基于动态污点分析的DOM XSS漏洞检测算法

作     者：李洁 俞研 吴家顺 LI Jie;YU Yan;WU Jiashun

作者机构：南京理工大学计算机科学与工程学院南京210094 

基　　金：国家自然科学基金资助项目(61202352) 江苏省自然科学基金资助项目(BK20140797)~~ 

出 版 物：《计算机应用》 (journal of Computer Applications)

年 卷 期：2016年第36卷第5期

页      码：1246-1249,1278页

摘      要：针对Web客户端中基于文档对象模型的跨站脚本攻击(DOM XSS)漏洞检测问题,提出一种基于动态污点分析的DOM XSS漏洞检测算法。通过构造DOM模型和修改Firefox Spider Monkey脚本引擎,利用动态的、基于bytecode的污点分析方法实现了DOM XSS漏洞的检测。对DOM对象类属性的扩展和Spider Monkey字符串编码格式的修改可以完成污点数据标记;遍历Java Script指令代码bytecode的执行路径,获得污点传播路径,实现污点数据集的生成;监控所有可能会触发DOM XSS攻击的输出点,实现DOM XSS漏洞的判定。在此基础上,利用爬虫程序设计并实现了一个互联网DOM XSS漏洞检测系统。实验结果表明,所提算法能有效检测网页存在的DOM XSS漏洞,其检测率可达92%。

主 题 词：动态污点分析 注入点 输出点 执行路径 

学科分类：0839[0839] 08[工学] 

D　O　I：10.11772/j.issn.1001-9081.2016.05.1246

馆 藏 号：203243864...