文档介绍:西安电子科技大学
硕士学位论文
针对Ajax跨站脚本攻击的漏洞检测工具PunksⅡ的设计与实现
姓名:赵婧
申请学位级别:硕士
专业:软件工程
指导教师:刘西洋;郑小莉
20080101
。然而中所采用的脚本语言整个网络中各国专家最关注的跨站脚本セ鞯脑砗土鞒獭1疚姆治龆比了静态漏洞检测技术和动态漏洞检测技术,得出静态漏洞检测技术容易找到漏洞的函数入口点。在此基础上,本文设计和实现了针对【安全漏洞检测工具站的架构和跨站脚本攻击的函数切入点,从而发现可疑的【却又带来了各种安全隐患问题。为了解决在技术下的网络安全问题,本文分析了【技术的工作原理和它存在的各种安全漏洞,着重研究了目前。維采用扫描和分析目标网站源代码的静态扫描方式来确定目标网采用动态脚本语言进行编码,代码量少而功能强。关键词:跨站脚本攻击静态扫描动态扫描
餰畊譶莥硒鱩鴒鷇鷌籧猤猤琾騩籺篹ⅦⅦⅦ够印鷓∞Ⅶ【.【,也,巧锄【Ⅱ巧騦、Ⅳ仃,篽
导师签名:建避卜本人签名:绷日期趟:当丛导师签名:魁鲜谛璺:兰创新性声明关于论文使用授权的说明本人声明所呈交的论文是我个人在导师指导下进行的研究工作及取得的研究成果。尽我所知,除了文中特别加以标注和致谢中所罗列的内容以外,论文中不包含其他人已经发表或撰写过的研究成果;也不包含为获得西安电子科技大学或其它教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均己在论文中做了明确的说明并表示了谢意。申请学位论文与资料若有不实之处,本人承担一切相关责任。本人签名:本人完全了解西安电子科技大学有关保留和使用学位论文的规定,即:研究生在校攻读学位期间论文工作的知识产权单位属西安电子科技大学。本人保证毕业离校后,发表论文或使用论文工作成果时署名单位仍然为西安电子科技大学。学校有权保留送交论文的复印件,允许查阅和借阅论文;学校可以公布论文的全部或部分内容,可以允许采用影印、缩印或其它复制手段保存论文。
衄攻击、跨站点伪造随着计算机技术和网络技术的快速发展,┪侍狻心婀籚兴荆缯窘疟镜奈:河甑应用程序的源代码依赖于实现功能所用的语言和平台,⒄故沟糜没Ц旖莞虻サ幕竦猛缧畔ⅰ4降低了用户的浏览速度,而且极大地浪费了本来就不宽裕的网络带宽。级平台,实现了交互的异步性——无刷新更新页面,减少了用户心理和实际的等待时间。由于在服务器和浏览器之间的数据传递交由控制,开发人员得以跳出以往严格的请求应答模式从而构建更具有用户友好性的甧τ谩5行跨站脚本请求攻击等对用户的数据和信息进行窃取,使得网络中的不安全性增大。根据国际著名开源安全组织时第四位上升至年的第一位。年年初的“熊猫烧香”病毒传播的其中一种方式就是利用跨站脚本攻击绞浇械摹虽然在传统网络技术中就已受到关注,:Ω油怀觯⑶颐挥行兄行У姆婪斗绞剑精彩的虚拟世界里。然而,网络中的不安全因素也急速发展,网络安全问题受到人们越来越多的关注。根源,】对网络攻击的调查结果显示%的安全漏洞是因为程序中的逻辑错误造成,而%的安全漏洞是由于程序的配置错误造成。根据笛槭业难芯浚每行代码中就可能存在最少一个潜在的安全漏洞,网络安全专家所面临的一个新的挑战就是当他们评估和审核一个网络安全漏洞的同时,也要重温应用程序的源代码。的应用,每一次请求都需要服务器返回完整的眒页面,即用户都要用很多时间来等待整个页面的更新,用户的动作总是与服务器的“思考时间”同步。而实际情况中用户想得到的数据量只是网页的一小部分,所以传统的模式不仅是技术的最重要组成部分。该部分的进化发展使网络变成了超该转变同时也催生了基于【架构网站的安全漏洞,黑客们可以利用这些漏洞进的年τ贸绦虻氖肿钛现氐陌踩┒磁判邪这也使得晌W钇胀ㄈ从肿罹呶:π缘耐绨踩┒础R虼耍杓埔桓稣攵安全漏洞扫描并分析管理的工具就十分必要。略
脚本的漏洞。然而风险还不只如此。源代码分析工具供应商匆№首席的所有通讯录中。〆褪抢醚呕稍谛畔⒅懈郊覬墓δ芏安全随机ヾ緀约按砦蟠聿坏钡鹊取络人。鷜与两只蠕虫都已在旧侠┥ⅲ飧鲋C缃煌站的使用者信息右员涓锄虮皇游狝镜牡谝桓隹缯窘疟竟国内外研究状况世界各地的网络安全专家很早就对黑客的攻击进行了高度密切的关注。然而,多数安全专家会采取被动的防御措施【,如:防火墙,入侵检测系统,加密等【俊F造江龋庑┕セ髦饕<性赪应用程序层。年,τ貌第七层陌踩┒吹亩ㄒ濉】,并预言未来计算机安全的焦点将是应用程序层的安全漏洞。目前网络安全专家也已将τ贸绦虻陌踩┒┒次侍庥植艘恍┬