| 基于动态污点分析的DOM XSS漏洞检测算法 |
| |
| 引用本文: | 李洁,俞研,吴家顺.基于动态污点分析的DOM XSS漏洞检测算法[J].计算机应用,2016,36(5):1246-1249. |
| |
| 作者姓名: | 李洁 俞研 吴家顺 |
| |
| 作者单位: | 南京理工大学 计算机科学与工程学院, 南京 210094 |
| |
| 基金项目: | 国家自然科学基金资助项目(61202352);江苏省自然科学基金资助项目(BK20140797)。 |
| |
| 摘 要: | 针对Web客户端中基于文档对象模型的跨站脚本攻击(DOM XSS)漏洞检测问题,提出一种基于动态污点分析的DOM XSS漏洞检测算法。通过构造DOM模型和修改Firefox SpiderMonkey脚本引擎,利用动态的、基于bytecode的污点分析方法实现了DOM XSS漏洞的检测。对DOM对象类属性的扩展和SpiderMonkey字符串编码格式的修改可以完成污点数据标记;遍历JavaScript指令代码bytecode的执行路径,获得污点传播路径,实现污点数据集的生成;监控所有可能会触发DOM XSS攻击的输出点,实现DOM XSS漏洞的判定。在此基础上,利用爬虫程序设计并实现了一个互联网DOM XSS漏洞检测系统。实验结果表明,所提算法能有效检测网页存在的DOM XSS漏洞,其检测率可达92%。
|
| 关 键 词: | 动态污点分析 注入点 输出点 执行路径 |
| 收稿时间: | 2015-11-30 |
| 修稿时间: | 2016-01-25 |
Vulnerability detection algorithm of DOM XSS based on dynamic taint analysis |
| |
| LI Jie,YU Yan,WU Jiashun.Vulnerability detection algorithm of DOM XSS based on dynamic taint analysis[J].journal of Computer Applications,2016,36(5):1246-1249. |
| |
| Authors: | LI Jie YU Yan WU Jiashun |
| |
| Affiliation: | School of Computer Science and Engineering, Nanjing University of Science and Technology, Nanjing Jiangsu 210094, China |
| |
| Abstract: | |
| |
| Keywords: | dynamic taint analysis source sink execution route |
|
| 点击此处可从《计算机应用》浏览原始摘要信息 |
|
点击此处可从《计算机应用》下载全文 |
|
