版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)
文檔簡介
1、Web app是一種使用web技術(shù)開發(fā)的智能終端上的移動應(yīng)用。近年來隨著HTML5技術(shù)的發(fā)展,web app變得越來越流行。web app使用了web的HTML+CS S+JavaScript的開發(fā)技術(shù),它的應(yīng)用界面代碼與程序代碼是相混合的,因此存在跨站腳本漏洞的風(fēng)險。更嚴(yán)重的是,相比傳統(tǒng)的網(wǎng)站,web app存在更多的惡意代碼的入口,例如SMS短消息、二維碼掃描、NFC等。為了分析web app安全性,本文提出一種基于靜態(tài)污點分析的w
2、eb app中跨站腳本漏洞的檢測方案,通過掃描web app源代碼中的惡意通道入口和不安全的顯示API,進行它們之間路徑匹配的方式來檢測應(yīng)用中的跨站腳本漏洞。本文的主要工作如下:
提出一種基于靜態(tài)污點分析的web app中跨站腳本漏洞檢測方案。首先檢測出應(yīng)用中的惡意代碼進入通道和程序脆弱API,然后建立應(yīng)用的控制流圖,最后使用污點傳播的方法檢測惡意代碼進入通道和程序脆弱點之間是否存在路徑連接,從而判斷應(yīng)用是否存在跨站腳本漏洞。
3、
利用流不敏感的指向分析技術(shù),提出了一種JavaScript語言控制流圖的生成方法。該方法首先使用JavaScript語法解析器生成程序的過程內(nèi)控制流圖;然后再用流不敏感的指向分析技術(shù)獲得應(yīng)用中的函數(shù)調(diào)用、異步調(diào)用、函數(shù)指針的指向;最終,進一步建立程序的過程間控制流圖。
給出了JavaScript指向分析的方案。該方案通過記錄語句的指向關(guān)系,規(guī)定一組指向關(guān)系推導(dǎo)法則,然后對指向不明確的變量和調(diào)用進行基于指向關(guān)系記錄的
4、指向關(guān)系推導(dǎo),從而獲得其指向結(jié)果。
設(shè)計并實現(xiàn)了web app跨站腳本漏洞檢測工具。該系統(tǒng)包括源代碼提取模塊、控制流圖構(gòu)建模塊和污點分析模塊。源代碼提取模塊從Android的APK文件中逆向出應(yīng)用源代碼,然后再通過JavaScript插入HTML的規(guī)則提取出應(yīng)用中的JavaScript代碼;控制流圖構(gòu)建模塊,通過程序切片裁剪出重要的代碼,然后在通過JavaScript語法解析器獲得代碼的過程內(nèi)控制流圖,最終通過指向分析獲得代碼
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 眾賞文庫僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 跨站腳本漏洞檢測與防御技術(shù)研究.pdf
- 基于滲透測試的跨站腳本漏洞檢測研究.pdf
- 基于網(wǎng)絡(luò)爬蟲的跨站腳本漏洞動態(tài)檢測技術(shù)研究.pdf
- 針對Ajax跨站腳本攻擊的漏洞檢測工具PunksⅡ的設(shè)計與實現(xiàn).pdf
- 跨站腳本攻擊的檢測防御技術(shù)研究.pdf
- 基于滲透測試的跨站點腳本漏洞檢測工具的設(shè)計與實現(xiàn).pdf
- 基于行為的跨站腳本攻擊檢測技術(shù)研究與實現(xiàn).pdf
- 基于代理的跨站腳本攻擊檢測技術(shù)研究.pdf
- 基于行為的跨站腳本攻擊檢測技術(shù)研究與實現(xiàn)
- 基于跨站腳本的攻擊與防范研究.pdf
- 跨站腳本攻擊與防御技術(shù)研究.pdf
- 基于哈希樹匹配模型的跨站腳本攻擊檢測防御研究.pdf
- Web腳本攻擊與防范檢測研究.pdf
- 跨站腳本攻擊特性分析和防御技術(shù)研究.pdf
- Web應(yīng)用漏洞檢測系統(tǒng)的設(shè)計與實現(xiàn).pdf
- 基于漏洞分級和Fuzz技術(shù)的Web漏洞檢測系統(tǒng)的設(shè)計與實現(xiàn).pdf
- Web應(yīng)用漏洞檢測系統(tǒng)研究與設(shè)計.pdf
- 基于網(wǎng)絡(luò)的Web漏洞檢測系統(tǒng)的研究與實現(xiàn).pdf
- Web應(yīng)用的漏洞檢測與防范技術(shù)研究.pdf
- Ajax Web應(yīng)用程序的XSS漏洞檢測.pdf
評論
0/150
提交評論