| 基于分隔符的跨站脚本攻击防御方法 |
| |
| 引用本文: | 张慧琳,李冠成,丁羽,段镭,韩心慧,肖建国.基于分隔符的跨站脚本攻击防御方法[J].北京大学学报(自然科学版),2018,54(2):320-330. |
| |
| 作者姓名: | 张慧琳 李冠成 丁羽 段镭 韩心慧 肖建国 |
| |
| 作者单位: | 北京大学计算机科学技术研究所,北京100871;国家计算机网络应急技术处理协调中心,北京100029;北京大学计算机科学技术研究所,北京,100871 |
| |
| 基金项目: | 国家发展和改革委员会2011年信息安全专项《信息系统个人信息保护标准体系建设及关键标准研究验证》资助 |
| |
| 摘 要: | 通过分析跨站脚本攻击的特性, 提出一种基于分隔符的跨站脚本攻击防御方法, 该方法适用于UTF-8编码的Web应用程序。首先, 仅对可信数据中的分隔符进行积极污点标记; 然后, 利用字符UTF-8编码值的转换轻量级完成污点标记, 该污点信息可随着字符串操作直接传播到结果页面; 最后, 根据结果页面中分隔符的污点信息及页面上下文分析, 检查脚本执行节点的合法性和脚本内容的可靠性, 精确地检测并防御跨站脚本攻击。针对PHP平台实现了原型系统XSSCleaner。实验证明, XSSCleaner可轻量级地完成污点分析, 并且能够对跨站脚本攻击进行精确防御, 页面生成的时间开销平均为12.9%。
|
| 关 键 词: | 跨站脚本攻击 分隔符 动态污点分析 积极污点标记 影子字节 页面上下文 |
| 收稿时间: | 2017-02-08 |
Cross Site Script Prevention Based on Delimiters |
| |
| ZHANG Huilin,LI Guancheng,DING Yu,DUAN Lei,HAN Xinhui,XIAO Jianguo.Cross Site Script Prevention Based on Delimiters[J].Acta Scientiarum Naturalium Universitatis Pekinensis,2018,54(2):320-330. |
| |
| Authors: | ZHANG Huilin LI Guancheng DING Yu DUAN Lei HAN Xinhui XIAO Jianguo |
| |
| Institution: | 1. Institute of Computer Science and Technology, Peking University, Beijing 100871
2. National Computer Network Emergency Response Technical Team/Coordination Center of China, Beijing 100029 |
| |
| Abstract: | |
| |
| Keywords: | |
| 本文献已被 CNKI 万方数据 等数据库收录! |
| 点击此处可从《北京大学学报(自然科学版)》浏览原始摘要信息 |
| 点击此处可从《北京大学学报(自然科学版)》下载免费的PDF全文 |
|
