Web应用程序客户端恶意代码技术研究与进展

doi:10.3969/j.issn.1000-0801.2009.02.018

电信科学 ›› 2009, Vol. 1 ›› Issue (2): 72-79.doi: 10.3969/j.issn.1000-0801.2009.02.018

• 专题:网络与信息安全 • 上一篇下一篇

Web应用程序客户端恶意代码技术研究与进展

黄玮,崔室江,胡正名

北京邮电大学北京 100876

出版日期:2009-02-15 发布日期:2017-08-18
基金资助:
国家“863”计划基金资助项目;国家“863”计划基金资助项目

Study and Trends on Client-side Malicious Code of Web Application

Wei Huang,Baojiang Cui,Zhengming Hu

Beijing University of Posts and Telecommunications,Beijing 100876,China

Online:2009-02-15 Published:2017-08-18

摘要/Abstract

摘要：

随着Web应用程序特别是Web 2.0应用的日益广泛，针对Web应用程序的恶意代码开始大肆传播，成为网络安全的重大威胁。本文首先介绍了目前Web应用程序面临的威胁状况，然后讨论了Web应用程序客户端恶意代码技术以及Web浏览器的漏洞研究和利用技术，最后对Web应用程序客户端恶意代码技术的发展趋势进行了展望，并给出了Web应用程序客户端安全的加固策略。

关键词: Web应用程序安全, 恶意代码, 蠕虫, JavaScript恶意代码, XSS, CSRF, Web浏览器安全

Abstract:

Web application and in particular Web 2.0 application gains more and more popularity nowadays,while malicious codes are now targeting more at Web application.In this paper,we provide a detailed overview of threats to Web application at first and then turn to the discussion on malicious scripts at the client-side of Web application,which includes the history,variation and upgrade of XSS,JavaScript function hook technology at runtime and the new trends of client-side malicious scripts in the context of Web 2.0 application.The Web browser's vulnerability discovery and exploit related technologies are also introduced.At last,we predict the future development of client-side malicious code of Web application and give some advices on the security enhancements of Web application client-side.

Key words: Web application security, malicious code, worm, JavaScript malicious code, XSS, CSRF, Web browser security

黄玮,崔室江,胡正名. Web应用程序客户端恶意代码技术研究与进展[J]. 电信科学, 2009, 1(2): 72-79.

Wei Huang,Baojiang Cui,Zhengming Hu. Study and Trends on Client-side Malicious Code of Web Application[J]. Telecommunications Science, 2009, 1(2): 72-79.

图/表 5

参考文献 19

1	Christey S , Martin A R . Vulnerability type distributions in CVE.
2	Mitigating cross-site scripting with http-Only cookies.
3	SANS top-20 2007 security risks（2007 Annual Update）.
4	The CAPTCHA project telling humans and computers apart.
5	Phishing with superbait silicon valley chapter.
6	W3C document object model.
7	Query J .
8	Reilly O T . What is Web 2.0.
9
10
11
12
13
14
15	Sotirov A . Heap feng shui in JavaScript.
16	Microsoft. Microsoft security bulletin summaries and webcasts.
17
18	FFsniFF（FireFox sniFFer）.
19	Jackson C , Barth A , Bortz A , et al . Protecting browsers from DNS rebinding attacks.

[1]	陈铁明, 项彬彬, 吕明琪, 陈波, 江颉. 基于字节码图像和深度学习的Android恶意应用检测[J]. 电信科学, 2019, 35(1): 9-17.
[2]	李馥娟,王群. Rootkit攻防机制与实现方法[J]. 电信科学, 2018, 34(12): 33-45.
[3]	朱易翔,张慷,王渭清. iOS恶意应用分析综述[J]. 电信科学, 2017, 33(2): 42-47.
[4]	柳毅,洪俊斌. 基于网络爬虫与页面代码行为的XSS漏洞动态检测方法[J]. 电信科学, 2016, 32(3): 87-91.
[5]	苗得雨,康学斌,肖新光. 基于4级受信机制的可疑终端的恶意代码取证与分析[J]. 电信科学, 2011, 27(1): 105-109.
[6]	张玉,戴磊. 基于heavy hitter流提取的网络异常检测优化研究[J]. 电信科学, 2010, 26(3): 46-51.
[7]	黄玮,崔宝江,胡正名. Web应用程序客户端恶意代码技术研究与进展[J]. 电信科学, 2009, 25(2): 72-79.

Web应用程序客户端恶意代码技术研究与进展

Study and Trends on Client-side Malicious Code of Web Application

在线阅读

PDF下载

可视化

被引次数

摘要/Abstract

引用本文

使用本文

图/表 5

参考文献 19

相关文章 7

Metrics

推荐阅读 0