（计算机科学与技术专业论文）基于浏览器嵌入规划的非安全javascript检测与分析.pdf

， i n s e c u r ej a v a s c r i p td e t e c t i o na n d a n a l y s i sb a s e do n b r o w s e r e n f o r c e de m b e d d e dr u l e s b y z e n g p i n g b e ( h u n a nn o r m a lu n i v e r s i t y ) 2 0 0 8 at h e s i ss u b m i t t e di np a r t i a ls a t i s f a c t i o no ft h e r e q u i r e m e n t sf o rt h ed e g r e eo f m a s t e ro fe n g i n e e r i n g c o m p u t e ra p p l i c a t i o n i nt h e g r a d u a t es c h o o l o f h u n a nu n i v e r s i t y s u p e r v i s o r a s s o c i a t ep r o f e s s o rs u nj i a n h u a m a y ，2 0 1 1 嗍4m 82 6 09删 舢y 湖南大学 学位论文原创性声明 本人郑重声明：所呈交的论文是本人在导师的指导下独立进行研究所 取得的研究成果。除了文中特别加以标注引用的内容外，本论文不包含任 何其他个人或集体已经发表或撰写的成果作品。对本文的研究做出重要贡 献的个人和集体，均已在文中以明确方式标明。本人完全意识到本声明的 法律后果由本人承担。 作者虢髫彳 日期：矽，年夕月刎舀 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，同意 学校保留并向国家有关部门或机构送交论文的复印件和电子版，允许论文 被查阅和借阅。本人授权湖南大学可以将本学位论文的全部或部分内容编 入有关数据库进行检索，可以采用影印、缩印或扫描等复制手段保存和汇 编本学位论文。 本学位论文属于 1 、保密口，在年解密后适用本授权书。 2 、不保密团。 ( 请在以上相应方框内打“”) 作者签名：嗜中 导师签名：心 日期：加7 f 年f 月衫日 日期：矽年岁月彦多日 摘要 作为一个客户端的应用程序，浏览器是用户和因特网之间进行交互的一个重 要平台。现在存在许多与浏览器密切相关的恶意攻击，对用户浏览器安全造成了 严重的威胁。此外w e b2 0 因功能丰富、响应快速以及交互性强而倍受开发人员 与用户的青睐，w e b 2 0 应用程序的特点是允许接受不受信任的来源并将大量计 算工作放置客户端执行。随着这个趋势，攻击者也渐渐地将攻击目标从服务器端 转向了客户端，而目前的w e b 安全技术发展远远落后于应用技术的发展，使得 w 曲应用程序频繁遭到攻击，而j a v a s c r i p t 语言也同时被许多恶意团体用来开发 基于浏览器的攻击。 本文提出了一种根据安全检测规则控制j a v a s c r i p t 执行行为来确保浏览器安 全的方法。目的是为了阻止或者修改因恶意脚本注入而导致的非合法行为，利用 g r e a s e m o n k e y ，保护机制( 安全检测规则) 将自动化的插入到代码中，在事件 执行前拦截所有与安全相关的事件的执行。我们不需要对j a v a s c r i p t 代码进行静 态分析，仅仅需要将j a v a s c r i p t 代码的执行情况与高层定义的安全检测规则进行 比较就可以检测出代码的恶意行为。当用户访问w e b 站点时，该系统将安全检 测规则自动化地插入到该w e b 站点中，分析网站潜在的安全威胁，并同时将审 计的日志信息保存在客户端的本地文件中。 安全检测规则的实现采用了面向方面编程技术原理。而创建安全检测规则的 挑战主要来自于j a v a s c r i p t 语言本身的特性：在程序范围内任何变量都可以重新 定义，并且可以动态创建和运行代码。这就带来了潜在的问题，尤其是保护机制 的防篡改以及确保任何与安全有关的事件都不会绕过保护机制。不同于以前的那 些方法，我们所提出的是一种轻量级的方法，第一，它不需要修改浏览器代码； 其次，它不需要在运行期间解析并转换代码，包含所有动态生成的代码在内。 此外，本文最后在实际环境下用多个w e b 应用程序对该方法进行了评估测 试，实验表明该系统不要修改浏览器代码，并且能够有效地防御多种常见的恶意 攻击类型。与其它系统进行比较，本系统的运行时间负载较低。 关键词：j a v a s c r i p t ；基于浏览器的攻击；检测规则；w e b 安全 i i 硕士学位论文 a bs t r a c t t h eb r o w s e ri sa ni m p o r t a n tp l a t f o r mt h r o u g hw h i c hu s e r si n t e r a c tw i t hi n t e r n e t a sac l i e n ta p p l i c a t i o np r o g r a m a tp r e s e n t ，m a n ym a l i c i o u sa t t a c k st a k i n gp l a c eo n l i n ea r ea s s o c i a t e dw i t hb r o w s e r s ，w h i c hd og r e a td a m a g et ot h eu s e r s s e c u r i t y b e s i d e s ，w e b 2 0a p p l i c a t i o n s f r i e n d l yi n t e r f a c e ，p l e n t yo ff u n c t i o n sa n dh i g h p r a c t i c a l i t ye n d e a ri t t o d e v e l o p e r s a n du s e r s t h ec h a r a c t e r i s t i c so fw e b 2 0 a p p l i c a t i o n sa r et h a tt h e ya l l o wa c c e p t i n ga nu n t r u s t e ds o u r c ea n dp u t t i n gp l e n t yo f c o m p u t i n gw o r k si nt h ec l i e n ts i d e w i t ht h i st r e n d ，a t t a c k e r sh a v eg r a d u a l l ys h i f t e d t h ea t t a c k s p a c ef o rt h e i re x p l o i t sf r o mt h es e r v e r s i d et ot h ec l i e n t - s i d el o g i c h o w e v e r ，t h ec u r r e n td e v e l o p m e n to fw e bs e c u r i t yt e c h n o l o g yh a sl a g g e df a rb e h i n d t h ea p p l i e dt e c h n o l o g y ，i tm a k e sa t t a c k so nw e ba p p l i c a t i o n sf r e q u e n t l y , a n dt h e j a v a s c r i p tl a n g u a g e h a sb e e nm u c he x p l o i t e db ym a l i c i o u sp a r t i e st ol a u n c h b r o w s e r b a s e da t t a c k s t h i sp a p e rw ep u tf o r w a r da na p p r o a c ht oc o n t r o lj a v a s c r i p te x e c u t i o nw i t h s e c u r i t yi n s p e c t i o nr u l e s ，a n dm a k es u r et h a tt h eb r o w s e ri ss e c u r e t h ea i mi st o p r e v e n to rm o d i f yi n a p p r o p r i a t eb e h a v i o rc a u s e db ym a l i c i o u si n j e c t e ds c r i p t s t h e p r o t e c t i o nm e c h a n i s m s ( s e c u r i t yi n s p e c t i o nr u l e s ) a r ee m b e d d e di n t ot h ec o d e a u t o m a t i c a l l yw i t hg r e a s e m o n k e ya n di n t e r c e p ts e c u r i t yr e l e v a n te v e n t sb e f o r et h e y a r ee x e c u t e d t od e t e c tt h em a l i c i o u sb e h a v i o ro fc o d e s ，w ed o n tn e e dt oc a r r yo u t t h es t a t i ca n a l y s i so fj a v a s c r i p tc o d e ，j u s tc o m p a r et h ee x e c u t i o nt o h i g h l e v e l i n s p e c t i o nr u l e s w h i l ev i s i t i n gt h ew e b s i t et h es y s t e mi n s e r t st h es e c u r i t yi n s p e c t i o n r u l e si n t ot h ew e b s i t ea u t o m a t i c a l l yt oa n a l y z et h ep o t e n t i a ls a f e t yh a z a r d ，a n dt h e l o gi n f o r m a t i o no fa u d i t i n gc a nb es a v e di nal o c a lf i l eo nt h ec l i e n ta sw e l l t h ei m p l e m e n t a t i o no fs e c u r i t yi n s p e c t i o nr u l e sa d o p t st h et e c h n o l o g yo ft h e a s p e c t - o r i e n t e dp r o g r a m m i n g t h ec h a l l e n g e so fc r e a t i n gs e c u r i t yi n s p e c t i o nr u l e s c o m ef r o mt h en a t u r eo ft h ej a v a s c r i p tl a n g u a g e ：a n yv a r i a b l e si nt h es c o p eo ft h e p r o g r a mc a nb er e d e f i n e d ，a n dc o d ec a nb ec r e a t e da n dr u no n t h e f l y t h i sc r e a t e s p o t e n t i a lp r o b l e m s ，r e s p e c t i v e l y ，f o rt a m p e r - p r o o f i n gt h ep r o t e c t i o nm e c h a n i s m ，a n d f o re n s u r i n gt h a tn os e c u r i t yr e l e v a n te v e n t sb y p a s st h ep r o t e c t i o n u n l i k ep r e v i o u s a p p r o a c h e s ，t h es o l u t i o nw ep r o p o s ei sl i g h t w e i g h t f i r s t ，i td o e sn o tr e q u i r ea m o d i f i e d b r o w s e r ，a n ds e c o n d i td o e sn o tr e q u i r e a n yr u n t i m ep a r s i n ga n d t r a n s f o r m a t i o no fc o d e ，i n c l u d i n gd y n a m i c a l l yg e n e r a t e dc o d e i i i i na d d i t i o n ，i nt h i sp a p e rw ee v a l u a t eo u rs y s t e ma g a i n s ts e v e r a lr e a lw e b a p p l i c a t i o n sa tl a s t ，s h o wt h a ti td o e sn o tr e q u i r em o d i f y i n gt h ec o d e so fb r o w s e r ， a n di tc a np r o t e c ta g a i n s tav a r i e t yo fc o m m o nm a l i c i o u sa t t a c k se f f e c t i v e l y c o m p a r i n gw i t ho t h e rs y s t e m s ，o u rs y s t e mh a sl o wr u n t i m eo v e r h e a d k e yw o r d s ：j a v a s c r i p t ；b r o w s e r - b a s e da t t a c k s ；i n s p e c t i o nr u l e s ；w e bs e c u r i t y i v 硕士学位论文 目录 学位论文原创性声明和学位论文版权使用授权书i 摘要i i a b s t r a c t i l l 插图索引v i 附表索引v i i 第l 章绪论1 1 1 课题背景与意义1 1 2 国内外研究现状2 1 2 1 客户端检测方法3 1 2 2 服务器端检测方法4 1 2 3 浏览器与服务器协助检测方法5 1 2 4 传统防御技术的局限性6 1 3 本文的研究内容。8 1 4 本文的结构组织8 第2 章系统设计的相关技术l o 2 1 引言1 0 ：! 2 j a v a s c r i p t 1 0 2 2 1j a v a s c r i p t 运行环境1 0 2 2 2j a v a s c r i p t 解析机制1 2 2 2 3j a v a s c r i p t 安全特性1 3 2 2 4j a v a s c r i p t 函数执行劫持技术15 2 3 浏览器1 6 2 3 1 浏览器工作过程1 6 2 3 2 浏览器安全威胁：1 7 2 3 3 浏览器保护机制1 8 2 4 面向方面编程19 2 4 1 a o p 技术概述1 9 2 4 2 c r o s s c u t t i n g 技术2 0 2 5 小结2 1 第3 章基于浏览器嵌入规则的非安全j a v a s c r i p t 检测与分析2 2 3 1 引言2 2 v 3 2 系统设计目标2 2 3 2 1 系统设计思路2 3 3 2 2 系统体系结构2 4 3 2 3 检测原理推导2 6 3 3 安全检测规则构建2 7 3 3 1 拦截原理2 8 3 3 2 封装函数2 9 3 3 3 安全状态3 1 3 3 4 监控对象属性访问事件3 2 3 4 安全检测规则插入模块3 3 3 4 1 安全检测规则原型3 3 3 4 2 插入安全检测规则3 6 3 5 日志模块3 7 3 6 小结3 8 第4 章实验分析4 0 4 1 引言4 0 4 2 实验环境4 0 4 2 1 硬件环境4 0 4 2 2 软件环境4 0 4 2 3 实验环境搭建4 0 4 3 实验及分析一4 4 4 3 1 安装用户脚本4 4 4 3 2 拦截过程分析：4 5 4 3 3 实验结果4 6 4 3 4 性能分析4 7 4 4 j 、结4 9 总结与展望5 0 参考文献5 2 附录a 攻读硕士学位期间所发表的学术论文目录5 6 附录b 攻读硕士学位期间所参与的项目5 7 致j 射5 8 v i 硕士学位论文 插图索引 图1 1w e b 应用的三层架构2 图1 2w 曲应用程序安全威胁模型3 图1 3w 曲安全全景图6 图2 1j a v a s c r i p t 运行环境1 1 图2 3j a v a s c r i p t 的词法分析与语法分析过程1 3 图2 4 典型的脚本注入攻击过程图。1 4 图2 5w e b 浏览器架构图1 6 图2 6 浏览器解析过程1 7 图2 7 一个典型系统中的横切关注点一2 0 图3 1 系统设计目标2 3 图3 2 系统体系结构2 5 图3 3 系统工作流程图2 5 图3 4a o p 在该安全检测系统的应用3 0 图3 5 日志模块实现类图3 8 图4 1 各检测系统的时间开销4 8 v i i 附表索引 表2 1 常见浏览器的j a v a s c r i p t 脚本解析引擎1 2 表2 2 常见的跨站脚本攻击方式1 5 表4 1 实验的软硬件配置4 0 表4 2 被检测到的各种攻击类型4 6 表4 3 本系统部分j a v a s c r i p t 属性封装延迟4 7 表4 4 站点加载安全检测规则前后的加载时间开销一4 8 表4 5 对比分析各个检测系统的实现方法4 8 v i i i 硕：七学位论文 1 1 课题背景与意义 第1 章绪论 2 0 10 年1 月1 5 日，中国互联网络信息中心( c n n i c ) 在京召开中国互联网 络发展状况统计报告发布会，根据c n n i c 发布的第2 5 次中国互联网发展状况 统计报告，截至2 0 0 9 年1 2 月，我国的网民规模已经达到3 8 4 亿，增长率为2 8 9 ， 占中国人口总数的2 7 4 ，北京市网民普及率达到了6 5 1 【l 】。与此同时，在2 0 0 9 瑞星云安全技术大会上，提出2 0 0 9 年度中国大陆地区互联网电脑病毒疫情和 互联网安全报告，总结了2 0 0 9 年的信息安全方面的一些数据，通过这些数据的 分析，表明2 0 0 9 年安全新特点主要表现在如下方面：第一，黑客和病毒制造者 重新使用感染性病毒作为入侵用户电脑的武器，从2 0 0 9 年1 月份感染1 0 6 万， 到了8 月份达到了7 0 4 万，短短的7 个月上升了6 7 倍；第二，在互联网上扫描 带有漏洞的主机与服务，通过自动注入s q l 到服务器中，侵害访问这些网站的 用户，其中有5 0 以上的企业网站受到过这种自动s q l 的攻击；第三，浏览器 以及第三方软件的威胁；最后，企业网站安全也是不容乐观的，2 0 0 9 年8 月瑞 星安全网站为1 0 万个网站提供安全预警服务，在抽样的数据大致统计了5 0 0 0 个网站中，其中有10 3 7 个网站曾经被挂马，被挂马的数量为2 7 8 51 个【2 1 。 全球互联网正在经历一个飞速发展的时期，随之而来的安全问题更是日益严 峻，不仅安全威胁的种类在膨胀，而且技术手段日益复杂。黑客们更加注重攻击 “策略”和传播、入侵流程，通过各种手段躲避杀毒软件的检测和安全防护措施， 达到获取经济利益的目的。因此，网络传播的病毒程序危害更加严重。 随着w e b 2 0 时代的到来，越来越多的互联网产品诞生，类似社交网络、微 博等，目前很多业务也都依赖于互联网，如网上银行、网上购物等，w e b 业务的 迅速发展也引起黑客们的强烈关注，接踵而至的就是w e b 安全威胁的凸显，黑 客利用网站操作系统的漏洞和w e b 服务程序的s q l 注入漏洞【3 】等得到w e b 服务 器的控制权限、篡改网页内容、窃取用户敏感数据，更为严重的则是在网页中植 入恶意代码，使得网站访问者受到侵害。这也使得越来越多的用户关注应用层的 安全问题，对w e b 应用安全的关注度也逐渐升温。 w e b 浏览器作为用户与网络交互的重要接口也渐渐成为了网络攻击的重点， 在互联网安全领域浏览器已经进入了前沿阵地，针对浏览器而发起的攻击也日渐 增加。现在w e b 2 0 技术允许接受不可信任来源，并将原本在服务器端执行的代 码放置客户端执行，因此引发了许多安全隐患。防火墙虽能在一定程度上阻止某 些攻击，但对于一些利用浏览器自身安全漏洞进行的攻击依然无法阻止。当用户 浏览网页时j a v a s c r i p t 代码下载到浏览器后并通过内嵌的脚本解析引擎动态执 行，目前安全漏洞评估工具有很多，但是如今针对w e b 应用程序的攻击往往都 是利用浏览器的自身功能来实施攻击，许多已经存在的攻击仍然能窃取用户的敏 感信息如c o o k i e s ，或者无限制的弹出窗口等等，浏览器安全仍然存在威胁。 w e b 应用程序安全己成为安全领域研究中的重点和热点，同时对于研究计算 机安全也具有重要意义。 1 2 国内外研究现状 w e b 应用程序通常被架设在w e b 服务器上，当用户在w e b 浏览器上向服务 器端发送请求时，这些请求使用h t t p 协议，利用互联网与企业的w e b 应用程 序进行交互，并经过w e b 应用和企业后台的数据库及其他动态内容通信。 虽然各个不同的企业一般都将采用不一样的方式来搭建w e b 应用环境，但 一个典型的w e b 应用通常是一个标准的三层架构模型，如图1 1 所示。这种最 常见模型主要由客户端、中间层以及数据库层构成，其中第一层是客户端，可以 理解为浏览器；中间层主要使用了动态w e b 内容技术，又可分为表示层( w e b 服务器) 与业务逻辑层( 应用服务器) ；数据库作为第三层，存储了客户端用户 所要用到的所有相关的数据，例如系统管理员的用户名和密码等用户敏感数据。 当用户访问某个站点或服务时，通过w e b 浏览器用户将请求发送给中间层，并 利用中间层将用户的请求转换为对后台数据的查询或更新，同时将最终的结果在 浏览器上显示给客户端。 图1 2w e b 应用程序安全威胁模型 1 2 1 客户端检测方法，； 随着客户端的安全问题已经成为了影响计算机网络安全的主要原因，给用户 机器安全带来了巨大影响，这引起了广大研究人员的重视并提出了一些在客户端 进行安全检测的方法，确保用户安全使用w e b 应用程序。 目前也已经有许多检测技术，其中p i x y t 5 】使用静态分析法来检测w e b 应用 程序的安全漏洞，此外也可以同时结合动态分析方法【6 】，b a u e rl e7 】则通过安全策 略来分析，而y u ec t 8 】等是目前为止第一个对在w e b 上非安全使用j a v a s c r i p t 的 编程习惯做研究的，重点研究了非安全的包含外部脚本文件与动态生成脚本两大 类型，其中动态生成部分主要针对e v a l ( ) 、i n n e r h t m l 、d o c u m e n t w r i t e 进行分 析，同时在a l e x a c o mt o p5 0 0 上的15 种不同类型的网站，选择了6 8 0 5 个不同 站点的主页进行实验，测试结果表明非安全使用j a v a s c r i p t 编程习惯在各种网站 上普遍存在，从该统计数据可以看出j a v a s c r i p t 语言自身的一些安全特性，对于 保障w e b 站点网页的安全来说非常重要。 如今已经开发了许多在客户端对j a v a s c r i p t 代码的执行进行监控的保护机 制，其中c o n s c r i p t t 9 】是建立在i e8 浏览器上，除了制定1 7 条安全策略外， 它还会对服务器端代码进行自动化静态分析，确保c o n s c r i p t 策略正确运行。 此外，h a l l a r a k e ro 和v i g n ag t l 0 】等人提出了在客户端通过控制脚本去访问文档 对象模型a p i 的方法与属性，强制执行访问控制策略实现对客户端恶意 j a v a s c r i p t 脚本进行检测的方法。该系统主要由嵌入浏览器中的脚本审计器以及 日志审计处理的入侵检测系统这两大部分构成，将已知的恶意攻击行为与审计日 志信息进行对比进而发现攻击，该方法除了能够对跨站脚本攻击进行检测外，还 能够检测发现其他类型的攻击。但是本系统存在一个非常显著的弱点：它只能检 测到已知的行为特征的攻击，对于一些攻击者自己重新组合创造的新型攻击类型 便显得无能为力。在该文献中首次采用了在x p c o m ( 跨平台对象模型) 层来监 控j a v a s c r i p t 代码运行情况的安全审计机制，对于j a v a s c r i p t 语言的动态运行这 一大特性来说是非常严格的，但是这种方法需要对浏览器( f i r e f o x ) 进行大量的 代码修改操作，同时该j a v a s c r i p t 代码监控机制不能提供完全健全的审计，难以 保障客户端不会被其它跨站脚本攻击。 t a h o m a 是一个w e b 浏览框架，它利用虚拟化技术以及沙盒技术来装载客户 端的w e b 应用程序，该文献提出的重点主要是为了减轻w e b 浏览器的漏洞问题， 对客户端用户的访问进行了严格限制，但是w e b 应用程序开发人员也可以通过 指定一个u r l 白名单规定客户端用户之间的通讯。此外，它还严格限制了w e b 应用程序对本地文件的访问权限1 1 1 1 。然而，该方法必须在特定的操作系统版本 下，利用指定的浏览器与特定的管理程序才能够有效运行。 n o x e s 利用客户端所部署的代理来阻止恶意u r l 请求，它并不需要限制攻 击的行为特征必须为已知，但是需要对n o x e s 进行一些配置，而且需要用户干 预才能将发现到的攻击进行及时解决【l2 1 。p v o g t 等人为此提出另一种解决办法， 它通过对流过用户浏览器的所有敏感数据流进行分析，确保敏感数据信息不会被 攻击者所利用起来i l3 1 。因这两类检测法都是通过追踪敏感数据来实现，对于遵 循了同源策略的那些攻击就变得无能为力了，所以只能阻止跨站脚本攻击的首个 攻击目的。 总之，以上两种在客户端对代码进行检测技术的基本特征是它们都需要在客 户端的基本软件进行代码修改，这就可能会导致新的安全问题的产生，甚至使得 浏览器潜在的安全问题变得更加透明。从实际应用的操作来看，该方法是非常费 时的，而且在开发过程中容易出错，更重要的是，它的生命周期很短暂，这是因 为对于开源项目来说其代码库更改速度是非常迅速的，例如f i r e f o x 浏览器的代 码就很有可能立刻被其它开发人员修改，保持当前版本软件的代码不变是非常困 难的，而且一般说来，修改浏览器代码需要专业开发人员慎重考虑安全问题，普 通的用户难以正确配置浏览器的安全策略，需要用户自己在浏览器中将防御体系 部署完整。 1 2 2 服务器端检测方法 通常我们的w e b 应用程序都部署在服务器上，用户通过在本地向服务器端 发送请求来获取相应的网络资源。与客户端检测方法相比，服务器端检测占有很 显著的优势，因为w e b 应用程序的所有代码都保存在服务器端，这样就可以充 4 硕十学位论文 分利用服务器并在服务器上对代码进行安全检测。 目前，已经开发了很多关于w e b 程序的自动化检测工具，例如常见的白盒 检测工具和黑盒检测工具，它们已经在实际的应用环境下得到了广泛使用，站点 的系统管理人员可以利用它们来检测w e b 应用程序潜在的安全问题，但是一般 情况下这些方法都存在较高的漏警率和误警率。其次由于这些工具都是第三方工 具，借助这些工具网站运营者虽然能够扫描出各种漏洞，但是不能及时将这些安 全漏洞进行修补，而需要网站的开发人员参与，这就必然会带来一些额外的开销。 g u h aa 与k r i s h n a m u r t h is 等人提出了一种通过静态分析的方法来检测分析代码 i l 引，为j a v a s c r i p t 代码的x m l h t t p r e q u e s t 请求构建起一个相应的请求图，然后 在服务器端对用户所发送过来的每个x m l h t t p r e q u e s t 请求都进行检测，如果不 符合对应的请求图就将它看成为一次攻击。这种检测方式虽然能够防御一般的跨 站脚本攻击和请求伪造攻击类型，但是它仅仅根据x m l h t t p r e q u e s t 请求的分析， 对于一些不会向w e b 应用程序所在的服务器发起x m l h t t p r e q u e s t 访问请求的攻 击，该方法具有一定的局限性，如它不能有效防御那些利用w e b 应用程序的跨 站脚本攻击漏洞的木马程序。 1 2 3 浏览器与服务器协助检测方法 保护浏览器的安全不仅可以利用单纯的客户端检测技术或服务器端检测技 术，还可以利用客户端的浏览器和服务器端相协助的检测技术。在服务器端可以 注释掉发送给客户端浏览器的内容，这里包含区别正常的内容或者脚本的相关特 权级的信息，而在用户浏览器中可以相应地对这些注释进行审查并运行。 b e e p 在浏览器中利用钩子函数对所有脚本代码进行捕获，并根据服务器所 提供的安全策略对这些脚本进行核查，只有符合安全策略的脚本才允许执行。该 系统主要构建了两种策略：其一可以对正常的脚本代码进行哈希，将哈希后的结 果作为白名单，然后浏览器就可以利用这个白名单来进行脚本的审核；其二是利 用了d o m 的沙盒机制，在服务器端把所有用户提交的可能包含了恶意脚本的代 码都放置于沙盒中执行，通过浏览器遍历d o m 树查找可能存在的恶意节点，阻 止所有的恶意脚本代码运行l l 引。 此外，n o n c e s p a c e s 利用随机的x m l 的命名空间前缀把页面内容分成了各 不相同的信任级别，这些命名空间由用户的浏览器进行解释，然后根据w e b 应 用程序所制定的安全策略限制相应的代码的运行。网站的管理人员可以为x p a t h 设置不同的信任级别，这样就可以阻止所有含有恶意攻击的j a v a s c r i p t 脚本【1 6 】。 这种利用客户端浏览器与服务器协作检测的方法能够更好的将发送给客户 的正常脚本部分与恶意脚本部分区分开。然而，以上介绍的两种方式它们有一个 共同缺陷：它们都需要对服务器端的w e b 应用程序的源代码进行修改，而且必 须修改客户端浏览器的代码，这一点又和客户端的防御技术类似。但最理想化的 一种方法就是不需要大量修改w e b 应用程序的源代码，同时也不需要用户修改 浏览器代码。 1 2 4 传统防御技术的局限性 为了确保w e b 应用程序的安全，必须保障w e b 应用程序在整个通信过程中 的每个通信层次，都能使用不同的技术来确保安全性。一个典型的w e b 应用安 全全景图如图1 3 。在客户端，为了能确保客户端机器的安全，用户可以安装查 杀病毒的软件，如瑞星杀毒软件；在数据传输的过程中，为了保障数据安全，防 止通讯数据被窃听或者被篡改，一般都会利用安全套接字技术对通信数据进行加 密处理；利用防火墙、入侵检测系统或入侵防御系统可以保证企业网络访问的安 全性，只有被允许的特定的访问才能通过这道防线进入企业内网。尽管在通信的 各个层面上都有相应的安全保障技术，但是用户依然遭遇到各种安全威胁。 桌面传输网络 w e b 应用 器 图1 3w e b 安全全景图 在客户端即使安装有查杀病毒防护软件、防火墙等，但由于我们的真正目标 是为了利用w e b 应用为我们用户提供相应的服务，使w e b 应用服务功能最大化， 用户就必须对防火墙进行设置，允许一部分的通讯信息能够通过防火墙，但是在 安全性能方面，就可能造成客户端机器面临安全威胁【1 1 7 】；此外，防火墙可以通 过设置关闭不必要暴露的端口防止恶意攻击，但是w e b 应用必须开放8 0 端口和 4 4 3 端口，通过8 0 端口与4 4 3 端口的数据就可能包含有恶意的攻击，攻击者可 以充分利用这两个端口对客户端进行恶意操作。在此值得关注的是，w e b 应用也 是由一些软件组建成的，那么w e b 应用中也一定会包含一些缺陷，恶意攻击者 就会利用这些缺陷，通过执行各种恶意的非法操作，可以窃取用户敏感数据信息、 操控用户的执行行为、破坏w e b 应用中的一些重要数据信息。恶意用户甚至还 可以破解安全套接字层( s e c u r i t ys o c k e tl a y e r ) 加密，攻破各种防火墙设备的防 御，攻入企业内部网站窃取重要的数据信息。虽然各种传统方法能在一定程度上 6 保护 在对 ( 1 ) 安全套接字层加密：即s s l 加密，是一种用于w e b 的安全通信标准， 可以把它理解成分层体系结构中的一层，位于应用层和传输层之间，建立用户与 服务器之间的加密通信，确保信息传递的安全。w e b 站点利用安全套接字层加密 后，就意味着在通信过程中发送与接收的任何信息都必须经过加密处理，但是安 全套接字层加密技术无法保障存储在w e b 站点里的数据信息的安全。目前许多 网站采用了12 8 位安全套接字层加密，攻击者依然可以破解。此外，安全套接字 层也无法保护访问网站的客户的隐私信息。这些隐私信息直接存在网站服务器里 面，这是安全套接字层所无法保护的。它仅仅保护了在传输过程中数据的安全性， 并没有保护w e b 应用本身。 ( 2 ) 防火墙：作为网络边界上主要的安全防御设备，防火墙并不是不可摧毁 的堡垒，这是因为在实际应用环境中，必须始终将8 0 和4 4 3 端口开放，尽管防 火墙可通过设置限制对其它重要端口的访问，但是，我们无法对8 0 与4 4 3 这两 个端口中数据信息进行判断：是来自善意的访问行为，还是恶意的攻击行为。此 外，对于来自网络内部的攻击与安全问题，防火墙不能很好解决。针对防火墙的 局限性主要表现在这些方面：首先防火墙不能解决来自网络内部的攻击和安全问 题，针对防火墙内部合法用户的主动泄密行为，防火墙也无能为力，无法阻止绕 过它的攻击行为；其次防火墙不能防止由于自身安全漏洞引起的安全威胁，不能 阻止感染病毒的程序与文件的传输；最后防火墙对用户来说不安全透明，难于管 理和配置，易造成安全漏洞；在内网与外网通信信道上设置防火墙，并设置执行 规定的安全策略，防火墙在提供安全防护的同时，也变成了网络通信的瓶颈，增 加了网络传输延时，一旦防火墙出现了问题，那么内部网络也会受到严重的安全 威胁。 ( 3 ) 漏洞扫描工具：自从上世纪9 0 年代初以来，漏洞扫描工具已经得到了 广泛使用，可以用来扫描检测一些明显存在的安全漏洞。但是，漏洞扫描工具无 法对w e b 站点的应用程序进行检测，无法查找程序代码中的漏洞。漏洞扫描工 具根据自动生成一些特定的请求发送给w e b 站点，并获取站点的响应消息后进 行分析，将响应消息和一些漏洞进行对比，一旦检测到异常即将漏洞报出来。目 前，虽然一些新开发的漏洞扫描工具能发现站点的一般常见的安全问题，但这些 工具难以处理w e b 站点的应用程序，因其对应用自身不了解，仅能用来分析处 于网络层面的漏洞，对于保障整个系统安全来说不够彻底。 ( 4 ) w e b 网站安全评估：w e b 应用站点的代码修改频率比较高，对w e b 网站 进行定期安全评估非常有必要。但是在对w e b 站点进行安全评估时，安全审计 时的情况可能与当前情况有很大差异。w e b 应用程序站点只要有任何的改动，都 7 会出现安全隐患的问题。当网站增加新功能时也往往会忽略安全问题。这样即使 对网站做定期的安全评估，攻击现象也不能被完