Web_mail跨站漏洞检测技术研究.docx

Web-mail 跨站漏洞检测技术研究Pradeep，方 勇( 四川大学电子信息学院，四川 成都 610064)[摘 要] Web 程序通常在页面中嵌入使用 JavaScrip 脚本来实现检测动态客户端行为。这些脚本在用户浏览器的上下文中被执行。为了防范恶意的 JavaScript 脚本，浏览器可以使用一套沙盒机制，使脚本只能访问到自己所在网站 域的资源。如果用户被诱骗至一个中间的、受信任的网站，然后从该网站下载恶意脚本，那么此套安全机制就失效了。 文章呈现了一套 Web 邮件跨站代码检测系统模型，该模型能满足高效率、优性能下的完整代码测试需求。根据设 计需求，文章实现了 Web 邮件跨站脚本检测系统。最后，对系统的测试结果表明：系统具有一定的可行性与实用性。 [ 关键词 ] Web-mail；跨站漏洞；Vector 脚本；HTML[ 中图分类号 ] TP393[ 文献标识码 ] A[ 文章编号 ] 1009-8054(2012)02-060-03Research on Web-mail Cross-site Scripting Vulnerability Detection TechnologyPradeep，FANG Yong(College of Electronics and Information Engineering，Sichuan University，Chengdu Sichuan 610064，China)[Abstract] Web applications often use JavaScript code embedded into web pages to support dynamic client-side behavior. ThisScript code is executed in the context of the users web browser. To protect the users environment from malicious JavaScript code，browsers use a sand-boxing mechanism，and this mechanism limits the script to accessing the resources associated only with its original sites. If the user is lured to download malicious JavaScript code from an intermediate，trusted site， then the malicious script would grant a full access to all resources that belong to the trusted side. Web-mail presented in this paper could meet the full test code requirements under high efficiency and good performance. In this article the design of cross- site scripting web-mail detection system is described. Finally，the test on this system indicates its feasibility and practicability. [Keywords] Web-mail；cross-site scripting vulnerability；Vector script；HTML但是多数工具都是针对网站安全检测来设计的。Web-mail与一般的 Web 应用程序不同，与用户交互数据更为复杂， 上述工具都不具备模拟用户与 Web-mail 系统交互数据的 功能，不适用 Web-mail 的安全检测。在针对 Web-mail 跨站脚本攻击的安全防御措施方面， 国内外主要注重于 Web-mail 过滤系统的研究，在检测方 面主要以人工手动检测为基准。针对 Web-mail 跨站漏洞 的检测，并没有集成化、系统化、工具化。0 引言Web-mail 系统和普通用户在面对恶意的 HTML 邮件 时，都没有很好的防御措施，利用 Web-mail 过滤系统 虽然能够过滤掉 HTML 邮件中的一些恶意脚本代码，但 是，想要过滤掉嵌入 HTML 邮件里的所有恶意脚本，对 于 Web-mail 过滤系统来说，几乎是不可能去实现的，因 为攻击者总是能够利用浏览器或 Web-mail 系统过滤机制 的漏洞 ( 例如逆