| 防御代码注入式攻击的字面值污染方法 |
| |
| 引用本文: | 王溢,李舟军,郭涛.防御代码注入式攻击的字面值污染方法[J].计算机研究与发展,2012,49(11):2414-2423. |
| |
| 作者姓名: | 王溢 李舟军 郭涛 |
| |
| 作者单位: | 1. 北京航空航天大学计算机学院 北京 100191
2. 中国信息安全测评中心 北京 100085 |
| |
| 摘 要: | 当前几乎所有的Web应用程序都面临着诸如跨站脚本(XSS)和SQL注入等代码注入式攻击的威胁,这种威胁源自于程序对用户输入缺乏验证和过滤,导致恶意输入可作为数据库查询或页面中的脚本而执行,从而破坏网站的数据完整性,泄露用户隐私.为了增强应用程序对此类攻击的抵抗性,提出一种针对Web程序的字面值污染方法,该方法能够对代码注入式攻击给予高效的防御且十分易于部署.此方案通过强化服务器端脚本配合可自定义的安全过滤策略,达到对此类攻击的完全免疫.尽管需要对Web应用程序进行插桩等修改,但该过程是完全自动化和正确的,在处理大规模的程序时具有很强的实用价值.通过实现该技术的原型系统PHPHard对若干PHP应用程序的初步实验,可以发现该方法能够移除恶意脚本,成功阻止跨站脚本的攻击.与传统方法相比,它在精确度和有效性上具有优势,且仅引入了很小的开销.
|
| 关 键 词: | 代码注入 字面值污染 Web应用程序 漏洞 跨站脚本 污点传播 |
Literal Tainting Method for Preventing Code Injection Attack in Web Application |
| |
| Wang Yi
,
Li Zhoujun
,
Guo Tao.Literal Tainting Method for Preventing Code Injection Attack in Web Application[J].Journal of Computer Research and Development,2012,49(11):2414-2423. |
| |
| Authors: | Wang Yi Li Zhoujun Guo Tao |
| |
| Affiliation: | 1(School o f Computer Science and Engineering,Beihang University,Beijing 100191) 2(China Information Technology Security Evaluation Center,Beijing 100085) |
| |
| Abstract: | |
| |
| Keywords: | |
| 本文献已被 CNKI 万方数据 等数据库收录! |
|
