基于混合分析的Node.js平台注入漏洞攻击检测与自动修复

来源 :明博文 | 被引量 : 0次 | 上传用户:loveqin11
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
Node.js让浏览器之外的Javascript编程成为可能,在这一背景下,全栈Java Script应用程序的安全性需要安全社区的特殊处理。研究分析中发现服务器端生态系统中过度的代码重用增加了依赖恶意或易受攻击代码的风险,本课题在此基础上讨论了针对Web应用程序的现有攻击及其实证研究,重点关注注入漏洞。这些问题在服务器端库代码中很普遍,并且攻击者可以在真实网站中利用这些漏洞。本课题的工作旨在研究和提高服务器端Java Script代码的安全性。本课题提出一种基于混合分析的检测及自动修复模型IVADAR,针对现有检测工具的兼容性、应用场景可扩展性及相应函数建模问题实现更多应用场景下的有效检测及修复。模型实现部分采用针对错误检测和强化Web应用程序的不同程序分析技术,应用静态动态分析结合的检测工具,基于Closure Compiler实现静态分析,基于esprima和shell-parse模块实现运行时防御注入攻击及强制执行策略自动修复,在此基础上进行修改与实现,将其进行模块化与拆分以兼容不同node与npm版本。并对arraymap函数进行建模与分析,扩展其应用场景及检测模型所覆盖数据集,在对exec和eval进行了检测的基础上,将其应用到new function及shelljs模块这类场景中进行检测,达到了更广泛应用场景检测识别的目的。解决了对更多注入类API建模及代码重写以实现自动修复的问题。IVADAR模型达到较好的代码检测误报漏报率及较低的自动修复计算成本。在56个良性输入中,观察到5个误报,误报率为8.92%,无漏报,在超过100次使用所有输入的模块运行测试下,实验执行机制调用平均耗时0.76毫秒。以很小的计算成本实现了轻量级数据流分析,具有较高的实际应用价值。研究全栈Java Script Web应用程序的安全性问题是一个新的研究方向,未来会有更多新型应用场景与研究思路。
其他文献
【研究目的】研究钙衰蛋白(CSEN)、外周蛋白(Prph)、载脂蛋白J(ApoJ)在弥漫性轴索损伤后的人血清中的表达水平的变化规律,探究生物标志物CSEN、Prph、ApoJ在弥漫性轴索损伤后的法医学诊断中的应用价值。【研究方法】对所有血清样品分别进行CSEN、Prph、ApoJ三个指标的酶联免疫吸附试验。将所有血清样品设置复孔,分别进行CSEN、Prph、ApoJ的定量检测,对测得的浓度求平均值
学位
5G时代的移动终端设备需要拥有相对于以往移动终端设备更高的信息传输速率,这就对信息传输的主要组件之一——天线提出了更高的要求,同时移动终端设备的大屏占比、窄边框设计也给天线设计尤其是宽频带天线设计带来了诸多挑战,除此以外,移动终端设备使用时长的增加也需要我们更多地关注移动终端设备的电磁辐射安全问题。本文针对这三个方面的需求设计了应用于5G移动终端的高隔离MIMO天线和适用于LTE/WWAN的八频段
学位
科技水平是一个国家综合实力的重要标志,当前全球各国都在加大科研投入。我国在尖端科技领域依然面临着受制于人的困境,对高层次科研人员的需求十分迫切。研究生教育是培养大批高端人才的关键途径,学术型硕士生更是科研人才的“储备军”。同时,我国硕士研究生教育规模不断壮大,培养质量成为人们关注的话题。科研能力是衡量研究生培养质量的标准之一,也是学术型硕士生的首要培养目标,然而其科研能力的整体水平并不理想。课程是
学位
嵌入式数词四字格是汉语特有的语言现象,现代汉语词汇的重要组成部分,经过长期历史发展后仍然在日常交际中十分活跃。本文选取前嵌式数词四字格“A数1B数2”(即四字格中常项是位于第二、第四字的数词,变项位于数词前等待嵌入,如:接二连三、不三不四、成千上万等)作为研究对象,进行多角度研究,从前嵌式数词四字格的性质和结构入手,通过详尽分析数1、数2的搭配情况,嵌入成分A、B的词性及其搭配格式和“A数1B数2
学位
新中国成立之初,在“GDP优先”的大背景下,资本追逐利润,政府和相关部门允许企业疯狂增长。随着乡镇中小企业加多,环境污染问题蔓延至农村。近年经济迅速发展,过去乡镇企业带动经济发展,如今不符合新的政策变成了违法违规企业。国家环保制度越加严格对地方政府提出新的挑战:环境污染治理的同时,确保地方经济稳定。基于此,本文主要通过分析研究L县“散乱污”企业污染治理方面存在的问题与成因,提出对农村“散乱污”企业
学位
道德判断是依据内化的道德准则对事物进行好坏、对错的判断和评判行为,是道德的核心组成部分。道德判断是一项复杂的认知活动,具有复杂的个体内在的认知—情绪机制,其中一种重要的认知—情绪机制就是道德情境的个人卷入水平可能通过影响情绪决定道德判断的结果。近年来诸多研究探讨在这个领域的道德判断的影响机制。不过,几乎没有研究探讨不同效价的道德情绪与个人卷入的交互作用是如何影响个体的道德判断的。研究者认为,作为影
学位
背景基于组织差异性DNA甲基化标记推断体液斑的组织来源是近年来法医学研究热点。DNA甲基化的组织特异性和稳定性是法医学应用的重要评估指标。基于组织差异性单CpG位点甲基化的体液推断方法,显示出较高的法医学应用价值。然而,单CpG位点甲基化较大的个体差异性降低了该方法的准确性,而区域甲基化单倍型模式具有更高的组织特异性和个体稳定性,有望成为更好的体液鉴定标记。MPS则是可深入分析组织差异性甲基化模式
学位
文学文体学是连接语言学与文学批评的桥梁,它以阐释具体文本为目的集中探讨作者如何通过对语言的选择来表达和加强主题意义和美学效果。《伤逝》是现代文学家鲁迅于1925年创作的一部以爱情为题材反映五四时期知识分子命运的短篇小说。目前,国内外主要分析《伤逝》原文中鲁迅小说的女性意识、反讽手法的运用以及女性解放话语下对该文本的研究,且以分析原文本为主,对《伤逝》及其英译本的研究很少,且研究角度过于单一。因此,
学位
翻译人工智能领域的相关书籍,可以帮助人们更好地了解人工智能的发展历史和未来趋势。本翻译实践的源文本为Harry Collins(哈里·柯林斯)所著Artifictional Intelligence:Against Humanity’s Surrender to Computers(《人工虚拟智能:人类不能向计算机投降》),书中包含了一些关于人工智能最新颖的观点。译者在翻译过程中遇到的最大问题是对
学位
中国辉煌的传统诗歌建构了一个强大的抒情传统。这个传统一直延续至今。而百余年的现代诗歌也正在形成自己的小传统。这个小传统一方面继续了大传统中的抒情性,另一方面也有所修正。其中,大小传统之间最明显的差异在于,现代诗歌从一开始,尤其是20世纪30年代以来,出现了传统诗歌中并不明显的智性写作倾向。这就意味着,每一个现代汉语的诗歌写作者,事实上不得不同时面对诗歌中的大小两个传统。如果传统会带给每个后来者以写
学位