基于分隔符的跨站脚本攻击防御方法.pdf

北京大学学报(自然科学版) 第 54 卷 第 2 期 2018 年 3 月 Acta Scientiarum Naturalium Universitatis Pekinensis, Vol. 54, No. 2 (Mar. 2018) doi: 10.13209/j.0479-8023.2017.172 基于分隔符的跨站脚本攻击防御方法 1,2 1 1 1 1,† 1 张慧琳 李冠成 丁羽 段镭 韩心慧 肖建国 1. 北京大学计算机科学技术研究所 , 北京 100871; 2. 国家计算机网络应急技术处理协调中心, 北京 100029; † 通信作者 , E-mail: hanxinhui@ 摘要 通过分析跨站脚本攻击的特性, 提出一种基于分隔符的跨站脚本攻击防御方法, 该方法适用于 UTF-8 编码的 Web 应用程序。首先 , 仅对可信数据中的分隔符进行积极污点标记 ; 然后 , 利用字符 UTF-8 编码值 的转换轻量级完成污点标记, 该污点信息可随着字符串操作直接传播到结果页面 ; 最后 , 根据结果页面中分 隔符的污点信息及页面上下文分析, 检查脚本执行节点的合法性和脚本内容的可靠性, 精确地检测并防御跨 站脚本攻击。针对 PHP 平台实现了原型系统 XSSCleaner 。实验证明, XSSCleaner 可轻量级地完成污点分析, 并且能够对跨站脚本攻击进行精确防御, 页面生成的时间开销平均为 12.9%。 关键词 跨站脚本攻击 ; 分隔符 ; 动态污点分析; 积极污点标记; 影子字节 ; 页面上下文 中图分类号 TP393 Cross Site Script Prevention Based on Delimiters 1,2 1 1 1 1,† 1 ZHANG Huilin , LI Guancheng , DING Yu , DUAN Lei , HAN Xinhui , XIAO Jianguo 1. Institute of Computer Science and Technology, Peking University, Beijing 100871; 2. National Computer Network Emergency Response Technical Team/Coordination Center of China, Beijing 100029; † Corresponding author, E-mail: hanxinhui@ Abstract The authors propose a practical and accurate cross site script prevention method based on delimiters for UTF-8 encoded web applications. Only trusted delimiters are tainted into corresponding UTF-8 shadow bytes, and these tainted shadow bytes