针对JSP的基于静态分析与动态过滤的XSS攻击的防范设计
作者单位:北京邮电大学信息安全中心 合肥荣事达三洋电器股份有限公司
会议名称:《第十八届全国青年通信学术年会》
会议日期:2013年
学科分类:0839[工学-网络空间安全] 08[工学]
摘 要:跨站脚本(XSS)攻击已成为当下web安全面临的主要问题之一。为防范这种攻击,出现了许多防范机制,但是这些防范机制都有其局限性。本文提出了一种基于静态分析与动态过滤相结合的混合防范机制,在客户端与服务器端对用户输入与请求进行基于黑白名单模式的验证与过滤,同时针对JSP页面动态内容进行标记与特征提取,通过Nginx代理服务器对respond返回页面与原始JSP页面进行特征比对,以此来检测和防止JSP动态内容产生有害的攻击信息。上述机制能有效防御已知的XSS攻击,同时对于JSP中的动态内容能进行有效的检测和监控。