基于代码重写的动态污点分析
信息技术与网络安全 2期
梁 威1,洪 倩2
(1.中原工学院 彼得堡航空学院,河南 郑州450007;2.江西省第五人民医院,江西 南昌330046)
摘要: 当前,Web技术更新速度很快,JavaScript(JS)语言应用日益广泛,但同时也出现了许多安全风险,特别是现在的Web应用程序响应速度要求越来越高,更加剧了Web安全威胁。为此,研究了基于代码重写的动态JavaScript污点分析,借助重写JavaScript在代码运行过程中标记并跟踪敏感数据,检测数据泄漏并及时反馈。与传统动态污点分析方法不同,该方法无需依赖JS引擎,可以应用于各种浏览器,能高效精准地标记、跟踪、检测敏感数据泄露,提高Web安全性。
中图分类号: TP393
文献标识码: A
DOI: 10.19358/j.issn.2096-5133.2022.02.006
引用格式: 梁威,洪倩. 基于代码重写的动态污点分析[J].信息技术与网络安全,2022,41(2):33-38.
文献标识码: A
DOI: 10.19358/j.issn.2096-5133.2022.02.006
引用格式: 梁威,洪倩. 基于代码重写的动态污点分析[J].信息技术与网络安全,2022,41(2):33-38.
Dynamic taint analysis based on code rewriting
Liang Wei1,Hong Qian2
(1.Petersburg Aviation Institute,Zhongyuan University of Technology,Zhengzhou 450007,China; 2.Jiangxi Fifth People′s Hospital,Nanchang 330046,China)
Abstract: At present, the update speed of Web technology is very fast, and JavaScript(JS) language is used more and more widely, at the same time, there are many security risks. In particular, the requirements for the response speed of Web applications are becoming higher and higher, which exacerbates the threat of Web security. Therefore, this paper studies the dynamic JavaScript taint analysis based on code rewriting, marks and tracks sensitive data during code operation with the help of rewriting JavaScript, detects data leakage and gives feedback in time. Different from the traditional dynamic taint analysis method, the proposed method does not need to rely on JS engine, can be applied to various browsers, can efficiently and accurately mark, track and detect sensitive data leakage, and improve Web security.
Key words : code rewriting;JavaScript;dynamic taint;information flow analysis;Web security
0 引言
跨站脚本攻击是JavaScript漏洞攻击的常见形式,针对此类攻击,常规应对方法是基于用户输入端以及服务器输出端进行检测防范,即使用白名单检验用户输入端,在输出端做信息转义。这种方法有两点不足:首先,难以确定应该过滤或转义哪些内容;其次,难以保证任意用户输入端均得到有效处理[1]。动态污点分析方法无需覆盖所有路径,只需要动态跟踪当前的JavaScript代码执行路径。通过动态污点分析法跟踪检测JavaScript代码执行,对于不受信任的数据做污染传播,跟踪JavaScript行为,并根据相关安全定义操作应对异常行为。本次研究提出一种无需依赖JavaScript引擎的动态污染分析算法,通过重写JavaScript代码,实现代码自跟踪、自检测,以便实时跟踪检测敏感数据,有效保障Web安全。
本文详细内容请下载:http://www.chinaaet.com/resource/share/2000003948
作者信息:
梁 威1,洪 倩2
(1.中原工学院 彼得堡航空学院,河南 郑州450007;2.江西省第五人民医院,江西 南昌330046)
此内容为AET网站原创,未经授权禁止转载。