摘要:
随着互联网技术的迅速发展,Web应用新兴网络服务已经影响到人们日常生活的各个方面。互联网服务带来便利的同时也常常伴随着风险,频频发生的网络安全事件对社会和个人带来了极大的困扰。XSS漏洞是众多Web应用漏洞中一种危害极大且影响极为广泛的漏洞。攻击者通过混淆、伪造代码等技术手段来躲避防护系统的检测,将代码植入Web应用的页面,从而达到攻击用户的目的。针对XSS漏洞的检测与防御,从服务器与客户端协同检测和防御的角度进行研究。首先,总结了XSS漏洞产生原理、危害、类型和触发机制,分析了现有的针对XSS攻击的检测技术和防御机制,重点说明了在IIS服务器端的开发技术ISAPI。其次,基于服务器与客户端协同操作,提出了一个由服务器端与客户端组成的协同检测和防御模型。在客户端检测模块使用动态检测技术实现了对XSS漏洞的检测分析,防御模块使用JavaScript技术监视了用户界面操作,进行了DOM型XSS攻击行为的实时防御,完成了对XSS攻击的初步检测和防御。在服务器端使用正则表达式匹配和敏感字符过滤技术,分析检测过滤了用户提交的HTTP请求和服务器响应客户端请求的数据,实现了反射型和存储型的XSS攻击实时防御,两端的协同处理将三种类型XSS攻击完美防御。再次,基于漏洞检测和防御模型,客户端采用JavaScript技术,服务器端采用ISAPI技术,以模型工作流程为基础,按照模型各层次的设计,分别给出了各个层次模块的具体实现过程。构建完成了基于服务器与客户端协同的XSS漏洞检测和防御系统。最后,基于漏洞检测和防御系统,设计了一组针对目标Web应用的XSS漏洞检测和防御实验。以检测效率、漏报率和误报率作为衡量指标,并同目前常用的漏洞测试工具Safe3WVS进行对比分析,说明所设计和实现的XSS漏洞检测和防御系统的有效性和实用性。
展开
1077
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
