發(fā)布時(shí)間：2020-11-16 07:36

　　 瀏覽器安全機(jī)制是瀏覽器應(yīng)對(duì)復(fù)雜網(wǎng)絡(luò)環(huán)境,抵御惡意漏洞攻擊,保護(hù)用戶隱私安全的重要屏障。隨著安全防護(hù)技術(shù)的不斷發(fā)展,瀏覽器安全機(jī)制日益復(fù)雜,其本身可能存在安全缺陷,導(dǎo)致其安全防護(hù)失效。瀏覽器安全機(jī)制分析就是分析瀏覽器安全機(jī)制是否實(shí)現(xiàn)了應(yīng)有的安全功能,是否存在新的安全問題等。本文圍繞瀏覽器安全機(jī)制分析的理論和技術(shù)問題開展研究,主要貢獻(xiàn)如下:1.提出了一種瀏覽器沙箱的策略缺陷檢測(cè)方法。該方法在傳統(tǒng)RBAC模型的基礎(chǔ)上,引入主體屬性,提出一種A-RBAC策略模型用于描述策略定義和策略缺陷形式;在此基礎(chǔ)上,設(shè)計(jì)了基于有向圖策略缺陷檢測(cè)算法來分析瀏覽器沙箱單策略和多策略實(shí)現(xiàn)不一致性,,測(cè)試結(jié)果表明該方法能夠有效地檢測(cè)沙箱策略中存在的策略缺陷。2.提出了一種web沙箱數(shù)據(jù)安全性分析方法。針對(duì)Web沙箱中存在的訪問限制不一致性、返回限制不一致性和通信限制不一致性三種數(shù)據(jù)泄露類型,結(jié)合Web沙箱、JavaScript語言的特性,分別提出測(cè)試方法。在此基礎(chǔ)上,設(shè)計(jì)并實(shí)現(xiàn)了Web沙箱數(shù)據(jù)安全性測(cè)試系統(tǒng)平臺(tái),能夠有效檢測(cè)Web沙箱中的數(shù)據(jù)泄露問題。3.提出了一種瀏覽器安全機(jī)制的自動(dòng)化測(cè)試方法�；�于W3C中對(duì)瀏覽器安全機(jī)制的規(guī)范標(biāo)準(zhǔn),設(shè)計(jì)并實(shí)現(xiàn)了一款分析瀏覽器安全機(jī)制實(shí)現(xiàn)情況的自動(dòng)化測(cè)試平臺(tái),該平臺(tái)可以對(duì)HTML5沙箱機(jī)制、同源策略、Cookie機(jī)制以及內(nèi)容安全策略等機(jī)制進(jìn)行的自動(dòng)檢測(cè),能夠發(fā)現(xiàn)安全機(jī)制實(shí)現(xiàn)中存在的不一致性缺陷。
【學(xué)位單位】：戰(zhàn)略支援部隊(duì)信息工程大學(xué)
【學(xué)位級(jí)別】：碩士
【學(xué)位年份】：2018
【中圖分類】：TP393.092
【部分圖文】：

戰(zhàn)略支援部隊(duì)信息工程大學(xué)碩士學(xué)位論文問令牌來識(shí)別進(jìn)程或者線程的安全環(huán)境，這個(gè)安全環(huán)境包戶和組。訪問令牌可定制，瀏覽器通過創(chuàng)建一個(gè)受限令牌（R用一些組，這也是實(shí)現(xiàn)沙箱機(jī)制的一個(gè)環(huán)節(jié)。受限令牌能令牌中移除權(quán)限 SID 添加拒絕訪問屬性，被拒絕的 SID 無法訪問安全對(duì)象組受限 SID 來限制它們的訪問安全對(duì)象的能力問控制列表（Access Control List，簡(jiǎn)稱 ACL）或者安全描起來的安全資源（Securable Resource）時(shí)，操作系統(tǒng)使用否能夠授予訪問的權(quán)限。操作系統(tǒng)會(huì)使用令牌中允許訪問否可以訪問。只有通過全部檢查，才能得到訪問權(quán)限。加載網(wǎng)頁(yè)進(jìn)程時(shí)會(huì)創(chuàng)建一個(gè)受限令牌，從此進(jìn)程中移除所有hrome 設(shè)置允許訪問的列表中僅有 NULLSID，這樣攻擊者系統(tǒng)的安全資源進(jìn)行任何操作。

圖 3.2 IE 保護(hù)模式增強(qiáng)保護(hù)模式（EnhancedProtectMode，簡(jiǎn) IE 進(jìn)程來提高攻擊者的攻擊成本。對(duì)于 轉(zhuǎn)為 64 位，還進(jìn)一步降級(jí)網(wǎng)頁(yè)和 Taw-IL 級(jí)別的限制還要嚴(yán)格。對(duì)象可被當(dāng)作統(tǒng)一的單位去管理，與某個(gè)任瀏覽器將網(wǎng)頁(yè)進(jìn)程全部限制在少量的任務(wù)對(duì)的權(quán)限將應(yīng)用到任務(wù)對(duì)象關(guān)聯(lián)的所有進(jìn)程上會(huì)直接忽略不執(zhí)行具體的內(nèi)容。一些可用的C_LIMIT_INFORMATIONC_UI_RESTRICTIONSRATE_CONTROL_INFORMATIONNDED_LIMIT_INFORMATION

圖 3.3 查看 Chrome 進(jìn)程 Job 對(duì)象權(quán)限（2）沙箱安全策略安全性研究由于安全機(jī)制的高度復(fù)雜性或開發(fā)人員疏忽，沙箱實(shí)現(xiàn)訪問控制的安全策略和安全驗(yàn)證機(jī)制可能存在缺陷，這些缺陷一旦被利用，攻擊者可以提升訪問權(quán)限，對(duì)敏感數(shù)行讀取和修改，使沙箱防護(hù)效果大大降低。研究瀏覽器安全性的關(guān)鍵是對(duì)瀏覽器的安全需求有全面、清晰的了解，開發(fā)人員也據(jù)安全需求制定的相應(yīng)安全策略。目前常見也是最基本的訪問控制方法主要有自主訪制和強(qiáng)制訪問控制兩大類。相應(yīng)的具有代表性的安全模型有基于對(duì)象的訪問控制模Object-basedAccessControlModel，簡(jiǎn)稱 OBAC）、基于任務(wù)的訪問控制模型（Task-baccess Control Model，簡(jiǎn)稱 TBAC）、基于角色的訪問控制模型（Role-based Access Mode稱 RBAC）。研究者也對(duì)安全策略進(jìn)行了大量的研究，并提出了一些針對(duì)策略缺陷的檢測(cè)方法bo[50]提出基于邏輯編程的策略沖突檢測(cè)與消解方法；文碩等人[51]根據(jù) Web 應(yīng)用程序控制模型提出了基于策略推導(dǎo)的訪問控制漏洞測(cè)試用例生成方法；Nemesis 提出了通定訪問控制列表，利用動(dòng)態(tài)信息流跟蹤的方法來檢測(cè)安全策略缺陷；Bonatti 等人[52]基
【參考文獻(xiàn)】

相關(guān)期刊論文 前1條

1 李瑞軒;魯劍鋒;李添翼;辜希武;唐卓;;一種訪問控制策略非一致性沖突消解方法[J];計(jì)算機(jī)學(xué)報(bào);2013年06期

本文編號(hào)：2885804