共查询到16条相似文献,搜索用时 562 毫秒
1.
2.
越来越多的软件提供内置脚本引擎,支持通过脚本语言可编程式地调用各项程序功能。内置脚本引擎除了支持标准的脚本语言规范,还提供了一系列扩展的应用程序编程接口(Application Programming Interface,API)和内置对象。脚本引擎在丰富软件功能的同时,也引入了额外的攻击面。近年来曝出的内置脚本引擎安全漏洞多数与扩展API和内置对象相关。针对脚本引擎中的安全漏洞,目前的检测技术仅能检测出脚本引擎浅层解析代码中的漏洞,难以有效检测出涉及内置对象别名关系的深层次漏洞,例如释放后使用漏洞(use-after-free,UAF)。检测对象别名关系导致的UAF漏洞,需要解决两个关键的技术挑战。其一,如何高效地识别内置对象别名关系。其二,如何利用识别出的对象别名关系检测脚本引擎的UAF漏洞。为此,本文设计了一种基于数据结构特征发现的脚本引擎内置对象别名关系识别方法,并提出了一种利用别名关系构造式触发UAF漏洞的检测方案。我们利用内置对象数据结构特征,提高了别名关系识别效率。同时,引入了内置对象内存共享区域以辅助触发UAF漏洞。为了验证方案的有效性,我们在Adobe Reader的内置JavaScript脚本引擎中进行了实验。我们提出的方案成功地识别出了284对内置对象的别名关系,并检测出了4个未知的UAF漏洞,获得了厂商的确认和修复。实验结果表明,本文方法能有效识别内置对象别名关系并能成功应用于脚本引擎UAF漏洞的检测。 相似文献
3.
针对Web客户端中基于文档对象模型的跨站脚本攻击(DOM XSS)漏洞检测问题,提出一种基于动态污点分析的DOM XSS漏洞检测算法。通过构造DOM模型和修改Firefox SpiderMonkey脚本引擎,利用动态的、基于bytecode的污点分析方法实现了DOM XSS漏洞的检测。对DOM对象类属性的扩展和SpiderMonkey字符串编码格式的修改可以完成污点数据标记;遍历JavaScript指令代码bytecode的执行路径,获得污点传播路径,实现污点数据集的生成;监控所有可能会触发DOM XSS攻击的输出点,实现DOM XSS漏洞的判定。在此基础上,利用爬虫程序设计并实现了一个互联网DOM XSS漏洞检测系统。实验结果表明,所提算法能有效检测网页存在的DOM XSS漏洞,其检测率可达92%。 相似文献
4.
张鑫 《计算机光盘软件与应用》2010,(15)
论文结合了一些常见的JavaScript代码性能问题,来简要阐述了一些如何编写高性能JavaScript代码的最佳实践.不同的浏览JavaScript引擎有所不同,本文所介绍的一些最佳实践主要基于Microsoft Internet Explorer的JavaScript引擎. 相似文献
5.
针对JavaScript引擎在即时编译模式下的开销过高和网页加载时间过长的问题,改进JavaScript引擎中即时编译模式的编译方式,设计一种对JavaScript代码的动态编译方式,只对JavaScript代码中频繁执行的热点区域进行即时编译,其余代码则运行在解释模式下,合理地利用了即时编译模式。实验测试结果表明,动态编译方式能够减少JavaScript引擎的开销耗费,加快网页的加载速度。 相似文献
6.
7.
在Web安全问题的研究中,如何提高Web恶意代码的检测效率一直是Web恶意代码检测方法研究中需要解决的问题。为此,针对跨站脚本漏洞、ActiveX控件漏洞和Web Shellcode方面的检测,提出一种基于行为语义分析的Web恶意代码检测机制。通过对上述漏洞的行为和语义进行分析,提取行为特征,构建Web客户端脚本解析引擎和Web Shellcode检测引擎,实现对跨站脚本漏洞、ActiveX控件漏洞和Web Shellcode等的正确检测,以及对Web Shellcode攻击行为进行取证的功能。实验分析结果表明,新的Web恶意代码检测机制具有检测能力强、漏检率低的性能。 相似文献
8.
随着实际应用中JavaScript程序的复杂度日益提高,程序执行的性能问题变得突出,而优化JavaScript程序中数组的使用方式可以提高程序效率。通过分析JavaScript数组的特点,结合广泛应用的Chrome V8引擎的源程序,描述V8对JavaScript数组的实现细节,重点分析Fast Elements和Dictionary Elements两种数组存储模式,给出对JavaScript数组性能优化的基本原则,并举例分析4个实际应用中可以优化的程序片段。 相似文献
9.
当前关于网页挂马攻击检测的研究集中于静态检测方法和动态检测方法,但随着Web应用中动态交互技术及代码混淆技术的大量应用,静态检测方法效果已不明显,同时动态检测方法往往耗时过多。本文在总结当前关于网页挂马攻击检测研究的基础上,提出网页挂马攻击中的JavaScript重定向混淆检测方法,并基于开源JavaScript脚本引擎SpiderMonkey进行设计与实现。此方法可有效解决网页挂马攻击中的JavaScript脚本重定向混淆问题,也可作为低交互客户端蜜罐与高交互客户端蜜罐结合使用提高检测效率。 相似文献
10.
为了获取由JavaScript脚本生成的网页信息,更好地获取网页深层信息,提出基于低侵入式的Rhino解析引擎改进方法。通过对Rhino引擎解析JavaScript脚本过程进行深入研究分析,得出扩展Rhino引擎的关键环节。在此基础上提出低侵入式的设计方法,对Rhino引擎进行低耦合的扩展改进,从而完善Rhino引擎对客户端JavaScript脚本的解析。通过使用低侵入式的扩展方法,将Rhino引擎的扩展和使用完全分离,使开发人员不用了解Rhino引擎的实现细节,简化扩展开发。设计实验验证了Rhino引擎改进效果。 相似文献
11.
12.
Modern virtual machines for JavaScript use just-in-time (JIT) compilation to produce binary code. JIT compilers cannot perform complex optimizations. In contrast, static compilation has unlimited capabilities for complex optimizing transformations, but it cannot be efficiently applied to dynamic languages, such as JavaScript. In this paper, a general approach to the ahead-of-time compilation of programs in dynamic languages is proposed, and this approach is used for improving two virtual machines JavaScript- Core and V8. In the implementation of the improved JavaScriptCore engine with ahead-of-time compilation, the specifics of using JavaScript programs as a part of locally stored applications for the ARM platform were taken into account. In the V8 engine for the x86-64 platform, the ahead-of-time compilation is implemented by caching an optimized internal representation in a separate file. 相似文献
13.
基于HTML5和JavaScript轻量型动画框架开发 总被引:1,自引:0,他引:1
互联网作为一个新兴的媒介,最突出的优势就是图片和动画展示,利用动画引擎可以很方便地实现网页动画显示和制作网页游戏。首先简要介绍了HTML5和动画引擎的概念,及相较于FLASH等现有技术,使用HTML5制作动画的优势所在。然后详细介绍了基于HTML5和JavaScript开发的轻量型动画引擎,从结构和算法方面介绍了滤镜、物理效果、路径设置等具体方法,提出了表单式编程概念。最后简要介绍了利用该弓l擎制作的动画实例,分别展示了动画滤镜效果和路径动画效果。 相似文献
14.
15.
16.
杨旭光 《电脑编程技巧与维护》2013,(8):31-32,35
JavaScript是网页设计中常见的一种客户端编程语言。有效检测通过JavaScript脚本传播的网页木马、病毒等,是在网页安全中时常讨论的一个话题。对网页脚本进行分析,了解其执行流程,是恶意代码检测的前期所需工作。经实践,运用Antlrworks工具可用来分析JavaScript脚本的词法和语法,而利用Mxgraph则可用于显示解析出的程序基本块图结构。 相似文献