机制毕业论文格式模板范文 与XSS攻击机制和防御技术方面硕士学位毕业论文范文

关于免费机制论文范文在这里免费下载与阅读,为您的机制相关论文写作提供资料。

XSS攻击机制和防御技术

【摘 要】 信息化背景下,各种网络攻击手段层出不穷,给信息安全造成严重威胁.跨站脚本攻击(XSS)本身利用了Web 安全漏洞,加上攻击方式多样,导致攻击防御难度较大.本文对XSS 攻击的机制进行了分析,并就其防御技术进行了研究和探索,希望能够为XSS 攻击的防范提供一些参考.

【关键词】 XSS 攻击机制 防御技术

前言:经过长期发展,计算机网络已经进入了Web2.0时代,多数网站的本质都是应用程序,能够为用户提供多样化服务,满足其不同需求.不过,这些应用同样会给网站运行带来一定安全隐患,最为常见的就是跨站脚本攻击XSS,其对于网络的威胁极其巨大,因此从保证网站运行安全的角度,需要做好XSS 攻击的防御工作.

一、XSS 攻击机制

XSS 攻击本身属于一种间接性攻击手段,攻击者可以通过Web 服务器实现对其他用户的远程攻击.XSS 攻击的机制具体来讲,就是攻击者通过网络向Web 服务器提交恶意代码,如果服务器没有对用户输入进行有效的安全检验和处理,则会将其输入的代码写入到数据库中,这样一旦其他用户向服务器发出含有恶意代码的网页访问请求时,服务器返回的网页中就会包含恶意代码,浏览器对接收到的信息进行渲染和解码,导致恶意代码触发执行,轻则造成用户信息丢失,重则引发系统失控[1].XSS 攻击的机制如图1 所示.

二、XSS 防御技术

2.1 编码防御技术

想要有效防御XSS 攻击,需要做好用户输入检查工作,配合替换、移除、编码等措施来保证防御效果.这里主要对编码防御技术进行分析.ESAPI 属于面向Web 应用程序的安全控制组件,具有免费、开源的特点,将其应用到编程中,能够有效降低应用程序风险.如果想要对XSS 攻击进行有效防御,可以依照网页显示的用户输入内容位置,引入不同编码方式.用户在对网页进行浏览的过程中,输入的信息可能在很多地方输出,包括HTML 属性、HTML 标签、URL 以及事件等,而ESAPI 能够针对上述所有的输出场景,提供相应的编码方案,这里对其进行分别分析:一是对HTML 输出,无论是HTML 属性输出HTML 标签输出,都可以选择HtmlEncode 方案;二是地址栏输出,可以采用URLEncode方案;三是对时间输出,可以采用JascriptEncode 方案;四是富文本处理,主要思路同样是输入检查,在对其进行处理的过程中,应该严格禁止“事件”,并对危险标签如<base> 等进行过滤,在实际操作中,可以利用Anti-Samy 对富文本进行安全扫描[2].需要注意的是在对ESAPI 进行应用时,可能出现一些错误,分析原因,多数是因为项目中缺少相应的文件,缺少的文件可以在已下载文件夹中的\src\test\resources\esapi 路径下找到,只需要依照错误提示,将对应的文件复制到项目src 根目录中,就可以对错误进行解决.

2.2 其他防御技术

除上述方法外,XSS 防御手段还有几种,一是预防Cookie 劫持.针对Cookie 劫持攻击,可以使用HttpOnly 属性进行防御,简单来讲,就是给Cookie 增加HttpOnly 属性来降低其被劫持风险,因为当Cookie 带有HttpOnly 属性后,浏览器会自动禁止JaScript 对其的访问;二是输入检查,对于用户的所有输入,都应该做好输入检查工作,检查的内容主要是分析在用户输入中是否存在危险字符(<、’等)和危险标签(<script> 等).对于特殊字符,可以运用正则表达式进行过滤,对于特殊标签,则可以选择的过滤工具为JSoup,这是一款基于JA 的HTML 解析器,能够实现对HTML 文本内容和以及URL 地址的直接解析.Jsoup 中存在的whitelist 清理器可以在服务器端实现对用户输入HTML 的过滤工具,确保输出的内容只有确定安全的属性和标签.结合Jsoup 白名单,可以实现对绝大部分危险标签的有效过滤[3].

结语:总而言之,信息化时代,XSS 攻击对于互联网的威胁不容小觑,其不仅可能导致人们私密信息的泄漏,还可能造成服务器瘫痪.为了更加有效的防范XSS 攻击,本文对XSS 攻击的原理和机制进行了分析,并提出了一些有效的XSS 攻击防御技术,不过相关技术人员必须认识到,XSS 攻击方式多种多样,单纯依靠一两种技术并不能解决所有问题,必须在充分理解XSS 攻击机制的前提下,结合不同环境,采用不同的防御方法来提升防御效果.

机制论文范文结:

关于本文可作为相关专业机制论文写作研究的大学硕士与本科毕业论文机制论文开题报告范文和职称论文参考文献资料。

1、激励机制论文