lightweight self-protecting javascript.docVIP

轻量级自我保护的JAVASCRIPT 摘要： 本论文介绍了一种可控制javascript执行的方法。目的是阻止或者修正如下不当的原因导致的行为：程序被注入恶意的脚本或者使用不当设计的第三方代码。而本文的方法是基于修正代码的原则从而确保实现自我保护：保护机构（安全策略）被嵌入代码本身拦截安全相关的API调用。甚至可以应用在服务器上，以减轻跨站点脚本漏洞动态内容提供许多方法来击败内置的安全机制或恶意代码注入到网页中。 本文研究的经典方法，通过一个参考监视器强加给不受信任的系统的安全策略。安全参考监视器的概念一个方法来指定，并通过使用一个组件实现安全系统拦截安全相关资源适用于请求和安全策略来决定是否资助申请的请求。这种思想的变体包括不安全事件的自动变换 - 例如修复已知漏洞 在javascript的背景下，一种方法来实现这个想法是修改脚本运行的浏览器运行时的系统，这种方法给了实施计划很大的自由，比如使监测机制篡改会更加直接。在另一边，他需要浏览器明确地构建到位，并为客户端提供动态的保护。 另一种可选的方法是将策略机制内联入代码，这样代码便可以实现自我保护。现在有可考虑的最近的兴起的这种作为-一种提供可表现的高效的软件接口上面的应用的明确保护机制的方法，比如：软件错误隔离，内联参数监控。有了潜在的内联参数监控，如果他们可以静态的被显示为安全的话，特定的动态检查可以便可被避免。对于javascript来说，他有着更少的问题是因为语言的本质天性使得他很难去优化。然而这种自我保护的程序由于很多的原因而显得十分有趣，首先他不是依赖于修正改良的浏览器技术，这便意味着代码的转换可以在任何的点发生在浏览器和代码生成器之间。比如说：一个网站传输一些动态的特定的内容。服务器端知道这个请求，并且知道只会使用一个修正的特定的数字或者资源。（例如对话和cookie）。所有超越这个的要么归咎于编程的错误，要么是跨站点的脚本攻击。在服务器端使用内联的机制可以内联控制脚本页面的资源的使用。而可选的内联也许会被某些代理展示。 自我保护的js的挑战： 执行自我保护的javascript的主要挑战是什么呢：关键的事项是完整性和防篡改。完整性确保所有与安全相关的事宜被截获-由于js的反应能力。防篡改确保代码不会破坏监控机制本身，因为它基于相同的代码基础。 本文中最密切相关的方法之一为浏览器屏蔽工具：在不需要浏览器支持的情况下拦截和转换javascript操作。防篡改与动态的命名空间相应对-确保底层的代码命名空间和监控代码的命名空间是不相交的。 文稿：在本文中使用轻量级的自我保护机制，而轻量级意味着： 1：不需要浏览器的修正，所以保护可以被应用在客户端或者服务器端，或者都可以。 2：非暴力侵入性：原始代码不是语法修正的，唯一的修正是页面的头部信息的载入。 3：他的实现是对于面向方向的编程库的小的，简单的适应过程组织： 2.Javascript的强制执行的安全机制： 2.1 攻击的假想： 我们假想攻击者恶意地尝试着去注入危险的js代码来获取进入某个页面的入口的渠道。当一个用户访问页面，恶意的脚本被有特权的脚本页面从数据库加载并且在用户的浏览器中执行，这样的用户便成为了脚本攻击的受害者。 我们希望页面被安全的保护着，不被恶意的攻击者所盗用，攻击者也不可以修改页面的内容。我们也可以假定页面是被用户信任着的，这样便可以含蓄的执行脚本，并且期望隐私信息同样安全而不会落入第三方的团体手中。 2.2：强制执行措施 主要的策略去实现强制执行是在执行之前，拦截每一条与安全相关的事件，这些事件可能会由于机制策略的影响而或获准继续运行，或者被拒绝，或者被修改。 这是一个安全引用监视器的经典理念的变化，具有语义独 设M范围的安全性相关的方法。基本的拦截方法是创建记录计算历史的相关部分需要一个安全状态，并确保任何安全相关的事件，经过监测，即相关每个安全方法M.我们 创建一个别名，以原来的方法 orig = M 重新定义了原来的方法只能通过包装方法调用原始的方法： 考虑，例如，一个安全自动机的情况下（在术语截断自动机）。这里的安全状态模型的状态自动机。对于wrapperM伪代码将是if permitted(M, params, SecurityState) then SecurityState := update(SecurityState, M, params); Morig(params); else abort; end if 其中，“允许”该呼叫是否允许M在当前状态，如果是这样的安全状态被更新，并且呼叫继续进行。否则执行被中止。 实施这种方法JavaScript方面确实在计划的范围，什么都可以重新定义可能包括(i) Morig, (ii) 安全状态及其任何辅助功能， (iii)(par