基于约束分析的跨站脚本防御方法研究被引量：3

Research on cross-site scripting protection with constraint analysis

下载PDF

导出

摘要跨站脚本是一种针对web客户端的脚本注入攻击技术,在对现有防御思想研究的基础上,提出了一种客户端的防御算法,通过在JavaScript抽象语法树的基础上实施静态约束分析,建立敏感数据的约束系统,从而能准确地对污点进行动态追踪,有效阻止恶意脚本的执行。该模型提升了浏览器安全性,使其能防御跨站脚本攻击,并且无需修改服务器端的程序代码,具有很强的实用性和扩展性。 Cross-site scripting is to inject script content in the user＇s browser through several attacks. A novel client-side ap- proach is proposed to prevent XSS attacks at the basis of existing research. Through a static constraint analysis based on Java Script abstract syntax tree, a constraint system for sensitive information is constructed, which can be used to dynamic tracking tainted data and successfully stop the execution of malicious script. This technique has good flexibility and scalability in that it improves the security of web browser, meanwhile, doesn＇t need to modify the server-side codes.

作者章明施勇薛质

机构地区上海交通大学信息安全工程学院

出处《计算机工程与设计》 CSCD 北大核心 2013年第4期1192-1196,共5页 Computer Engineering and Design

基金国家自然科学基金项目(61171173)

关键词跨站脚本浏览器安全约束分析污点追踪信息流分析 cross-site scripting browser security constraint analysis taint tracking flow analysis

分类号 TP393 [自动化与计算机技术—计算机应用技术]

引文网络
相关文献

参考文献11

1OWASP top ten project for 2010 [EB/OL]. [-2010-04-19]. http://www, owasp, org.
2Kirda E, Jovanovic N. Client-side cross-site scripting protection [J]. Computers & Security, 2009, 28 (7): 592-604.
3Saxena P, Song D. Document structure integrity: A robust basis for cross-site scripting defense [C] //San Diego, USA: 16th Annual Network & Distributed System Security Symposium, 2009.
4Louw M T, Venkatakrishnan V N. BluePrint: Robust prevention of cross-site scripting attacks for existing browsers [C]// Oakland, USA: 30th IEEE Symposium on Security and Privacy, 2009: 331-346.
5Gulwani S, Tiwari A. Constraint-based approach for analysis of hybrid systems [G]. LNCS 5123: Computer Aided Verification, 2008: 190-203.
6Russo A, Sabelfeld A, Dynamic VS. Static flow-sensitive security analysis [C] //Edinburgh, UK.. 23rd Computer Security Foundations Symposium, 2010: 186-199.
7Lam M S, Martin M. Securing web applications with static and dynamic information flow tracking [C] //New York, USA: Proceedings of the ACM SIGPLAN symposium on Partial Evaluation and Program Manipulation, 2008: 3-12.
8ZHANG Q, CHEN H. An execution flow based method for detecting cross-site scripting attacks[C]//2nd International Conference on Software Engineering and Data Mining, 2010: 160-165.
9Vogt P, Nentwich F. Cross-site scripting prevention with dynamic data tainting and static analysis [C]//San Diego, CA: 14th Annual Network and Distributed System Security Symposium, 2007.
10Shon Harris. CISSP all-in-one exam guide [M]. 5th ed. Mc Graw-Hill Osborne Media, 2010.

同被引文献13

1Wichers D. The top 10 most critical web application security risk [R]. Belgium: The Open Web Application Security Project (OWASP), 2010.
2Faghani M, Saidi H. Social networks' XSS worms [C] //International Conference on Computational science and Engieering Vancouver, Canada: IEEE Computer Society, 2009: 1137-1141.
3Vogt P. Cross site scripting (XSS) attack prevention with dynamic data tainting on the client side [D]. Vienna: Technical University of Vienna, 2006.
4Fogie S, Hansen R, Rager A, et al. XSS attacks: Cross site scripting exploits and defense [M]. New York: Syngress Media, 2007.
5Sun F, Xu L, Su Z. Client-side detection of XSS worms by mo- nitoring payload propagation [C]// Proceeding of the 14th European Conference on Research in Computer Security. Saint-Malo, France: ACM, 2009: 539-554.
6朱辉,沈明星,李善平.Web应用中代码注入漏洞的测试方法[J].计算机工程,2010,36(10):173-175. 被引量：9
7何锐,李艳,刘红.基于CDN内容分发的研究与应用[J].通信技术,2011,44(3):111-112. 被引量：9
8王夏莉,张玉清.一种基于行为的XSS客户端防范方法[J].中国科学院研究生院学报,2011,28(5):668-675. 被引量：15
9王晓尉.CDN网络中多链路负载均衡流量管理技术分析与研究[J].电脑知识与技术,2012,8(5):3086-3087. 被引量：2
10陈景峰,王一丁,张玉清,刘奇旭.存储型XSS攻击向量自动化生成技术[J].中国科学院研究生院学报,2012,29(6):815-820. 被引量：7

引证文献3

1蒋华,徐中原,王鑫.基于行为的XSS攻击防范方法[J].计算机工程与设计,2014,35(6):1911-1914. 被引量：6
2钱铭铭,康锦涛,陈舟宁.一种基于XSS攻击防御的安全CDN研究[J].网络安全技术与应用,2017(7):45-48. 被引量：1
3齐晓霞,丁黄法,王琦进.基于特征集合的XSS漏洞安全研究[J].西华大学学报（自然科学版）,2018,37(6):37-41. 被引量：4

二级引证文献11

1柳毅,洪俊斌.基于网络爬虫与页面代码行为的XSS漏洞动态检测方法[J].电信科学,2016,32(3):87-91. 被引量：13
2刘淼,谢冬青,王刚.Web攻击与防范实验设计[J].实验室科学,2016,19(2):84-86. 被引量：2
3谭彬,杨明,梁业裕,宁建创.Web安全漏洞研究和防范[J].通信技术,2017,50(4):795-802. 被引量：15
4涂玲,马跃,程诚,周彦晖.基于协议混合变形的Web安全模糊测试与效用评估方法[J].计算机科学,2017,44(5):141-145. 被引量：10
5赵荷,赵海燕,宁多彪,谭良.基于序列比对检测的优化SRE多态蠕虫防御方法[J].计算机工程与设计,2017,38(9):2379-2384. 被引量：2
6陆星宇.基于流量分析的网络安全防御系统应用与研究[J].网络安全技术与应用,2019,0(8):26-28. 被引量：2
7文晶,郑扬飞.基于Stacking的社区矫正人员标签生成[J].计算机与现代化,2020,0(3):60-64. 被引量：1
8文春生,唐阳华.基于Web环境的网站渗透测试技术探究[J].湖南科技学院学报,2020,41(5):44-48. 被引量：1
9李立,原建伟.HTML5的CSRF攻击与防御技术研究[J].微型电脑应用,2021,37(10):36-38.
10温嵩杰,罗鹏宇,胥小波,范晓波.基于机器学习建模的XSS攻击防范检测[J].通信技术,2022,55(3):351-358.

1赵代.你的IE浏览器安全吗?[J].电脑迷,2004,0(8):93-93.
2小金.浏览器安全漏洞分析警惕“跳窗”而入的攻击[J].新电脑,2006,30(11):128-131.
3阿易.快乐的理由—IE浏览器安全面面观[J].信息时空,2003(1):70-72.
4庄小妹,罗泽林,张贵洲,陈思亮,谢乔.网页木马的注入与清除[J].广东培正学院学报,2013,13(2):75-77.
5周景平.从“泄密门”谈浏览器安全[J].程序员,2012(3):45-46. 被引量：1
6钱伟俊.使用跨站伪造请求(CSRF)来攻击网络设备[J].信息安全与通信保密,2014,12(8):115-117. 被引量：1
7卢永强,方勇,方昉,蒲伟.浏览器隐私信息存储与保护技术研究[J].信息安全与通信保密,2013,11(4):84-85. 被引量：2
8罗云庚.浏览器安全技术研究[J].计算机与现代化,2004(12):138-140. 被引量：3
9其航.你的浏览器安全吗？在线给浏览器查漏补遗[J].在线技术,2005(1):45-45.
10赵玉龙,张旋,刘梦瑶,李沁蕾.跨站脚本攻击实践及防范[J].网络安全技术与应用,2010(7):55-57. 被引量：2

计算机工程与设计

2013年第4期

浏览历史

内容加载中请稍等...

基于约束分析的跨站脚本防御方法研究被引量：3

参考文献11

同被引文献13

引证文献3

二级引证文献11

相关作者

相关机构

相关主题

浏览历史

基于约束分析的跨站脚本防御方法研究 被引量：3

参考文献11

同被引文献13

引证文献3

二级引证文献11

相关作者

相关机构

相关主题

浏览历史

基于约束分析的跨站脚本防御方法研究被引量：3