基于指令集隨機(jī)化的XSS檢測(cè)系統(tǒng)研究.pdf

1、隨著Web2.0技術(shù)的興起，互聯(lián)網(wǎng)成為交流的主要媒介和商業(yè)活動(dòng)渠道，Web應(yīng)用程序的數(shù)量得到了極大的增加，這些Web應(yīng)用程序提供了人們?nèi)粘Ｋ璧母鞣N服務(wù)，如購(gòu)物、銀行、娛樂(lè)等等。但同時(shí)，這些Web應(yīng)用程序包含了許多潛在的安全漏洞，且每天都以驚人的速度被發(fā)現(xiàn)和利用?？缯灸_本(XSS)作為Web安全漏洞的一種，被研究者和業(yè)內(nèi)人士普遍認(rèn)為是Web應(yīng)用程序中最普遍和流行的安全漏洞。
　　以實(shí)現(xiàn)功能為導(dǎo)向的這種自然而簡(jiǎn)單的軟件開(kāi)發(fā)思路來(lái)指導(dǎo)

2、開(kāi)發(fā)Web應(yīng)用程序是很容易導(dǎo)致XSS以及其他安全漏洞的。為了應(yīng)對(duì)這種情況，多年來(lái)各種安全工具被開(kāi)發(fā)出來(lái)，用于避免開(kāi)發(fā)過(guò)程中常見(jiàn)的Web應(yīng)用程序漏洞。然而，現(xiàn)有的技術(shù)工具，包括一些新興防御技術(shù)，都存在著各種不盡如人意的缺陷，如實(shí)用性不佳，部署方式欠靈活，性能損失較大以及較大的誤報(bào)率和漏檢率等。理想情況下，一個(gè)可靠、高效和可配置的服務(wù)器端工具應(yīng)該可以無(wú)縫地用來(lái)保護(hù)任何組織的系統(tǒng)，防御不斷進(jìn)化的XSS威脅，無(wú)論是已被發(fā)現(xiàn)的還是未被發(fā)現(xiàn)的。

3、r>　　在本文中，我們?cè)敿?xì)介紹了XSS的定義和常見(jiàn)類型，闡述了可能導(dǎo)致XSS的來(lái)源和載體，以及XSS攻擊的原因，影響和特別之處。介紹了XSS的典型利用場(chǎng)景和危害，探討了現(xiàn)實(shí)世界中可能被攻擊者所使用的工具，逃避當(dāng)前網(wǎng)絡(luò)防御機(jī)制的方法和流程。對(duì)過(guò)去已有的和新興的保護(hù)解決方案根據(jù)他們的部署點(diǎn)進(jìn)行了分類介紹和總結(jié)。
　　最后，根據(jù)軟件工程、安全編碼，和防火墻的理論，我們提出了一套設(shè)計(jì)原則。我們的框架系統(tǒng)根據(jù)這些原則開(kāi)發(fā)，在實(shí)用性、檢測(cè)率和