摘要
近年来,Web应用程序在人们的日常生活中发挥了重要作用,而同时,web安全问题也越来突出。Web应用程序具有易访问性,这就使得其安全漏洞很容易被利用。其中XSS(Cross-site Scripting,跨站脚本攻击)在所有的Web类安全漏洞中占据了最大比例。XSS漏洞产生的原因是客户端缺少对输入数据的充分验证,从而导致一个攻击者可以利用站点内的信任用户在浏览器端以服务器的权限执行注入代码。多数现有的XSS漏洞检测方法是基于污点数据的,它们没有对输入验证函数的有效性进行分析,从而产生了较高的误报率和漏报率。本文提出一种针对XSS漏洞的静态分析方法,该方法有效结合了污点信息流跟踪技术,并通过对W3C规范文档和Fire Fox源码分析,最终完成了对脆弱的输入验证函数的定位。实验表明。
出处
《信息技术与信息化》
2015年第8期217-219,共3页
Information Technology and Informatization