-
题名XSS漏洞研究综述
被引量:7
- 1
-
-
作者
孙伟
张凯寓
薛临风
徐田华
-
机构
中山大学电子与信息工程学院
信息技术教育部重点实验室(中山大学)
中山大学数据科学与计算机学院
轨道交通控制与安全国家重点实验室(北京交通大学)
-
出处
《信息安全研究》
2016年第12期1068-1079,共12页
-
基金
澳门科技发展基金项目(097/2013/A3)
轨道交通控制与安全国家重点实验室(北京交通大学)开放课题基金项目(RCS2016K007)
-
文摘
跨站脚本(cross-site scripting,XSS)是一种常见的针对Web应用程序安全漏洞的攻击.恶意用户利用漏洞将恶意脚本注入网页之中,当用户浏览该网页时,便会触发脚本,导致攻击行为发生.由于HTML编码方案的高度灵活性,攻击者可通过多种方法绕过输入验证过滤器,导致XSS难以被发现和预防.为了有效减少XSS造成的危害损失,依照XSS的分类,对反射型XSS、存储型XSS和基于DOM的XSS特征及原理进行了细致的分析和对比,并对数量庞大、形态各异的XSS攻击向量进行归纳和梳理,通过举例对C∞kie窃取、会话劫持、钓鱼欺骗等XSS常见利用方式进行说明,并对常用的XSS防御手段进行整理,最后对静态分析、动态分析、机器学习等主流的XSS漏洞自动化检测方法进行总结.
-
关键词
WEB安全
跨站脚本
攻击向量
漏洞利用
漏洞检测方法
-
Keywords
Web security
XSS(cross-site scripting)
attack vectors
exploit
vulnerability detection methods
-
分类号
TP393.08
[自动化与计算机技术—计算机应用技术]
-
