跨站脚本(cross site scripting,XSS)攻击是Web安全中最严重的风险之一。随着Web服务、API等Web技术的广泛使用,以及AJAX、CSS和HTML5等新编程风格的出现,XSS攻击的威胁变得更加严重,因此如何处理XSS攻击安全风险已成为Web安全研究的重...跨站脚本(cross site scripting,XSS)攻击是Web安全中最严重的风险之一。随着Web服务、API等Web技术的广泛使用,以及AJAX、CSS和HTML5等新编程风格的出现,XSS攻击的威胁变得更加严重,因此如何处理XSS攻击安全风险已成为Web安全研究的重要关注点。通过对近年来XSS攻击检测和防御技术的调研,根据XSS攻击是否具有隐蔽性,首次从非对抗和对抗两个角度综述了XSS攻击检测和防御的最新技术。首先,从非对抗攻击检测和对抗攻击检测两个方面探讨分析了基于机器学习从数据中学习攻击特征、预测攻击的方法,以及基于强化学习识别或生成对抗样本策略来优化检测模型的方法;其次,阐述了非对抗攻击防御基于规则过滤XSS攻击、基于移动目标防御(MTD)随机性降低攻击成功率和基于隔离沙箱防止XSS攻击传播的方法;最后,分别从样本特征、模型特点和CSP的局限性、上传功能的广泛性等方面提出了XSS攻击检测和防御未来需要考虑的问题并作出展望。展开更多
跨站脚本(Cross Site Scripting,XSS)攻击是Web安全中最严重的风险之一。通过对近年来XSS攻击漏洞检测文献的调研,对XSS攻击漏洞检测技术的研究进展进行了全面综述。探讨了静态分析基于代码审计对比源代码转换的抽象模型检测出漏洞和静...跨站脚本(Cross Site Scripting,XSS)攻击是Web安全中最严重的风险之一。通过对近年来XSS攻击漏洞检测文献的调研,对XSS攻击漏洞检测技术的研究进展进行了全面综述。探讨了静态分析基于代码审计对比源代码转换的抽象模型检测出漏洞和静态污染分析跟踪源代码找到漏洞的方法;分析了动态分析基于动态污染分析在运行时跟踪污染数据发现漏洞、安全性测试构造XSS漏洞对Web应用程序进行测试,以及混合动态分析使用多种动态分析方法检测XSS攻击漏洞的方法;阐述了混合分析组合静态分析和动态分析降低检测假阳性率的方法;分别从代码审计的可解释性和混合分析的稀少性,提出了XSS攻击漏洞检测未来需要考虑的问题,并作出展望。展开更多
文摘跨站脚本(cross site scripting,XSS)攻击是Web安全中最严重的风险之一。随着Web服务、API等Web技术的广泛使用,以及AJAX、CSS和HTML5等新编程风格的出现,XSS攻击的威胁变得更加严重,因此如何处理XSS攻击安全风险已成为Web安全研究的重要关注点。通过对近年来XSS攻击检测和防御技术的调研,根据XSS攻击是否具有隐蔽性,首次从非对抗和对抗两个角度综述了XSS攻击检测和防御的最新技术。首先,从非对抗攻击检测和对抗攻击检测两个方面探讨分析了基于机器学习从数据中学习攻击特征、预测攻击的方法,以及基于强化学习识别或生成对抗样本策略来优化检测模型的方法;其次,阐述了非对抗攻击防御基于规则过滤XSS攻击、基于移动目标防御(MTD)随机性降低攻击成功率和基于隔离沙箱防止XSS攻击传播的方法;最后,分别从样本特征、模型特点和CSP的局限性、上传功能的广泛性等方面提出了XSS攻击检测和防御未来需要考虑的问题并作出展望。
文摘跨站脚本(Cross Site Scripting,XSS)攻击是Web安全中最严重的风险之一。通过对近年来XSS攻击漏洞检测文献的调研,对XSS攻击漏洞检测技术的研究进展进行了全面综述。探讨了静态分析基于代码审计对比源代码转换的抽象模型检测出漏洞和静态污染分析跟踪源代码找到漏洞的方法;分析了动态分析基于动态污染分析在运行时跟踪污染数据发现漏洞、安全性测试构造XSS漏洞对Web应用程序进行测试,以及混合动态分析使用多种动态分析方法检测XSS攻击漏洞的方法;阐述了混合分析组合静态分析和动态分析降低检测假阳性率的方法;分别从代码审计的可解释性和混合分析的稀少性,提出了XSS攻击漏洞检测未来需要考虑的问题,并作出展望。
