跨站腳本攻擊特性分析和防御技術(shù)研究.pdf

1、早期的Web給用戶提供的功能僅僅是信息的展示,用戶能做的只是選擇瀏覽哪些頁(yè)面,缺少與服務(wù)器的交互。隨后,在Web2.0概念的廣泛影響下,Web站點(diǎn)提供的服務(wù)內(nèi)容和服務(wù)方式有了翻天覆地的變化,與早期單一的信息展示相比,如今的網(wǎng)絡(luò)應(yīng)用更加注重用戶的體驗(yàn)和與用戶的交流,用戶可以提交輸入數(shù)據(jù)甚至影響網(wǎng)站數(shù)據(jù)庫(kù)中的內(nèi)容。如果對(duì)這些用戶的輸入沒有進(jìn)行足夠的檢查和過濾,就有可能存在跨站腳本漏洞。
　　跨站漏洞存在的根本原因是對(duì)用戶輸入缺乏充分的

2、檢查和過濾,而跨站攻擊實(shí)現(xiàn)的根本途徑是惡意代碼經(jīng)過混淆、偽造等掩飾手段成功躲避過防御系統(tǒng)。針對(duì)上述問題,本文開展了以下研發(fā)工作:
　　1、實(shí)現(xiàn)了一個(gè)針對(duì)跨站腳本攻擊的協(xié)同檢測(cè)和防御系統(tǒng),從檢測(cè)和防御兩方面入手:檢測(cè)模塊在用戶發(fā)出頁(yè)面請(qǐng)求時(shí),通過動(dòng)態(tài)測(cè)試方式模擬攻擊行為,檢測(cè)可能存在的跨站漏洞,驗(yàn)證網(wǎng)站脆弱性,完善網(wǎng)站服務(wù)器對(duì)用戶的輸入驗(yàn)證;防御模塊在服務(wù)器端使用分離策略和標(biāo)記算法將 Web頁(yè)面中的非信任內(nèi)容進(jìn)行分離,同時(shí)在客戶端引

3、入末端限制和混淆代碼檢測(cè)等手段對(duì)標(biāo)記出的非信任內(nèi)容進(jìn)行分析和檢測(cè),協(xié)同完成跨站腳本防御工作。
　　2、現(xiàn)階段的協(xié)同系統(tǒng)對(duì)跨站腳本攻擊的防御往往過分依賴服務(wù)器端,客戶端做的工作有限,這造成了服務(wù)器端系統(tǒng)開銷巨大而客戶端資源閑置的局面。本系統(tǒng)對(duì)模板引擎進(jìn)行了改進(jìn),服務(wù)器端在整個(gè)防御體系中只負(fù)責(zé)非信任內(nèi)容的分離,而頁(yè)面的生成和非信任內(nèi)容的檢測(cè)工作都在客戶端完成,這樣就減輕了服務(wù)器和網(wǎng)絡(luò)帶寬的壓力。另外,對(duì)于跨站漏洞的檢測(cè)工作,一般的檢測(cè)

4、手段普遍存在針對(duì)性不強(qiáng),漏檢率過高的情況。本系統(tǒng)對(duì)Fuzzing技術(shù)進(jìn)行了升級(jí)改進(jìn):從實(shí)際網(wǎng)絡(luò)中引入原始測(cè)試用例;擴(kuò)展HTML、CSS和JS為測(cè)試用例的語(yǔ)句元素,改進(jìn)后的測(cè)試方法,生成的測(cè)試用例針對(duì)性很強(qiáng),效率更高。
　　3、本文實(shí)現(xiàn)的協(xié)同檢測(cè)和防御系統(tǒng),借鑒分布式系統(tǒng)思想,解放了服務(wù)器,依靠數(shù)量巨大的客戶群和服務(wù)器共同完成跨站腳本攻擊的檢測(cè)和防御工作。經(jīng)過架設(shè)的虛擬網(wǎng)絡(luò)環(huán)境的實(shí)驗(yàn)驗(yàn)證,本系統(tǒng)在保證對(duì)存儲(chǔ)型、反射型和DOM(文檔對(duì)