客户端攻击论文-鲍泽民,王根英,李娟

客户端攻击论文-鲍泽民,王根英,李娟

导读:本文包含了客户端攻击论文开题报告文献综述及选题提纲参考文献,主要关键词:跨站脚本攻击,浏览器安全,动态污点追踪,静态分析

客户端攻击论文文献综述

鲍泽民,王根英,李娟[1](2015)在《跨站脚本攻击客户端防御技术研究》一文中研究指出跨站脚本攻击是当今Web应用领域危害最严重、最常见的威胁之一,本文设计了全新的跨站攻击防御方法,该方法以动态污点追踪为主,辅以静态污点分析,可有效阻止客户端敏感信息的泄露,实现了对跨站攻击的有效拦截。并通过对Javascript引擎Spidermonkey的扩展,在开源的Firefox上实现了基于该方法的插件xss Cleaner,验证了防御方法的有效性。(本文来源于《铁路计算机应用》期刊2015年07期)

鲍泽民[2](2014)在《跨站脚本攻击客户端防御技术研究》一文中研究指出跨站脚本攻击是当今Web应用领域危害最严重、最常见的威胁之一,该攻击根源于Web应用安全机制的薄弱环节:对用户输入缺乏足够的过滤处理。虽然在服务器端修复Web应用中的跨站脚本漏洞可以根本性解决该问题,但是由于安全补丁的更新速度慢,系统运维人员的安全意识薄弱等各种原因,仍有很多Web应用不能及时修复漏洞,从而导致用户在使用这些应用时处于遭受跨站攻击的风险下。因而为了提高用户面对跨站脚本攻击的主动防御能力,研究客户端的跨站攻击防御措施显得很有必要。论文的主要工作包括以下四个方面:首先,论述了Web应用的安全现状,分析了客户端现有的安全机制和承受的安全风险,这些安全机制都是跨站脚本攻击所要挑战、克服的。随后,依据形成原因不同对跨站脚本攻击进行了分类,并分别归纳各种类型跨站脚本攻击的特点。总结了跨站脚本漏洞挖掘技巧,包括跨站脚本编码方式以及防御策略绕过技巧。同时研究了跨站脚本在HTML界面中的触发机制。另外,搭建了一个虚拟的博客网站系统,针对窃取cookie隐私、跨站脚本钓鱼攻击、跨站脚本蠕虫攻击等跨站攻击方式,通过实例逐个演示了其具体攻击过程并验证其危害。简单探讨了键盘监测、访问本地剪贴板等其他攻击方式。最后,鉴于跨站脚本攻击的主要目的是窃取用户的敏感信息,其行为特征是未经用户的授权而将用户的敏感信息发送给第叁方,本文设计了全新的跨站攻击防御方法,该方法在客户端浏览器以动态污点追踪为主,辅以静态污点分析,通过污点追踪对当前页面中的敏感信息传输进行监测,当敏感信息有异常操作时向用户发出警告,从而有效阻止客户端敏感信息的泄露,实现对跨站攻击的有效拦截。并通过对Javascript引擎Spidermonkey的扩展,在开源的Firefox上实现了基于该方法的插件xssCleaner,验证了防御方法的有效性和可行性。(本文来源于《北京交通大学》期刊2014-06-16)

[3](2013)在《手机客户端开发中的“恶意代理”攻击分析》一文中研究指出本文从常见恶意代理的几种攻击方式出发,谈一谈如何在安全设计上避免被恶意代理攻击。一、报文纂改这个是攻击力比较小的方式,只要稍有一些安全意识,就容易防范。典型的攻击方式是通过恶意代理截取到一段明文请求,分析请求格式,然后对其中的一些参数进行修改,再向模拟用户向服务器请求。通过这种方式,可以很容易地破坏用户在服务器上的私有数据。比如,用户本意是发送一个删除某条信息的命令,恶意代理把用户发送的命令修(本文来源于《计算机与网络》期刊2013年08期)

Christian,Kanamugire(卡那姆)[4](2012)在《防止跨站脚本攻击会话劫持的客户端解决方案研究》一文中研究指出web应用在当今已成为在线服务的最主要提供方式。同时,它存在的漏洞也正逐渐被人们所发现,并且以惊人的速度显露出来。web应用一般存在利用JavaScript脚本代码来实现的部分,这些脚本代码嵌入在web页面中来支持客户端的动态行为。为了防止用户环境遭受恶意JavaScript脚本代码的破坏,研究人员开始利用一种输入净化机制,这种机制限制程序只能访问与它的原站点相关的资源。然而,不幸地是,当用户被诱使从中间人或可信站点下载恶意JavaScript脚本代码时,这些安全机制将无法发挥作用。在这种情况下,恶意脚本对属于可信站点的所有资源(如认证口令和具有会话进程标识的cookies)且有完全的访问权限。这种攻击被称为跨站点脚本攻击。万维网的驮马协议,HTTP协议和HTTPS协议有意地被设计成无状态的。这就意味着web应用无法在多个请求中追踪到用户,除非它在HTTP或HTTPS协议的顶端添加追踪机制。会话标识就是最被普遍使用的追踪机制。会话标识是随机数据的唯一字符串,一般来说由数字和字符组成,这个字符串由web应用生成并通过cookie的方式发送给用户。在会话标识被发送之后,每个用户发出的请求都在其它请求中包含了该应用发送给他的会话标识。通过使用会话标识,web应用能够识别不同的用户,区分并发的请求和及时追踪用户。会话标识是首要的攻击目标,因为成功的捕获并重演会话标识可以为攻击者提供易受攻击web应用的当即认证。根据窃取到的ID所属用户的访问权限,攻击者可以像普通用户,甚至是特权用户一样登录网站,并访问各种隐私数据,如email,密码,家庭住址,甚至是信用卡号码等。这就能使跨站点脚本攻击成为窃取会话标识的最普遍的方式。跨站点脚本攻击是一种使用范围非常广的攻击方式,整体来说也可以看作是代码注入攻击。在代码注入攻击中,攻击者输入一些数据,这些数据将被认为是代码并被正在运行的应用所执行。在跨站点脚本攻击中,攻击者欺骗用户浏览器以他的名义来执行Java脚本代码,并因此获得访问存储在浏览器中的敏感信息的权限。运行在用户浏览器中的恶意JavaScript脚本能够访问运行域中cookie的内容。而会话标识一般通过cookies来传播,所以被插入的JavaScript脚本能够读取这些会话标识并将其转移到受攻击者控制的服务器上。然后攻击者将用户的会话反馈给易受攻击的网站,这些网站以为他是正常用户并有效地进行授权。会话劫持是现今被广泛使用的跨站点脚本攻击类型之一,因为采用会话标识的web应用中每个关键任务都易受到这种方式的攻击。为了让脚本不被识别为恶意脚本,攻击者会用不同的编码方法对其进行编码,比如使用HEX。通过这种方法,Web站点就会像显示站点中的有效内容一样在页面显示恶意内容。如果Web应用程序没有验证输入,攻击者只需诱导用户选择恶意链接,然后Web应用程序就会从用户那里收集机密信息,这就让攻击者能够获取用户会话信息并窃取用户凭证,重定向到另一个Web站点上的网页,然后插入恶意代码来破坏cookie,公开SSL连接,访问受限或私人站点,甚至触发一系列这样的攻击。目前有一种机制能够从某种程度上在跨站点脚本漏洞中用来保护用户免受会话劫持——HTTP-Only。HTTP-Only是微软公司引进的一种网页浏览器特性,它可以为IE6及后续版本中的cookies提供防护措施。HTTP-Only是一种标记,它与包含敏感信息的cookie,如会话标识,一起由web应用发送给用户。它指示用户浏览器将cookie的值与任何运行在浏览器中的脚本语言隔离开来。因此,如果cookie被表示为HTTP-Only, Java脚本想要访问它时,只能得到一个空的字符串。因此,使用HTTP-Only cookie有助于阻止攻击者使用XSS漏洞实施会话攻击。但是这依然不是一种万能的解决办法,跨站点追踪(XST)是一种攻击技巧,有时候可以利用它来避开HTTP-Only cookie提供的保护,允许客户端代码访问标记为HTTP-Only cookie的值。这种技巧使用许多Web服务器默认激活的HTTP TRACE方法,它主要用于诊断目的。当服务器收到一个使用TRACE方法的请求时,它通过一条消息做出响应,消息主体包含服务器收到的TRACE请求的的原始文本,TRACE方法之所以可用于诊断目的,其原因在于,服务器收到的请求可能不同于客户发送出的请求,因为请求会被拦截代理服务器等修改。这个方法可用于确定请求在客户与服务器之间传送时发生了哪些变化。浏览器在HTTP请求中提交所有cookie,包括使用TRACE方法的请求以及标记为HTTP-Only的cookie。这样,请求和响应中都包含标记为HTTP-Only的cookie,这种行为为XST攻击提供了机会。如果可以使用客户端脚本提出一个TRACE请求,并读取这个请求的响应,那么这段脚本就能够访问到标记为HTTP-Only的cookie,即使通过document.cookie无法访问的到。当然,攻击还依赖于应用程序中存在的XSS漏洞,以注入恶意的脚本。在本文的研究中,我们设计了一种称为SessionImmunizer的系统。它是处于浏览器和服务器之间的一种代理,可以审查所有发出的请求和进来的应答。通过使用各种方法,它探测进来的HTTP头文件中的会话标识,将它们剥离出来并将它们的值存储在自己的数据库中。在每个发出的请求中,SessionImmunizer都会检查请求的域,并将之前剥离出来的值添加回去。当受到会话劫持攻击时,浏览器仍然会执行会话劫持代码,但是由于浏览器从未收到过会话信息,因此该信息不会被攻击者获取。本文提出的系统不会影响web用户和web服务器的任何功能应用,它单独运行在客户端,并且不依赖于web服务器和可信的第叁方(本文来源于《中南大学》期刊2012-03-01)

许思远,郑滔[5](2011)在《服务器-客户端协作的跨站脚本攻击防御方法》一文中研究指出在网络应用的链接中注入恶意代码,以此欺骗用户浏览器,当用户访问这些网站时便会受到跨站脚本攻击。为此,提出基于服务器端-客户端协作的跨站脚本攻击防御方法。利用规则文件、文档对象模型完整性测试和脚本混淆监测等方法,提高脚本的检测效率和准确性。实验结果表明,该方法能获得良好的攻击防御效果。(本文来源于《计算机工程》期刊2011年18期)

公衍磊[6](2011)在《跨站脚本漏洞与攻击的客户端检测方法研究》一文中研究指出近年,WEB漏洞已成为互联网上最严重的安全隐患之一。由该漏洞引起的WEB注入攻击案例层出不穷、屡禁不止。跨站脚本攻击正是这类注入攻击中影响范围最广、影响程度最深的攻击之一。2006年以来,跨站脚本漏洞一直位居WEB漏洞之首。因此,设计和开发一种有效的检测和防御跨站脚本攻击的方法尤为重要。本文在深入研究跨站脚本攻击特点的基础上,提出了一种新的基于序列匹配的跨站脚本攻击检测方法,该方法能有效的识别参数字符串的变种形式,并发掘服务器端过滤函数的检测遗漏。对于该算法中不能检测出的部分存储型的跨站脚本攻击,本文又提出一种基于Fuzzing测试的检测方法。最后,本文将基于这两种检测方法设计的工具整合为一个跨站脚本漏洞与攻击检测系统。实验表明,该系统能有效地检测出WEB网络中的绝大多数跨站脚本漏洞和攻击。本论文的主要工作包括以下四个部分:第一部分,分析了跨站脚本攻击的特点,深入研究了国内外跨站脚本攻击检测的方法以及当前检测方法存在的问题和未来的发展趋势。第二部分和第叁部分介绍了本文设计的跨站脚本攻击和漏洞检测方法。其中第二部分,详细描述了基于序列匹配的跨站脚本攻击检测方法,主要包括HTTP请求参数、HTTP响应信息中不可信字符串的提取和两者之间的匹配两部分。该种方法先将用户提供的参数抽象为有限自动机的形式以识别参数字符串的序列组合,再将HTTP响应信息中的不可信字符串与有限自动机序列进行匹配,寻找那些同时出现在用户输入请求和服务器响应中的不可信字符串,对这些字符串进行恶意关键字和恶意网址的检查。第叁部分,具体讨论了基于Fuzzing测试的跨站脚本漏洞检测方法。首先通过分析网站中网页链接间的特点,构造能够抓取整个网站网页的高效爬虫,然后准确识别网页的注入点并构造恶意字符串进行注入测试,最后通过识别响应信息来挖掘跨站脚本洞。第四部分,介绍了跨站脚本检测系统的设计和实现。(本文来源于《大连理工大学》期刊2011-06-20)

冯凯[7](2011)在《Web客户端攻击检测与防御研究》一文中研究指出随着互联网的飞速发展,Web应用程序变得越来越普及,全社会对计算机网络的依赖程度越来越高,同时网络安全问题日益突出。攻击者利用Web浏览器和Web浏览器插件的漏洞来传播恶意代码,对Web应用程序实施攻击,给Web应用程序带来巨大威胁。针对Web应用程序客户端攻击亟需得到控制和解决这个难题,本论文提出一种基于网页行为的攻击检测防御方法,并设计出一个通用的检测防御Web应用客户端攻击的系统一一WSProxy。该系统能够检测并阻止常见的针对Web应用程序客户端的攻击WSProxy系统主要通过利用代码静态和动态分析技术来分析网页代码的行为,检测出Web页面上存在的恶意代码和网页木马。首先,系统需要对开源引擎Webkit进行二次开发,使其能够记录JavaScript运行的特征,同时能够检测出Iframe/frame攻击和常见的未被加密变形的恶意JS脚本。其次,代理端转发浏览器和Web服务器间的交互数据,并接收客户端记录下来JavaScript运行的特征数据和用户行为。用户的行为特征数据会被传回到代理端,通过利用代理端的安全检测模块对用户的行为特征进行全面分析,得出安全检测报告。最后,分析判断Web页面上是否存在恶意代码和链接。此外,系统还在客户端部署一个安全策略模块,该模块能够阻止常见的恶意代码加载,防止其实施攻击。实验证明,本文提出的WSProxy系统与已有的两个系统对比,具有较低的误报率和漏报率。系统能够阻止常见的针对Web应用程序客户端的攻击,且系统运行开销低,对用户体验影响较小。(本文来源于《湖南大学》期刊2011-05-16)

许思远[8](2011)在《基于服务器和客户端协作的跨站脚本攻击检测防御研究》一文中研究指出跨站脚本攻击通过向有漏洞的网站页面注入含有恶意代码的内容(非信任内容),在受害者点击该页面时,浏览器自动执行页面中的恶意脚本,窃取受害者的重要信息。针对目前存在的纯服务器端或纯客户端的跨脚本攻击防御方式的不足,研究基于客户端和服务器端协作的检测防御方法,来合理利用服务器端和客户端防御各自拥有的优势。网络应用开发者确切知道网站页面中允许执行的脚本代码集和脚本添加的位置。客户端浏览器能准确检测脚本代码的执行,如果当浏览器解析一个网页时,阻止某段可能含有恶意代码的内容执行,则攻击失败。基于大多数的跨站脚本攻击会通过伪造HTML结束和开始标签等方式来破坏初始良好的网页结构来躲避防御系统,客户端和服务器端协作的防御确保网页在服务器端和浏览器端的文档对象模型(DOM)保持一致性。通过在服务器端分离网页中的所有非信任内容,在浏览器更新该页面的DOM结构前,验证模块会检查更新代码是否属于非信任内容,从而阻止任何潜在的恶意脚本代码执行。系统架构由四个主要模块实现,服务器端为隔离非信任内容模块(用户产生数据),由网站开发者识别页面中非信任内容的来源。标记网页文档模块,通过扩展php模板引擎,用一对随机化分割符的方法对非信任内容进行标记,附带可配置的规则文件,进行多粒度的检测提交效率。客户端为解标记网页文档模块,修改Firefox浏览器解析模块和添加验证插件,在解析标记页面时,自动跟踪含有标记非信任内容的HTML节点。动态验证非信任内容模块,每次当要更新修改DOM结构时,验证来自于非信任内容的代码,如果不符合末端节点限制或规则文件的要求,将被强制转变为字符串常量,阻止非信任内容破坏网页的初始结构。同时可以对混淆内容(多种形式转编码过的文本)进行动态和静态检测。本文详细分析了分离非信任内容的方法,标记算法,解标记算法,动态验证策略和混淆代码检测方法。实现了一种有效的检测防御系统。(本文来源于《南京大学》期刊2011-05-09)

达斯孟,陆永忠,宁峰[9](2010)在《客户端跨站脚本攻击的分层防御策略》一文中研究指出在今天Web2.0时代,越来越多的应用正在从桌面朝着网络化的方向发展。网络的内容从最初的静态的一些超链接逐渐的转变为一系列的多样化应用,包括电子商务,电子邮件,游戏娱乐,数字媒体等等都是可以装载到浏览器中的应用。随着浏览器平台的不断发展,带来了很多的安全隐患诸如网络钓鱼,Xss,Xsrf(cross-site request forgery),Dns等等一系列的黑客手段日益成为威胁互联网用户的安全隐患。黑客可以利用恶意代码,或者钓鱼网站对用户个人信息进行随意的窃取,甚至造成很大的经济损失。针对上述威胁中的Xss(跨站脚本攻击cross site scripting)攻击进行分析,并提出一个新的架构来解决日益凸显的安全问题。(本文来源于《计算机系统应用》期刊2010年02期)

陈瑞川,郭文嘉,唐礼勇,陈钟[10](2009)在《一种抵御拒绝服务攻击的自适应客户端难题(英文)》一文中研究指出研究传统的客户端难题方案,之后提出一种自适应客户端难题方案.该方案采用一种轻量级的协议交互方式来获取客户端和服务器双方的实时状态信息,并据此自适应地调整客户端难题的难度.为了评估该方案的适用性,结合传统和自适应两种客户端难题方案,在对等(P2P)网络中提出了一种抵御DoS攻击的自适应安全框架.理论分析和实验结果表明,甚至在高度恶意的网络环境中,自适应客户端难题方案都可以在不明显影响合法客户端性能的前提下有效地抵御各种DoS攻击.(本文来源于《软件学报》期刊2009年09期)

客户端攻击论文开题报告

(1)论文研究背景及目的

此处内容要求:

首先简单简介论文所研究问题的基本概念和背景,再而简单明了地指出论文所要研究解决的具体问题,并提出你的论文准备的观点或解决方法。

写法范例:

跨站脚本攻击是当今Web应用领域危害最严重、最常见的威胁之一,该攻击根源于Web应用安全机制的薄弱环节:对用户输入缺乏足够的过滤处理。虽然在服务器端修复Web应用中的跨站脚本漏洞可以根本性解决该问题,但是由于安全补丁的更新速度慢,系统运维人员的安全意识薄弱等各种原因,仍有很多Web应用不能及时修复漏洞,从而导致用户在使用这些应用时处于遭受跨站攻击的风险下。因而为了提高用户面对跨站脚本攻击的主动防御能力,研究客户端的跨站攻击防御措施显得很有必要。论文的主要工作包括以下四个方面:首先,论述了Web应用的安全现状,分析了客户端现有的安全机制和承受的安全风险,这些安全机制都是跨站脚本攻击所要挑战、克服的。随后,依据形成原因不同对跨站脚本攻击进行了分类,并分别归纳各种类型跨站脚本攻击的特点。总结了跨站脚本漏洞挖掘技巧,包括跨站脚本编码方式以及防御策略绕过技巧。同时研究了跨站脚本在HTML界面中的触发机制。另外,搭建了一个虚拟的博客网站系统,针对窃取cookie隐私、跨站脚本钓鱼攻击、跨站脚本蠕虫攻击等跨站攻击方式,通过实例逐个演示了其具体攻击过程并验证其危害。简单探讨了键盘监测、访问本地剪贴板等其他攻击方式。最后,鉴于跨站脚本攻击的主要目的是窃取用户的敏感信息,其行为特征是未经用户的授权而将用户的敏感信息发送给第叁方,本文设计了全新的跨站攻击防御方法,该方法在客户端浏览器以动态污点追踪为主,辅以静态污点分析,通过污点追踪对当前页面中的敏感信息传输进行监测,当敏感信息有异常操作时向用户发出警告,从而有效阻止客户端敏感信息的泄露,实现对跨站攻击的有效拦截。并通过对Javascript引擎Spidermonkey的扩展,在开源的Firefox上实现了基于该方法的插件xssCleaner,验证了防御方法的有效性和可行性。

(2)本文研究方法

调查法:该方法是有目的、有系统的搜集有关研究对象的具体信息。

观察法:用自己的感官和辅助工具直接观察研究对象从而得到有关信息。

实验法:通过主支变革、控制研究对象来发现与确认事物间的因果关系。

文献研究法:通过调查文献来获得资料,从而全面的、正确的了解掌握研究方法。

实证研究法:依据现有的科学理论和实践的需要提出设计。

定性分析法:对研究对象进行“质”的方面的研究,这个方法需要计算的数据较少。

定量分析法:通过具体的数字,使人们对研究对象的认识进一步精确化。

跨学科研究法:运用多学科的理论、方法和成果从整体上对某一课题进行研究。

功能分析法:这是社会科学用来分析社会现象的一种方法,从某一功能出发研究多个方面的影响。

模拟法:通过创设一个与原型相似的模型来间接研究原型某种特性的一种形容方法。

客户端攻击论文参考文献

[1].鲍泽民,王根英,李娟.跨站脚本攻击客户端防御技术研究[J].铁路计算机应用.2015

[2].鲍泽民.跨站脚本攻击客户端防御技术研究[D].北京交通大学.2014

[3]..手机客户端开发中的“恶意代理”攻击分析[J].计算机与网络.2013

[4].Christian,Kanamugire(卡那姆).防止跨站脚本攻击会话劫持的客户端解决方案研究[D].中南大学.2012

[5].许思远,郑滔.服务器-客户端协作的跨站脚本攻击防御方法[J].计算机工程.2011

[6].公衍磊.跨站脚本漏洞与攻击的客户端检测方法研究[D].大连理工大学.2011

[7].冯凯.Web客户端攻击检测与防御研究[D].湖南大学.2011

[8].许思远.基于服务器和客户端协作的跨站脚本攻击检测防御研究[D].南京大学.2011

[9].达斯孟,陆永忠,宁峰.客户端跨站脚本攻击的分层防御策略[J].计算机系统应用.2010

[10].陈瑞川,郭文嘉,唐礼勇,陈钟.一种抵御拒绝服务攻击的自适应客户端难题(英文)[J].软件学报.2009

标签:;  ;  ;  ;  

客户端攻击论文-鲍泽民,王根英,李娟
下载Doc文档

猜你喜欢