论文XSS攻击机制和防御技术,本文是机制硕士学位毕业论文范文和XSS攻击机制和探索和防御类硕士学位毕业论文范文.
【摘 要】 信息化背景下,各种网络攻击手段层出不穷,给信息安全造成严重威胁.跨站脚本攻击(XSS)本身利用了Web 安全漏洞,加上攻击方式多样,导致攻击防御难度较大.本文对XSS 攻击的机制进行了分析,并就其防御技术进行了研究和探索,希望能够为XSS 攻击的防范提供一些参考.
【关键词】 XSS 攻击机制 防御技术
前言:经过长期发展,计算机网络已经进入了Web2.0时代,多数网站的本质都是应用程序,能够为用户提供多样化服务,满足其不同需求.不过,这些应用同样会给网站运行带来一定安全隐患,最为常见的就是跨站脚本攻击XSS,其对于网络的威胁极其巨大,因此从保证网站运行安全的角度,需要做好XSS 攻击的防御工作.
一、XSS 攻击机制
XSS 攻击本身属于一种间接性攻击手段,攻击者可以通过Web 服务器实现对其他用户的远程攻击.XSS 攻击的机制具体来讲,就是攻击者通过网络向Web 服务器提交恶意代码,如果服务器没有对用户输入进行有效的安全检验和处理,则会将其输入的代码写入到数据库中,这样一旦其他用户向服务器发出含有恶意代码的网页访问请求时,服务器返回的网页中就会包含恶意代码,浏览器对接收到的信息进行渲染和解码,导致恶意代码触发执行,轻则造成用户信息丢失,重则引发系统失控[1].XSS 攻击的机制如图1 所示.
二、XSS 防御技术
2.1 编码防御技术
想要有效防御XSS 攻击,需要做好用户输入检查工作,配合替换、移除、编码等措施来保证防御效果.这里主要对编码防御技术进行分析.ESAPI 属于面向Web 应用程序的安全控制组件,具有免费、开源的特点,将其应用到编程中,能够有效降低应用程序风险.如果想要对XSS 攻击进行有效防御,可以依照网页显示的用户输入内容位置,引入不同编码方式.用户在对网页进行浏览的过程中,输入的信息可能在很多地方输出,包括HTML 属性、HTML 标签、URL 以及事件等,而ESAPI 能够针对上述所有的输出场景,提供相应的编码方案,这里对其进行分别分析:一是对HTML 输出,无论是HTML 属性输出HTML 标签输出,都可以选择HtmlEncode 方案;二是地址栏输出,可以采用URLEncode方案;三是对时间输出,可以采用JascriptEncode 方案;四是富文本处理,主要思路同样是输入检查,在对其进行处理的过程中,应该严格禁止“事件”,并对危险标签如<base> 等进行过滤,在实际操作中,可以利用Anti-Samy 对富文本进行安全扫描[2].需要注意的是在对ESAPI 进行应用时,可能出现一些错误,分析原因,多数是因为项目中缺少相应的文件,缺少的文件可以在已下载文件夹中的\src\test\resources\esapi 路径下找到,只需要依照错误提示,将对应的文件复制到项目src 根目录中,就可以对错误进行解决.
2.2 其他防御技术
除上述方法外,XSS 防御手段还有几种,一是预防Cookie 劫持.针对Cookie 劫持攻击,可以使用HttpOnly 属性进行防御,简单来讲,就是给Cookie 增加HttpOnly 属性来降低其被劫持风险,因为当Cookie 带有HttpOnly 属性后,浏览器会自动禁止JaScript 对其的访问;二是输入检查,对于用户的所有输入,都应该做好输入检查工作,检查的内容主要是分析在用户输入中是否存在危险字符(<、’等)和危险标签(<script> 等).对于特殊字符,可以运用正则表达式进行过滤,对于特殊标签,则可以选择的过滤工具为JSoup,这是一款基于JA 的HTML 解析器,能够实现对HTML 文本内容和以及URL 地址的直接解析.Jsoup 中存在的whitelist 清理器可以在服务器端实现对用户输入HTML 的过滤工具,确保输出的内容只有确定安全的属性和标签.结合Jsoup 白名单,可以实现对绝大部分危险标签的有效过滤[3].
结语:总而言之,信息化时代,XSS 攻击对于互联网的威胁不容小觑,其不仅可能导致人们私密信息的泄漏,还可能造成服务器瘫痪.为了更加有效的防范XSS 攻击,本文对XSS 攻击的原理和机制进行了分析,并提出了一些有效的XSS 攻击防御技术,不过相关技术人员必须认识到,XSS 攻击方式多种多样,单纯依靠一两种技术并不能解决所有问题,必须在充分理解XSS 攻击机制的前提下,结合不同环境,采用不同的防御方法来提升防御效果.
该文评论,这篇文章为一篇关于对不知道怎么写XSS攻击机制和探索和防御论文范文课题研究的大学硕士、机制本科毕业论文机制论文开题报告范文和文献综述及职称论文的作为参考文献资料.
参考文献:
1、 关于计算机网络安全现状和防御技术 【摘要】 信息时代下,计算机网络系统是人们生产生活最为重要的工具之一,人们对于计算机的愈发依赖,则计算机网络安全问题就愈发会影响人们的正常生活,本文首先就计算机网络安全现状从硬件与软件两个角度加以阐述.
2、 高职院校完善产教融合推进机制以深圳信息职业技术学院为例 为全面贯彻党的十九大精神,落实国务院关于深化产教融合的若干意见国务院关于加快发展现代职业教育的决定……文件要求,高职院校应按照产业对人才的需求,加快推进人才供给侧改革,全面落实产教融合,实现高……职业.
3、 区块链技术背景下共享平台企业运行机制以共享单车和打车平台企业为例 随着互联网的更新换代,共享经济也开始茁壮成长,但同时共享经济也面临着一系列问题 区块链是一种逐渐兴起的全新的分布式计算范式,其去中心化、时序数据和安全可信……特点,完全适合应用于共享经济体系 本文对共.
4、 基于两制交融的双创育人机制构建和实践以广西经贸职业技术学院为例 【摘 要】本文以广西经贸职业技术学院为例,论述在艺术类专业开展工作室制与现代学徒制的实践,提出制度建设、校内工作室与校外实训基地建设、“三导师制”的“双创&rdqu.
5、 放纵和努力背后的焦虑:中学生焦虑消极防御机制下的干预策略 摘要在应试教育的背景下,中学生面临着巨大的升学压力 同时,他们又正处于一个特殊的过渡期,从而更容易陷入焦虑状态 对于这种焦虑,中学生有两种极端的防御机制放纵型的自我妨碍和表面努力 本文对这两种极端表现.
6、 大扁杏树冻花冻果防御技术 大扁杏为蔷薇科李亚科李属植物 是龙王帽、一窝蜂……优良甜仁杏的总称,因为这些品种的果、核呈扁圆形,肥大而扁平,故称为大扁杏 大扁杏属普通杏,是从山杏的自然变异中,经过人为选择和定向培育出来的品种 大扁.