Ajax Web应用程序的XSS漏洞检测

摘要

Web2.0已成为目前网络上的热点技术，作为其核心技术的Ajax给用户带来了无刷新的网络快速浏览新体验。但是，临界于桌面应用程序的“胖客服端”与Web应用程序的“瘦客户端”机制，Ajax技术的使用造成web应用程序同时具备这两种客户端特点的安全威胁。一方面Ajax将部分逻辑转嫁到客户端相应的暴露程序的部分业务逻辑；另一方面与Web服务器的交互信息以及可能的匿名访问也存在着潜在的攻击利用价值。尤其是Ajax中采用的脚本语言JavaScript更为跨站脚本攻击(XSS)提供便利。如何检测Ajax Web应用程序中的XSS漏洞，是值得大家共同关注的有相当意义的研究课题，是保障Ajax Web安全的必要措施。
　　 本文的主要分析研究工作如下：
　　 (1)分析了Ajax技术的工作原理和它存在的各种安全漏洞，着重研究了目前整个网络中最受关注的XSS攻击的原理、利用方式和检测方法，并对比分析了静态漏洞检测技术和动态漏洞检测技术，得出动态漏洞检测技术即错误注入技术它更接近实际情况，错误注入技术是在系统实际运行的时候，通过实际的攻击或模拟的攻击来发现漏洞，因此也就更能反映一个系统的实际的安全状况。
　　 (2)提出基于文本对象模型(DOM)状态转换的XSS漏洞检测算法，并结合使用逆向工程技术自动提取系统输入入口点，构建错误注入数据，综合运用动态检测技术，更细粒度地检测Ajax Web应用程序的XSS漏洞；提出DOM结构过滤算法减少状态数目，优化漏洞检测算法；提出Ajax XMLHttpRequest检测算法特殊检测Ajax中利用XMLHttpRequest攻击的漏洞。
　　 (3)设计并实现基于DOM状态转换的XSS漏洞检测工具AjaxXSS_Detector，详细讲述该工具主要模块的功能和工作流程。最后将工具运用到真实项目中，从可用性、可扩展性、自动化程度三个方面评估其效用，分析实验结果。