论文摘要
JSP作为一种基于Java Servlet的Web开发技术,在动态网页开发方面正在得到越来越广泛的应用,只存在于动态网页的跨站脚本攻击(XSS)漏洞,一样存在于JSP应用程序中。如果对其不加以防范的话,XSS漏洞很可能被一些恶意攻击者利用,给JSP应用程序带来威胁。比如,攻击者可以利用XSS漏洞来盗取客户端cookie值或者其他可以用于标识用户身份的敏感信息,从而利用合法用户身份做一些恶意攻击。本文首先介绍了跨站脚本漏洞的形成原理,分类,以及防范措施等一些基本情况,同时回顾了目前针对XSS漏洞的主要检测方法,并分析其各自的优缺点。接着介绍了几种主要的静态代码分析技术以及它们在安全漏洞检测方面的应用。在此基础上,对XSS漏洞形成过程进行了分析,设计了一组XSS漏洞存在的判断条件。然后提出一个基于控制流分析和数据流分析的静态检测方法,对JSP源代码进行静态分析,得到相关语句之间的控制流信息和数据流信息,在使用这些信息来得到漏洞存在判断条件的状态组合,从而得出检测结果。针对单个JSP页面做检测的同时也考虑那些在页面间传递的数据,从页面级别漏洞中筛选出程序级别漏洞。然后在静态检测方法的基础上设计和实现了一个针对JSP跨站脚本漏洞的静态检测系统,并对系统进行了测试。最后总结了检测方法存在的不足,并对后继工作进行了展望。
论文目录
相关论文文献
- [1].IT资产高速探查及漏洞发现系统的研究[J]. 软件 2019(12)
- [2].通信自动化信息安全漏洞及防范措施的研究[J]. 科技创新与应用 2020(05)
- [3].定量和定性相结合的物联网漏洞分类方法研究[J]. 通信技术 2020(02)
- [4].国家信息安全漏洞通报[J]. 中国信息安全 2020(01)
- [5].国际漏洞公平裁决程序初探——从漏洞治理国际合作的角度[J]. 国外社会科学 2020(02)
- [6].从国家漏洞数据库建设看美国网络安全漏洞管理体系[J]. 保密科学技术 2020(02)
- [7].国家信息安全漏洞通报[J]. 中国信息安全 2020(03)
- [8].国家信息安全漏洞通报[J]. 中国信息安全 2020(04)
- [9].安卓系统曝出高危漏洞[J]. 计算机与网络 2020(11)
- [10].浅谈自动化漏洞利用的发展[J]. 信息系统工程 2020(06)
- [11].风险漏洞 处处小心[J]. 网络安全和信息化 2019(02)
- [12].国家信息安全漏洞通报[J]. 中国信息安全 2018(12)
- [13].国家信息安全漏洞通报[J]. 中国信息安全 2019(01)
- [14].和平共处五项原则下的漏洞治理国际合作[J]. 信息安全与通信保密 2019(01)
- [15].国家信息安全漏洞通报[J]. 中国信息安全 2019(02)
- [16].国家信息安全漏洞通报[J]. 中国信息安全 2019(04)
- [17].国家信息安全漏洞通报[J]. 中国信息安全 2019(05)
- [18].国家信息安全漏洞通报[J]. 中国信息安全 2019(06)
- [19].国家信息安全漏洞通报[J]. 中国信息安全 2019(08)
- [20].国家信息安全漏洞通报[J]. 中国信息安全 2019(09)
- [21].自动化漏洞利用研究进展[J]. 现代计算机 2019(31)
- [22].2017年国内外信息安全漏洞情况[J]. 中国信息安全 2018(01)
- [23].防御漏洞利用工具[J]. 网络安全和信息化 2017(05)
- [24].实现系统全量漏洞核查[J]. 网络安全和信息化 2018(06)
- [25].国家信息安全漏洞通报[J]. 中国信息安全 2018(08)
- [26].安全漏洞的完整生命周期管理[J]. 网络安全和信息化 2018(10)
- [27].国家信息安全漏洞通报[J]. 中国信息安全 2018(11)
- [28].浅析漏洞精细化管理[J]. 网络空间安全 2016(Z2)
- [29].我国漏洞披露平台安全问题分析及对策建议[J]. 保密科学技术 2017(01)
- [30].信息安全漏洞闭环管理的研究[J]. 通讯世界 2016(23)