%0 Journal Article
%T 基于动态污点分析的DOM XSS漏洞检测算法
%A 俞研
%A 吴家顺
%J 计算机应用
%D 2016
%R 10.11772/j.issn.1001-9081.2016.05.1246
%X 摘要 针对Web客户端中基于文档对象模型的跨站脚本攻击(DOM XSS)漏洞检测问题,提出一种基于动态污点分析的DOM XSS漏洞检测算法。通过构造DOM模型和修改Firefox SpiderMonkey脚本引擎,利用动态的、基于bytecode的污点分析方法实现了DOM XSS漏洞的检测。对DOM对象类属性的扩展和SpiderMonkey字符串编码格式的修改可以完成污点数据标记;遍历JavaScript指令代码bytecode的执行路径,获得污点传播路径,实现污点数据集的生成;监控所有可能会触发DOM XSS攻击的输出点,实现DOM XSS漏洞的判定。在此基础上,利用爬虫程序设计并实现了一个互联网DOM XSS漏洞检测系统。实验结果表明,所提算法能有效检测网页存在的DOM XSS漏洞,其检测率可达92%
%K 动态污点分析
%K 注入点
%K 输出点
%K 执行路径
%U http://www.joca.cn/CN/abstract/abstract19344.shtml