XSS攻击防御技术的探究及应用姓名:王宣入学号:20093179导师:张鹏————论文开题报告论文题目解释•XSS攻击:跨站脚本攻击(CrossSiteScripting),为不和层叠样式表(CascadingStyleSheets,CSS)的缩写混淆。故将跨站脚本攻击缩写为XSS。•XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。•XSS攻击分成两类,一类是来自内部的攻击,主要指的是利用程序自身的漏洞,构造跨站语句;另一类则是来自外部的攻击,主要指的自己构造XSS跨站漏洞网页或者寻找非目标机以外的有跨站漏洞的网页。来自内部的攻击来自外部的攻击开题报告内容课题来源、研究目的及意义国内外研究现状研究内容研究方案及技术路线进度安排预期达到的目标参考文献开题报告内容课题来源、研究目的及意义国内外研究现状研究内容研究方案及技术路线进度安排预期达到的目标参考文献课题来源、研究目的及意义•课题来源:学生自拟课题。•研究目的:跨站脚本攻击(CrossSiteScripting,XSS)是目前Web领域最为严重的安全性问题之一。随着攻击技术的进步,更需要一套满足防御现今攻击的技术。•研究意义:XSS防御技术研究及应用不仅适宜社会,也有益自身学习工作。开题报告内容课题来源、研究目的及意义国内外研究现状研究内容研究方案及技术路线进度安排预期达到的目标参考文献国内外研究现状目前市场上推出的一些商业化XSS漏洞检测和防御软件•APPSHIELD•启明星辰公司的天清入侵防御产品•还有一些致力于解决跨站脚本攻击问题的开源工程1.2.3.4.5.自2005年以来,不同学者和技术人员从不同角度使用不同思想提出了各种各样的跨站脚本攻击检测和防御方法。目前,美国的牛津、麻省理工、哥伦比亚、纽约州立、马里兰等大学走在了该项研究的前沿,代表饿了该领域研究的最高水平,国内的研究相对较简单,主要有张玉清教授带领的以注入测试为主要手段的研究以及台湾大学的某些学者的研究。1.2.开题报告内容课题来源、研究目的及意义国内外研究现状研究内容研究方案及技术路线进度安排预期达到的目标参考文献1、XSS攻击的三种攻击模式原理•本地利用漏洞•反射型——非持久型•存储型——持久型2、写出三种模式相对应的防御技术脚本主要思路:编写并收录跨站脚本,全面解析用户提交的请求,通过方法解析判断,若与所收录的跨站脚本相似,则反馈信息并阻止请求。本地利用漏洞反射型XSS攻击存储型XSS攻击存储型举例开题报告内容课题来源、研究目的及意义国内外研究现状研究内容研究方案及技术路线进度安排预期达到的目标参考文献研究方案及技术路线开题报告内容课题来源、研究目的及意义国内外研究现状研究内容研究方案及技术路线进度安排预期达到的目标参考文献进度安排开题报告内容课题来源、研究目的及意义国内外研究现状研究内容研究方案及技术路线进度安排预期达到的目标参考文献预期达到的目标•详细探讨本地利用漏洞、反射式漏洞、存储式漏洞三种类型的跨站脚本攻击技术,分析攻击的触发机制和实现方式,并且针对攻击者伪装攻击脚本用以绕过检测机制的方法进行思考总结。•在深入研究跨站脚本攻击技术的基础上,设计与实现一种可以嵌入浏览器抵御跨站攻击的脚本。成果形式•论文报告•防御脚本开题报告内容课题来源、研究目的及意义国内外研究现状研究内容研究方案及技术路线进度安排预期达到的目标参考文献参考文献•赵学杰,唐屹,跨站脚本攻击模式研究,技术研究,2011年第11期•王夏莉,张玉清,一种基于行为的XSS客户端防范方法,中国科学院研究生院学报,第28卷第5期,2011年9月•公衍磊,跨站脚本漏洞与攻击的客户端检测方法研究,硕士论文,网络安全,2011年4月•张倩婕,基于AJAX应用程序的跨站脚本攻击防御方法研究,硕士论文,网络安全,2010年4月•卢俊,SQL注入与XSS攻击防范方法的研究以及防范模型的设计与实现,硕士论文,信息安全,2010年1月•沈寿忠,基于网络爬虫的SQL注入与XSS漏洞挖掘,硕士论文,网络安全,2009年1月•DafyddStuttard,MarcusPinto,TheWebApplicationHacker’sHandbook,人民邮电出版社,石华耀等译,2009年•PacoHope,BenWaltber,Web安全测试,清华大学出版社,傅鑫等译,2008年