跨站脚本攻击客户端防御技术研究.pdf

万方数据
劣妻京交癌一名哥硕士专业学位论文跨站脚本攻击客户端防御技术研究作者：鲍泽民导师：王根英北京交通大学年
万方数据
鲍’择民签字日期：训／够年学位论文版权使用授权书本学位论文作者完全了解北京交通大学有关保留、使用学位论文的规定。特授权北京交通大学可以将学位论文的全部或部分内容编入有关数据库进行检索，提供阅览服务，并采用影印、缩印或扫描等复制手段保存、汇编以供查阅和借阅。同意学校向国家有关部门或机构送交论文的复印件和磁盘。Ｃ艿难宦畚脑诮饷芎笫视帽臼谌ㄋ得学位论文作者签名：导师签名：
万方数据
北京交通大学硕士专业学位论文跨站脚本攻击客户端防御技术研究作者姓名：鲍泽民导师姓名：王根英学号：职称：副教授工程领域：电子与通信工程学位级别：硕士年学校代码：·密级：公开
万方数据
致谢时光荏苒，硕士生涯临近尾声。非常有幸能够在北京交通大学网络舆论安全研究中心攻读电子与通信工程的硕士学位。谨向我的导师王根英老师致以最衷心的谢意。没有他的帮助和支持，我将无法完成这篇毕业论文。这份毕业论文完成期间，王根英老师以其深厚的专业知识对我的毕业论文悉心指导。他严谨的学术态度、耐心的指导和真诚的鼓励使我从最困难的时期坚持了过来。我还要感谢在完成毕业论文期间和我一起奋斗的实验室同伴们：奚浩瀚、刘勇、闰子淇、李敬怡等。他们不但对我的毕业论文提供了建议和帮助，更重要的是他们让整个过程充满了有趣而又难忘的回忆。最后，我还要感谢我的父母。谢谢他们无条件的伟大的爱
万方数据
摘要跨站脚本攻击是当今τ昧煊蛭：ψ钛现亍⒆畛＜耐仓唬霉セ根源于τ冒踩ɑ频谋∪趸方冢憾杂没淙肴狈ψ愎坏墓舜怼Ｋ淙辉服务器端修复τ弥械目缯窘疟韭┒纯梢愿拘越饩龈梦侍猓怯捎诎踩补丁的更新速度慢，系统运维人员的安全意识薄弱等各种原因，仍有很多用不能及时修复漏洞，从而导致用户在使用这些应用时处于遭受跨站攻击的风险下。因而为了提高用户面对跨站脚本攻击的主动防御能力，研究客户端的跨站攻击防御措施显得很有必要。论文的主要工作包括以下四个方面：首先，论述了τ玫陌踩肿矗治隽丝突Ф讼钟械陌踩ɑ坪统惺艿安全风险，这些安全机制都是跨站脚本攻击所要挑战、克服的。随后，依据形成原因不同对跨站脚本攻击进行了分类，并分别归纳各种类型跨站脚本攻击的特点。总结了跨站脚本漏洞挖掘技巧，包括跨站脚本编码方式以及防御策略绕过技巧。同时研究了跨站脚本在界面中的触发机制。另外，搭建了一个虚拟的博客网站系统，针对窃取隐私、跨站脚本钓鱼攻击、跨站脚本蠕虫攻击等跨站攻击方式，通过实例逐个演示了其具体攻击过程并验证其危害。简单探讨了键盘监测、访问本地剪贴板等其他攻击方式。最后，鉴于跨站脚本攻击的主要目的是窃取用户的敏感信息，其行为特征是未经用户的授权而将用户的敏感信息发送给第三方，本文设计了全新的跨站攻击防御方法，该方法在客户端浏览器以动态污点追踪为主，辅以静态污点分析，通过污点追踪对当前页面中的敏感信息传输进行监测，当敏感信息有异常操作时向用户发出警告，从而有效阻止客户端敏感信息的泄露，实现对跨站攻击的有效拦截。并通过对引擎的扩展，在开源的鲜迪至嘶于该方法的插件，验证了防御方法的有效性和可行性。关键词：跨站脚本攻击，浏览器安全，动态污点追踪，静态分析分类号：
万方数据
甌：猻．．瓾，．．．：．琣，，甧．珺甔’琣甎．琧，．．篢
万方数据
目录摘要⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．绪论⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．研究背景⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．．研究现状⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯一论文的主要工作⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯一论文的组织结构⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯一客户端安全机制⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．同源策略⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯同源策略⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯一同源策略⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯床呗浴沙盒机制⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯一浏览器安全的新特性⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．．本章小结⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．跨站脚本攻击技术⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯跨站脚本的分类⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．瓷湫汀．娲⑿汀跨站脚本漏洞挖掘⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．缯窘疟境＜嗦敕绞健．缯窘疟韭┒垂乖旒记伞．缯窘疟镜囊话惴⑾至鞒獭跨站脚本触发机制⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯．苯哟シⅰ．肏昵┦粜源シⅰ．肏录シⅰ．貌愕奖泶シⅰ本章小结⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯⋯跨站脚本攻击实现