瀏覽器WEB安全威脅檢測技術研究與實現

江 導

（順德職業技術學院 廣東 528000）

1 WEB 瀏覽器簡介

WEB 瀏覽器是一個軟件程序，用于與 WWW 建立聯結，并與之進行通信，它可以在 WWW 系統中根據鏈接確定信息資源的位置，并將用戶感興趣的信息資源取回來，對 HTML 文件進行解釋，然后將文字圖像顯示出來，或者將多媒體信息還原出來。瀏覽器主要包括用戶界面、瀏覽器引擎、網絡、JS解釋器、數據存儲等組件。目前典型的 WEB 瀏覽器有 Internet Explorer、360極速瀏覽器、360安全瀏覽器、搜狗瀏覽器、獵豹瀏覽器等，它們適用于各種不同的環境。

2 WEB 安全簡介

WEB漏洞：

WEB應用程序的正常運行，涉及到客戶端瀏覽器、網絡協議傳輸、服務器響應、數據庫査詢等許多方面。其中無論哪一方面出現漏洞，均可能導致WEB安全問題。漏洞即某個程序（包括操作系統）在設計時未考慮周全，當程序遇到一個看似合理，但實際無法處理的問題時，引發的不可預見的錯誤。系統漏洞又稱安全缺陷，如漏洞被惡意用戶利用，會造成信息泄漏，如黑客攻擊網站即利用網絡服務器操作系統的漏洞。任何事物都非十全十美，作為應用于桌面的操作系統—Windows 以及運行于該環境中的 WEB 瀏覽器也是如此。這直接危害到我們使用計算機的安全行為，漏洞受病毒及惡意代碼利用，容易導致巨大損失。OWASP于2010年發布的Top 10應用程序，其中涉及到WEB應用程序的方面的有：客戶端的注入漏洞、跨站腳本漏洞、服務端的授權管理、安全誤配置、不安全的密碼存儲、網絡傳輸層的失效的 URL訪問重定向、弱保護等。

3 瀏覽器WEB安全威脅檢測與實現

3.1 XSS動態檢測技術

跨站腳本是服務端代碼漏洞產生的問題，因此唯有從服務端入手才能徹底解決。下面我們就主要討論瀏覽器XSS動態檢測技術。

動態檢測技術之所以稱為“動態”，是指它不直接在文本層次分析可執行代碼的行為，而是在代碼運行時進行動態調試、分析。動態檢測技術將代碼語義分析工作交給現成的代碼解析器，可以極大降低系統復雜度，避免語法語義分析不到位導致的誤判。

在XSS攻擊檢測領域，動態檢測意味著瀏覽器端XSS過濾器不再是一個相對獨立的附加組件，而是與瀏覽器各組件結合更緊密的一個安全機制。從瀏覽器架構的角度看，動態檢測技術工作在HTML解析器和Javascript解析器之間，即在HTML解析器生成的文檔對象模型（Document Object Model，簡稱DOM）樹中檢測腳本節點，完成后才將DOM樹中的腳本結點傳遞給JavaScript引擎執行。因此，動態檢測技術可以完全規避瀏覽器的 HTML解析“怪癖”，直接在 DOM樹中命中HTML文檔中的可執行腳本，準確率大幅提升。動態檢測技術有其優點，動態檢測技術在DOM樹的基礎上作檢測，因此與靜態檢測技術相比，它最顯著的優點就是不受瀏覽器解析怪癖的影響。無論多么復雜晦澀的HTML文檔，只要瀏覽器能解析出DOM樹，動態檢測時就不會產生歧義。同時，動態檢測直接從DOM樹的腳本節點下手還有個優點，它無須重復掃描分析HTML文檔。與傳統的模擬解析方法相比，這可以提升一定的性能。有優點，自然也少不了缺點，XSSAuditor假設服務端只采用簡單的幾種參數變換，并使用字符串精確匹配算法從URL中查找可疑腳本，這顯然不能覆蓋所有場景。一旦攻擊者發現服務端采用了XSSAuditor未知的參數轉換方法，就可以繞過它的檢測。另外，檢測策略不夠完善，對間接腳本注入無能為力。常見的反射型XSS攻擊都是將可執行腳本作為參數直接注入HTML響應中的，而XSSAuditor也作了針對性的匹配檢測。然而，對于間接注入的惡意代碼，XSSAuditor就無能為力了。

針對XSSAuditor未考慮復雜的服務端參數轉換，攻擊者可以針對存在復雜參數轉換的服務端發起反射型XSS攻擊。

例如，下面的服務端代碼會把參數中的“you”改成“me”，然后返回給瀏覽器：

1

2 Hello

3

4 $name=$_GET[‘name’]；

5 $new_name=str_replace（"you"，''me"，$name）；

6 echo $new_name；

7 ?>

正常的URL請求如下所示：

http：//l 27.0.0.l/xss5.php?name=you

服務端收到請求后，會將參數中的“you”替換成“me”，因此正常的HTTP回應內容如下段代碼所示：

2

3 Hello

4 me

5

然而，XSSAuditor并不知道服務端有這樣奇怪的轉換，攻擊者就可以構造—個惡意請求URL：

http：//l 27.0.0.1 /xss5.php?name=

服務端收到請求后，仍然把參數中的“you”替換成“me”，于是HTML響應如下：

1

2

3 Hello

4

5

XSSAuditor從DOM樹中知道返回的HTML文檔中存在一段JS腳本。但當它把這段腳本與惡意請求URL做匹配時，因為服務端把“you”替換成“me”，匹配失敗。XSSAuditor未能識別它是一個惡意攻擊。

3.2 XSSBreaker的設計與實現

現有的瀏覽器端XSS檢測技術均存在一定問題，這里將重新設計并實現一個瀏覽器端的XSS檢測機制，新的XSS檢測機制被命名為“XSSBreaker”。

3.2.1 XSSBreaker的核心架構和工作流程

XSSBreaker的核心是采用動態檢測技術，這里著重參考XSSAuditor的架構。XSSBreaker架構中Web服務器和瀏覽器之間通過Internet連接。深入到瀏覽器內部，XSSBreaker是瀏覽器的一個安全組件，將與瀏覽器的HTML解析器、DOM 樹、JavaScript 引擎等組件交互。HTML解析器負責將HTML文檔解析成DOM樹，DOM樹由HTML解析器生成，JavaScript引擎負責解釋執行網頁內容中的JavaScript腳本。在這個架構內，XSSBreaker的主要工作流程是：瀏覽器向網站服務器提交一個HTTP請求，Web服務端向瀏覽器返回一個html響應文檔，瀏覽器調用XSSBreaker的init方法，進入XSS檢測初始化流程，瀏覽器內置的HTML解析器開始解析html響應文檔，HTML解析器生成文檔對應的DOM樹，其中包含文本節點和腳本節點，XSSBreaker進入檢測流程，檢測每一個腳本節點，XSSBreaker使用字符串近似匹配算法，在腳本中査找GET/POST參數，DOM 樹的剩余腳本節點傳遞給 JavaScript引擎執行，若JavaScript引擎遇到evalO之類的動態函數，那么新腳本也將被傳遞到 XSSBreaker的 check（）方法，重復前面兩步，若文檔通過document.writeO方法或DOM節點的innerHTML屬性產生了新的HTML文檔，那么新內容也將被傳遞給HTML解析引擎，即重復第5步之后的步驟。

3.2.2 XSSBreaker的實現

XSSBreaker是基于 Firefox 瀏覽器的內容安全策略（Content Security Policies，簡稱CSP）實現的。XSS檢測策略可以分為內聯策略、外部策略和白名單檢測策略。內聯策略用于阻擋集成在內聯腳本的XSS攻擊，外部策略應用于外部代碼，如果外部腳本的URL指向的主機不是由參數提供，則可以信任，即使外部腳本的URL指向的主機是由參數提供的，只要該主機屬于當前頁面的可信域，則直接放行。白名單并不是孤立的策略，而是貫穿于XSS檢測過程中，在參數匹配算法中，XSSBreaker首先排除小于8字節的參數，因為它甚至不能構成一個腳本標簽，不可能是XSS參數。這些白名單策略既可以減少檢測時間，又能降低誤報率，是優化XSSBreaker的重要手段。

內容安全策略是一套開發者工具集，用于幫助開發者預防多種類型的Web攻擊。它支持讓開發者預定義安全規則，以減少跨站腳本、點擊劫持、數據包嗅探等攻擊。當CSP檢測到網頁內容違反安全規則時，會將信息報告給網站開發者，以幫助其修復網站程序漏洞。

總之，本文通過論述跨站腳本檢測技術的原理、優缺點，并構造實例演示了攻擊方法。研宄表明，目前己有的瀏覽器端跨站腳本檢測技術存在諸多安全缺陷，而且未能在安全性、兼容性、性能之間取得較好平衡，為了提高瀏覽器整體安全性，我們設計XSSBreaker來檢測和實現瀏覽器的WEB標準的改進的兼容性。這不僅能讓安全站點更容易部署，而且能夠減少試圖使網頁在所有平臺正確顯示所花的時間。

[1]吳健君，周兵.瀏覽器/Web服務器與C-B-S模式及其應用.

[2]國家互聯網應急中心，2010爾中國互聯網網絡安全報告，[3]陳愛華.瀏覽器 Web安全威脅檢測技術研究與實現.北京郵電大學.2013（01）

[4]劉大勇.Web的安全威脅與安全防護.大眾科技.2005（03）

[5]曾平.基于瀏覽器嵌入規則的非安全JavaScript檢測與分析.湖南大學2011（05）

[6]王欣 .WEB應用系統安全檢測關鍵技術研究.北京郵電大學.2011（05）

[7]韋銀.淺談Web的安全威脅與安全防護.科學咨詢（決策管理）.2010（01）

[8]劉慶平.瀏覽器安全問題的研究與解決方案.上海交通大學.2011（10）