的实现

Detector的测试与分析'>4.5 AjaxXSS_Detector的测试与分析

4.5.1 测试环境和目标

4.5.2 测试结果分析

4.6 本章小结

结论

参考文献

致谢

附录A 攻读硕士学位期间所参与的科研项目

Ajax Web应用程序的XSS漏洞检测

论文摘要

论文目录

相关论文文献

猜你喜欢