网络与信息安全学报 ›› 2018, Vol. 4 ›› Issue (11): 69-77.doi: 10.11959/j.issn.2096-109x.2018093
• 论文 • 上一篇
桂智杰1,2,舒辉1,2
修回日期:
2018-11-05
出版日期:
2018-11-01
发布日期:
2019-01-03
作者简介:
桂智杰(1996-),男,安徽马鞍山人,中国人民解放军信息工程大学硕士生,主要研究方向为软件漏洞挖掘与利用、逆向分析、嵌入式设备。|舒辉(1974-),男,江苏盐城人,中国人民解放军信息工程大学教授,主要研究方向为逆向工程。
Zhijie GUI1,2,Hui SHU1,2
Revised:
2018-11-05
Online:
2018-11-01
Published:
2019-01-03
摘要:
为了缓解跨站脚本(XSS,cross-site scripting)攻击,现代浏览器使用XSS过滤器进行防御,现有方法很难有效对浏览器XSS过滤器的安全性进行测试与评估。规则缺陷是浏览器XSS过滤器实现过程中的缺陷和安全问题。面向浏览器XSS过滤器规则缺陷,给出其形式化定义,设计测试样例和场景生成算法。为了定量测试与评估不同浏览器XSS过滤器的过滤水平,结合过滤成功率、误报率、输入损耗计算过滤能力。基于所提方法,设计原型系统对几种主流浏览器XSS过滤器进行自动化测试,得到了不同浏览器的XSS过滤能力。经过实际测试,该系统具备发现未公开漏洞的能力。
中图分类号:
桂智杰,舒辉. 面向规则缺陷的浏览器XSS过滤器测试方法[J]. 网络与信息安全学报, 2018, 4(11): 69-77.
Zhijie GUI,Hui SHU. Rule-defect oriented browser XSS filter test method[J]. Chinese Journal of Network and Information Security, 2018, 4(11): 69-77.
[1] | GUPTA BB , GUPTA S , GANGWAR S ,et al. Meena PK (2015) cross-site scripting (XSS) abuse and defense:exploitation on several testing bed environments and its defense[J]. J Inf Privacy Secur, 11(2): 118-136. |
[2] | ROSS D . IE8 security part IV:the XSS filter[EB/OL]. .aspx,July 2008. |
[3] | NAVA E , LINDSAY D . Abusing Internet Explorer 8's XSS filters[C]// BlackHat Europe. 2010. |
[4] | BATES D , BARTH A , JACKSON C . Regular expressions considered harmful in client-side XSS filters[C]// 19th International World Wide Web Conference. 2010. |
[5] | LEKIES S , STOCK B , JOHNS M.2014 . A tale of the weaknesses of current client-side filtering[C]// Black Hat Europe. 2014. |
[6] | 刘雅楠 . Web 前端攻击及安全防护技术研究与实现[D]. 北京:北京邮电大学, 2017. |
LIU Y N . Research and implementation of Web front-end attack and protection technology[D]. Beijing:Beijing University of Posts and Telecommunications, 2017. | |
[7] | LIU J D , . An improved XSS vulnerability detection method based on attack vector[C]// 2018 International Conference on Modeling,Simulation and Analysis. 2018:6. |
[8] | PAN J K ,et al. Taint inference for cross-site scripting in context of URL rewriting and HTML Sanitization[J]. ETRI Journal, 2016(2): 376-386. |
[9] | 黄娜娜, 万良 . 一种基于序列最小优化算法的跨站脚本漏洞检测技术[J]. 信息网络安全, 2017(10): 55-62. |
HUANG N N , WAN L . A cross site script vulnerability detection technology based on sequential minimum optimization algorithm[J]. Netinfo Securi, 2017(10): 55-62. | |
[10] | SALUNKE S S . Selenium Web driver in Python:learn with examples[M]. CreateSpace Independent Publishing Platform, 2014. |
[11] | BEKRAR S , BEKRAR C , GROZ R ,et al. Finding software vulnerabilities by smart fuzzing[C]// IEEE Fourth International Conference on Software Testing Verification and Validation. 2011. |
[12] | ANASTASIOS S , NTANTOGIAN C , XENAKIS C . Bypassing XSS auditor:taking advantage of badly written PHP code[C]// IEEE International Symposium on Signal Processing and Information Technology. 2015: 290-295. |
[13] | Taint inference for cross-site scripting in context of URL rewriting and HTML sanitization[J]. ETRI Journal, 2016,(2): 376-386. |
[14] | LIU B W , . XSS vulnerability scanning algorithm based on anti-filtering rules[C]// International Conference on Computer,Electronics and Communication Engineering. 2017. |
[15] | LEKIES S , KOTOWICZ K , GROB S ,et al. Code-reuse attacks for the Web:breaking cross-site scripting mitigations via script gadgets[C]// ACM SIGSAC Conference on Computer and Communications Security. 2017: 1709-1723. |
[1] | 王艺龙, 李震宇, 巩道福, 刘粉林. 基于块邻域的图像双脆弱水印算法[J]. 网络与信息安全学报, 2023, 9(3): 38-48. |
[2] | 陈任峰, 朱鸿斌. 基于PU learning的信用卡交易安全监管研究[J]. 网络与信息安全学报, 2023, 9(3): 73-78. |
[3] | 冯冠云, 付才, 吕建强, 韩兰胜. 基于操作注意力和数据增强的内部威胁检测[J]. 网络与信息安全学报, 2023, 9(3): 102-112. |
[4] | 谢根琳, 程国振, 王亚文, 王庆丰. 基于gadget特征分析的软件多样性评估方法[J]. 网络与信息安全学报, 2023, 9(3): 161-173. |
[5] | 侯鹏, 李智鑫, 张飞, 孙旭, 陈丹, 崔毅浩, 张寒冰, 荆一楠, 柴洪峰. 金融数据安全治理智能化技术与实践[J]. 网络与信息安全学报, 2023, 9(3): 174-187. |
[6] | 肖敏, 毛发英, 黄永洪, 曹云飞. 基于属性签名的车载网匿名信任管理方案[J]. 网络与信息安全学报, 2023, 9(2): 33-45. |
[7] | 许建龙, 林健, 黎宇森, 熊智. 分布式用户隐私保护可调节的云服务个性化QoS预测模型[J]. 网络与信息安全学报, 2023, 9(2): 70-80. |
[8] | 陈训逊, 李明哲, 吕宁, 黄亮. 内禀安全:网络安全能力体系化构建方法[J]. 网络与信息安全学报, 2023, 9(1): 92-102. |
[9] | 宋佳烁, 李祯祯, 丁海洋, 李子臣. 椭圆曲线上高效可完全模拟的不经意传输协议[J]. 网络与信息安全学报, 2023, 9(1): 158-166. |
[10] | 李凤华, 李晖, 牛犇, 邱卫东. 隐私计算的学术内涵与研究趋势[J]. 网络与信息安全学报, 2022, 8(6): 1-8. |
[11] | 唐飞, 甘宁, 阳祥贵, 王金洋. 基于区块链与国密SM9的抗恶意KGC无证书签名方案[J]. 网络与信息安全学报, 2022, 8(6): 9-19. |
[12] | 白雪, 秦宝东, 郭瑞, 郑东. 基于SM2的两方协作盲签名协议[J]. 网络与信息安全学报, 2022, 8(6): 39-51. |
[13] | 刘军, 袁霖, 冯志尚. 集群网络密钥管理方案研究综述[J]. 网络与信息安全学报, 2022, 8(6): 52-69. |
[14] | 肖敏, 姚涛, 刘媛妮, 黄永洪. 具有隐私保护的动态高效车载云管理方案[J]. 网络与信息安全学报, 2022, 8(6): 70-83. |
[15] | 林佳滢, 周文柏, 张卫明, 俞能海. 空域频域相结合的唇型篡改检测方法[J]. 网络与信息安全学报, 2022, 8(6): 146-155. |
阅读次数 | ||||||
全文 |
|
|||||
摘要 |
|
|||||
|