一种基于脚本策略分析的XSS漏洞检测方法

下载PDF

导出

摘要近年来,Web应用程序在人们的日常生活中发挥了重要作用,而同时,web安全问题也越来突出。Web应用程序具有易访问性,这就使得其安全漏洞很容易被利用。其中XSS(Cross-site Scripting,跨站脚本攻击)在所有的Web类安全漏洞中占据了最大比例。XSS漏洞产生的原因是客户端缺少对输入数据的充分验证,从而导致一个攻击者可以利用站点内的信任用户在浏览器端以服务器的权限执行注入代码。多数现有的XSS漏洞检测方法是基于污点数据的,它们没有对输入验证函数的有效性进行分析,从而产生了较高的误报率和漏报率。本文提出一种针对XSS漏洞的静态分析方法,该方法有效结合了污点信息流跟踪技术,并通过对W3C规范文档和Fire Fox源码分析,最终完成了对脆弱的输入验证函数的定位。实验表明。

作者张伟东

机构地区湖北经济学院信息工程学院

出处《信息技术与信息化》 2015年第8期217-219,共3页 Information Technology and Informatization

关键词 WEB应用静态分析输入验证

分类号 TP393.08 [自动化与计算机技术—计算机应用技术]

引文网络
相关文献

参考文献4

1O.Hallaraker and G.Vigna.Detecting Malicious Java Script Code in Mozilla[A].In ICECCS’05:Proceedings of the 10th IEEE International Conference on Engineering of Complex Computer Systems[C].2005:85–94.
2J.Foster,M.F?hndrich,A.Aiken.A Theory of Type Qualifiers[A].In Proceedings of the ACM SIGPLAN Conference on Programming Language Design and Implementation(PLDI)[C].Atlanta,Georgia,1999(5):1-5.
3J.S.Foster,T.Terauchi,A.Aiken.Flow-sensitive Type Qualifiers[A].In PLDI'02:Proceedings of the ACM SIGPLAN 2002 Conference on Programming language design and implementation[C].2002:1-12.
4C.Gould,Z.Su,and P.Devanbu.Static Checking of Dynamically Generated Queries in Database Applications[A].In Proceedings of the 25th International Conference on Software Engineering(ICSE)[C].2004:645-654.

1张延红,范刚龙.SQL Server数据库安全漏洞及防范方法[J].计算机时代,2006(10):16-18. 被引量：5
2黄震.ASP.NET中的输入验证方法[J].高师理科学刊,2006,26(3):38-41. 被引量：1
3张建武,陈禹.软件代码安全问题分类原则[J].保密科学技术,2013,0(1):66-69. 被引量：1
4孙伟,张凯寓,薛临风,徐田华.XSS漏洞研究综述[J].信息安全研究,2016,2(12):1068-1079. 被引量：7
5林永和.网络时代应对黑客的技巧和办法[J].政法学刊,2009,26(3):122-123.
6刘丽琳,岑柏滋.浅析网站数据库安全中的SQL注入及防范措施[J].和田师范专科学校学报,2007,27(1):188-189. 被引量：1
7阚红星,杨善林,袁暋.一种Web输入验证的鱼骨刺测试模型[J].合肥工业大学学报（自然科学版）,2008,31(4):527-530. 被引量：1
8杨洪路,宫云战,高文龄,白哥乐.软件安全静态检测技术与工具[J].信息化纵横,2009(9):70-72. 被引量：13
9蒋志初,胡毅.一个WEB漏洞从发现到修补的实例分析[J].网络安全技术与应用,2015(7):14-14. 被引量：1
10张琳.Android安全技术分析[J].电子技术与软件工程,2016(18):211-211. 被引量：1

信息技术与信息化

2015年第8期

浏览历史

内容加载中请稍等...

一种基于脚本策略分析的XSS漏洞检测方法

参考文献4

相关作者

相关机构

相关主题

浏览历史