Print

针对Ajax跨站脚本攻击的漏洞检测工具PunksⅡ的设计与实现

论文摘要

Web2.0已经成为目前网络上的热点技术,作为其核心技术的Ajax给用户带来了无刷新更新页面的网络快速浏览新体验。然而Ajax中所采用的脚本语言JavaScript却又带来了各种安全隐患问题。为了解决在Ajax技术下的网络安全问题,本文分析了Ajax技术的工作原理和它存在的各种安全漏洞,着重研究了目前整个网络中各国专家最关注的跨站脚本(XSS)攻击的原理和流程。本文分析对比了静态漏洞检测技术和动态漏洞检测技术,得出静态漏洞检测技术容易找到漏洞的函数入口点。在此基础上,本文设计和实现了针对Ajax安全漏洞检测工具PunksⅡ。PunksⅡ采用扫描和分析目标网站源代码的静态扫描方式来确定目标网站的Ajax架构和跨站脚本攻击的函数切入点,从而发现可疑的XSS。PunksⅡ采用Ruby动态脚本语言进行编码,代码量少而功能强。

论文目录

  • 摘要
  • Abstract
  • 第一章绪论
  • 1.1 研究背景
  • 1.2 国内外研究状况
  • 1.3 本文主要工作
  • 1.4 论文组织结构
  • 第二章Ajax的安全漏洞检测
  • 2.1 Ajax技术简介
  • 2.1.1 Ajax工作原理
  • 2.1.2 Ajax的主要技术
  • 2.1.3 Ajax的特点
  • 2.2 Ajax技术安全隐患
  • 2.3 网络安全漏洞扫描技术介绍
  • 2.3.1 静态漏洞检测技术
  • 2.3.2 动态漏洞检测技术
  • 2.4 跨站脚本攻击
  • 2.4.1 跨站脚本攻击的严重性
  • 2.4.2 跨站脚本攻击原理
  • 2.5 小结
  • 第三章PunksⅡ的需求和设计
  • 3.1 整体项目概况
  • 3.2 PunksⅡ的概要设计
  • 3.2.1 设计思想
  • 3.2.2 功能描述
  • 3.3 PunksⅡ的详细设计
  • 3.3.1 流程设计
  • 3.3.2 模块关系
  • 3.3.3 数据库设计
  • 3.4 小结
  • 第四章PunksⅡ的实现
  • 4.1 开发语言与工具
  • 4.2 PunksⅡ实现的主要技术
  • 4.2.1 open-uri模块
  • 4.2.2 document/rexml模块
  • 4.2.3 Ruby中的正则表达式
  • 4.3 模块实现
  • 4.3.1 JavaScript文件名和路径扫描模块
  • 4.3.2 Ajax框架确定
  • 4.3.3 敏感信息匹配
  • 4.4 小结
  • 第五章 PunksⅡ的测试结果
  • 5.1 Ruby运行环境说明
  • 5.2 Mysql运行环境说明
  • 5.3 PunksⅡ测试结果
  • 第六章 总结与展望
  • 致谢
  • 参考文献

    • 相关论文文献

    本文来源: https://www.lw50.cn/article/654d5d10d78692fcf1ca0b0e.html