Ajax Web應(yīng)用程序的XSS漏洞檢測.pdf

1、Web2.0已成為目前網(wǎng)絡(luò)上的熱點技術(shù)，作為其核心技術(shù)的Ajax給用戶帶來了無刷新的網(wǎng)絡(luò)快速瀏覽新體驗。但是，臨界于桌面應(yīng)用程序的“胖客服端”與Web應(yīng)用程序的“瘦客戶端”機(jī)制，Ajax技術(shù)的使用造成web應(yīng)用程序同時具備這兩種客戶端特點的安全威脅。一方面Ajax將部分邏輯轉(zhuǎn)嫁到客戶端相應(yīng)的暴露程序的部分業(yè)務(wù)邏輯；另一方面與Web服務(wù)器的交互信息以及可能的匿名訪問也存在著潛在的攻擊利用價值。尤其是Ajax中采用的腳本語言JavaScri

2、pt更為跨站腳本攻擊(XSS)提供便利。如何檢測Ajax Web應(yīng)用程序中的XSS漏洞，是值得大家共同關(guān)注的有相當(dāng)意義的研究課題，是保障Ajax Web安全的必要措施。
　　 本文的主要分析研究工作如下：
　　 (1)分析了Ajax技術(shù)的工作原理和它存在的各種安全漏洞，著重研究了目前整個網(wǎng)絡(luò)中最受關(guān)注的XSS攻擊的原理、利用方式和檢測方法，并對比分析了靜態(tài)漏洞檢測技術(shù)和動態(tài)漏洞檢測技術(shù)，得出動態(tài)漏洞檢測技術(shù)即錯誤注入技術(shù)

3、它更接近實際情況，錯誤注入技術(shù)是在系統(tǒng)實際運(yùn)行的時候，通過實際的攻擊或模擬的攻擊來發(fā)現(xiàn)漏洞，因此也就更能反映一個系統(tǒng)的實際的安全狀況。
　　 (2)提出基于文本對象模型(DOM)狀態(tài)轉(zhuǎn)換的XSS漏洞檢測算法，并結(jié)合使用逆向工程技術(shù)自動提取系統(tǒng)輸入入口點，構(gòu)建錯誤注入數(shù)據(jù)，綜合運(yùn)用動態(tài)檢測技術(shù)，更細(xì)粒度地檢測Ajax Web應(yīng)用程序的XSS漏洞；提出DOM結(jié)構(gòu)過濾算法減少狀態(tài)數(shù)目，優(yōu)化漏洞檢測算法；提出Ajax XMLHttpRe