跨站脚本攻击及防御技术的分析研究.pdf

学位论文作者签名：砰秀赴签字日期：汕月签字日期：为／月／乙同学位论文版权使用授权书本学位论文作者完全了解北京交通大学有关保留、使用学位论文的规定。特授权北京交通大学可以将学位论文的全部或部分内容编入有关数据库进行检索，提供阅览服务，并采用影印、缩印或扫描等复制手段保存、汇编以供查阅和借阅。同意学校向国家有关部门或机构送交论文的复印件和磁盘。Ｃ艿难宦畚脑诮饷芎笫视帽臼谌ㄋ得导师签名：
北京交通大学硕士学位论文跨站脚本攻击与防御技术研究作者姓名：邱勇杰导师姓名：姜建国学位类别：工学学科专业：信息安全职称：研究员学位级别：硕士研究方向：网络安全年学号：猄中图分类号：学校代码：密级：公开．
致谢本论文是在我的导师姜建国研究员的悉心指导下完成的，姜老师严谨态度和科学的工作方法让我非常敬佩。姜老师对我的的学业和生活给予了关心和帮助，没有姜老师的教导与关心，我就无法顺利的完成这篇论文和究生学业。在此衷心感谢两年来姜建国老师对我的关心和指导。在国家保密科学技术研究所实****期间，保密研究所的领导和老师给我和学****提供了很多的帮助，在学****上和生活上都给予了我很大的关心和帮守吉主任对于我的论文选题和成文提出了许多建议和宝贵意见，李敏主任的科研工作和论文也给予了很多帮助，胡延军主任也对我的学****和生活提多帮助，在此一并表示感谢。此文中的主要工作是在解放军某部完成的，在此期间，同室的韩工程工程师和王工程师等同事对我的研究工作给予了很大的帮助，让我获益匪此向他们表达我的感激之情。也要感谢实验室的同学们，他们也对我的研了很好的建议。另外也感谢我的父母和家人，他们的理解和支持使我能够在学校专心的学业，是我完成这篇论文和相关研究的坚实保障。
中文摘要本文在对跨站脚本攻击的应用基础之上，参考大量的国内外相关文献和资料，对跨站脚本攻击的技术与防御进行了深入的研究和实践。针对跨站脚本的产生原理，如何发掘与利用，以及在各方面如何防范做出了详细的描述。并且，在广泛实际运用的基础上，搭建演示环境，对文中所使用的各种操作和技巧进行详细的演示。本文研究和分析了当前网络安全背景，并对跨站脚本攻击的研究背景做出翔实的介绍和分析。介绍了跨站脚本的概念和基本过程，并且介绍了与跨站脚本攻击相关的前置知识，如脚本语言，与传统网络攻击的异同等。本文还介绍了跨站脚本攻击所要挑战的主要的踩Ｐ停ㄍ床呗浴踩模型等。并且介绍了跨站脚本漏洞的分类与挖掘，分别介绍了跨站脚本的三种类型，以及跨站脚本的触发机制和挖掘技巧。以及研究了跨站脚本的各种利用方式和实现，包括窃取敏感信息、钓鱼攻击、蠕虫攻击等攻击方式，并给出演示。最后，对跨站脚本攻击的防御提出比较详尽的预防方法和手段，分别在τ帽身和用户两个角度阐述。并且做出总结和研究结论。关键词：跨站脚本；漏洞挖掘；跨站脚本攻击；漏洞防御；踩Ｐ分类号：．
猤血甀∞母猤猤，．，，：籚籛襡瑂琣朗齮．，甌猻瓵琲瓵甀瓵瑆．，．籆—篢．；．
跨站脚本攻击与⋯目录中文摘要⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯。研究背景⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯一跨站脚本攻击严重危害踩ā论文工作和结构⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯。跨站脚本攻击的概念与相关内容⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯一一个最简单的跨站脚本攻击过程⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯。跨站脚本攻击与其他セ鞯牟煌语言和对象⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯跨站脚本攻击挑战的踩ú呗浴同源策略⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯安全模型⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯踩ú呗浴跨站脚本漏洞的分类与挖掘⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯反射型跨站脚本漏洞⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯保存型跨站脚本漏洞⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．基于目缯窘疟韭┒础跨站脚本漏洞触发机制⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯。．苯哟シⅰ．肏昵┦粜源シⅰ．肏录シⅰ．貌愕奖泶シⅰ跨站脚本漏洞挖掘技巧⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯跨站脚本攻击方式与实现⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯盗取等隐私信息⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．跨站脚本钓鱼攻击⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．跨站脚本蠕虫攻击⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．客户端代理攻击⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯前言⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．繫
浏览器劫持⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯其他攻击方式⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．寥”镜孛舾形募．碳嗖狻．梦时镜丶籼濉跨站脚本攻击的防御⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯服务端的防御⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯