XSS开题报告.ppt

论文题目解释 XSS攻击：跨站脚本攻击(Cross Site Scripting)，为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆。故将跨站脚本攻击缩写为XSS。 XSS是一种经常出现在web应用中的计算机安全漏洞，它允许恶意web用户将代码植入到提供给其它用户使用的页面中。 XSS攻击分成两类，一类是来自内部的攻击，主要指的是利用程序自身的漏洞，构造跨站语句 ；另一类则是来自外部的攻击，主要指的自己构造XSS跨站漏洞网页或者寻找非目标机以外的有跨站漏洞的网页。 来自内部的攻击 来自外部的攻击 国内外研究现状 目前市场上推出的一些商业化XSS漏洞检测和防御软件 APPSHIELD 启明星辰公司的天清入侵防御产品 还有一些致力于解决跨站脚本攻击问题的开源工程 自2005年以来，不同学者和技术人员从不同角度使用不同思想提出了各种各样的跨站脚本攻击检测和防御方法。目前，美国的牛津、麻省理工、哥伦比亚、纽约州立、马里兰等大学走在了该项研究的前沿，代表饿了该领域研究的最高水平，国内的研究相对较简单，主要有张玉清教授带领的以注入测试为主要手段的研究以及台湾大学的某些学者的研究。 本地利用漏洞 反射型XSS攻击 存储型XSS攻击 存储型举例 研究方案及技术路线 进度安排 预期达到的目标 详细探讨本地利用漏洞、反射式漏洞、存储式漏洞三种类型的跨站脚本攻击技术，分析攻击的触发机制和实现方式,并且针对攻击者伪装攻击脚本用以绕过检测机制的方法进行思考总结。 在深入研究跨站脚本攻击技术的基础上,设计与实现一种可以嵌入浏览器抵御跨站攻击的脚本。 XSS攻击防御技术的探究及应用 姓名：王 宣 入 学号导师： 张 鹏 ————论文开题报告 开题报告内容 课题来源、研究目的及意义 国内外研究现状 研究内容 研究方案及技术路线 进度安排 预期达到的目标 参考文献 开题报告内容 课题来源、研究目的及意义 国内外研究现状 研究内容 研究方案及技术路线 进度安排 预期达到的目标 参考文献 课题来源、研究目的及意义 课题来源：学生自拟课题。 研究目的：跨站脚本攻击(Cross Site Scripting,XSS)是目前Web领域最为严重的安全性问题之一。随着攻击技术的进步， 更需要一套满足防御现今攻击的技术。 研究意义：XSS防御技术研究及应用不仅适宜社会，也有益自身学习工作。 开题报告内容 课题来源、研究目的及意义 国内外研究现状 研究内容 研究方案及技术路线 进度安排 预期达到的目标 参考文献 1. 2. 3. 4. 5. 1. 2. 开题报告内容 课题来源、研究目的及意义 国内外研究现状 研究内容 研究方案及技术路线 进度安排 预期达到的目标 参考文献 1、XSS攻击的三种攻击模式原理 本地利用漏洞 反射型——非持久型 存储型——持久型 2、写出三种模式相对应的防御技术脚本 主要思路：编写并收录跨站脚本，全面解析用户提交的请求，通过方法解析判断，若与所收录的跨站脚本相似，则反馈信息并阻止请求。 开题报告内容 课题来源、研究目的及意义 国内外研究现状 研究内容 研究方案及技术路线 进度安排 预期达到的目标 参考文献 开题报告内容 课题来源、研究目的及意义 国内外研究现状 研究内容 研究方案及技术路线 进度安排 预期达到的目标 参考文献 开题报告内容 课题来源、研究目的及意义 国内外研究现状 研究内容 研究方案及技术路线 进度安排 预期达到的目标 参考文献 成果形式 论文报告 防御脚本 开题报告内容 课题来源、研究目的及意义 国内外研究现状 研究内容 研究方案及技术路线 进度安排 预期达到的目标 参考文献 参考文献 赵学杰，唐屹，跨站脚本攻击模式研究，技术研究，2011年第11期 王夏莉，张玉清，一种基于行为的XSS客户端防范方法，中国科学院研究生院学报，第28卷第5期，2011年9月 公衍磊，跨站脚本漏洞与攻击的客户端检测方法研究，硕士论文，网络安全，2011年4月 张倩婕，基于AJAX应用程序的跨站脚本攻击防御方法研究，硕士论文，网络安全，2010年4月 卢俊，SQL注入与XSS攻击防范方法的研究以及防范模型的设计与实现，硕士论文，信息安全，2010年1月 沈寿忠，基于网络爬虫的SQL注入与XSS漏洞挖掘，硕士论文，网络安全，2009年1月 Dafydd Stuttard，Marcus Pinto，The Web Application Hacker’s Handbook,人民邮电出版社，石华耀 等译，2009年 Paco Hope，Ben Waltber，Web安全测试，清华大学出版社，傅鑫 等译，2008年 论文题目解释 XSS攻击：