×

web安全的形式化方法。 (英语) Zbl 1359.68021号

摘要:在过去的几年里,许多安全研究人员提议为网络平台提供更严格的基础,从而对网络安全问题进行精确的推理。然而,考虑到Web的复杂性,该领域的研究工作分散在许多不同的主题和问题上,到目前为止,要理解Web安全的正式方法的重要性并不容易。在本次调查中,我们收集、分类和审查了web安全正式方法领域的现有提案,涵盖了许多不同的主题:JavaScript安全、浏览器安全、web应用程序安全和web协议分析。基于现有文献,我们讨论了对该领域研究人员的建议,以确保他们的建议具有适合大规模采用的正确成分。

MSC公司:

68英里11 互联网主题
68-02 与计算机科学有关的研究展览会(专著、调查文章)
PDF格式BibTeX公司 XML格式引用
全文: 内政部

参考文献:

[1] M.阿巴迪。;Fournet,C.,移动值、新名称和安全通信,(POPL 2001年会议记录:第28届ACM SIGPLAN-SIGACT编程语言原理研讨会。POPL 2001:第28届AC M SIGPLAN-SIGACT编程语言原理会议记录,英国伦敦,2001年1月17日至19日(2001)),104-115·Zbl 1323.68398号
[2] Akhawe,D。;Barth,A。;Lam,P.E。;米切尔,J.C。;Song,D.,走向网络安全的正式基础,(第23届IEEE计算机安全基础研讨会论文集。第23届EEE计算机安全基础会议论文集,CSF 2010,英国爱丁堡,2010年7月17日至19日(2010)),290-304
[3] Armando,A。;Carbone,R。;Compagna,L。;Cuéllar,J。;佩莱格里诺,G。;Sorniotti,A.,基于浏览器的单点登录协议中的身份验证缺陷:影响和补救,计算。安全。,33, 41-58 (2013)
[4] Armando,A。;Carbone,R。;Compagna,L。;Cuéllar,J.(左)。;Tobarra,M.L.,《SAML 2.0网络浏览器单点登录的形式分析:打破谷歌应用程序基于SAML的单点登录》,(第六届ACM安全工程形式方法研讨会论文集。第六届安全工程形式化方法ACM研讨会论文集,FMSE 2008,美国弗吉尼亚州亚历山大市,2008年10月27日(2008)),1-10
[5] 巴利乌,M。;Liebe,B。;斯科佩·D·。;Sabelfeld,A.,JSLINQ:构建跨层的安全应用程序,(第六届ACM数据和应用程序安全与隐私会议论文集。第六届AC数据和应用安全与隐私大会论文集,2016年CODASPY,美国洛杉矶新奥尔良,2016年3月9日至11日(2016)),307-318
[6] 巴尔托普洛斯,I.G。;Gordon,A.D.,《多层网络语言的安全编译》,(TLDI’09:2009年ACM SIGPLAN语言设计与实现类型国际研讨会论文集。TLDI’09年论文集:2009年ACM SI GPLAN国际语言设计与实施类型研讨会,美国佐治亚州萨凡纳,2009年1月24日(2009)),27-38
[7] 班萨尔,C。;巴加万,K。;Deligna-Lavoud,A。;Maffeis,S.,《云的关键:对加密网络存储的形式分析和具体攻击》, (安全与信任原则-第二届国际会议,2013年,作为欧洲软件理论与实践联合会议的一部分举行,2013年3月16日至24日,会议记录(2013),126-146·Zbl 06195651号
[8] 班萨尔,C。;巴加万,K。;Maffeis,S.,通过形式分析发现对网站授权的具体攻击,(第25届IEEE计算机安全基础研讨会,CSF 2012。第25届IEEE计算机安全基础研讨会,2012年CSF,美国马萨诸塞州剑桥市,2012年6月25日至27日(2012年)),247-262
[9] Barth,A.,网络起源概念(2011年)
[10] Bauer,L。;蔡,S。;贾,L。;帕萨罗,T。;斯特鲁肯,M。;Tian,Y.,铬中信息流的运行时监测和形式化分析,(第22届年度网络和分布式系统安全研讨会,NDSS 2015。第22届年度网络和分布式系统安全研讨会,2015年NDSS,美国加利福尼亚州圣地亚哥,2015年2月8日至11日(2015年))
[11] 本特森,J。;巴加万,K。;Fournet,C。;戈登,A.D。;Maffeis,S.,安全实现的优化类型,ACM Trans。程序。语言系统。,33, 2, 8 (2011)
[12] 巴加万,K。;Deligna-Lavoud,A。;Maffeis,S.,《针对不可信浏览器来源的基于语言的防御》,(第22届USENIX安全研讨会论文集。第22届美国ENIX安全研讨会论文集,2013年8月14日至16日,美国华盛顿特区(2013)),653-670
[13] Bielova,N.,《JavaScript安全策略及其在web浏览器中的实施机制调查》,J.Log。代数程序。,82, 8, 243-262 (2013) ·Zbl 1283.68063号
[14] 北卡罗来纳州比埃洛娃。;Devriese博士。;马萨奇,F。;Piessens,F.,浏览器模型的反应式不干涉,(第五届网络和系统安全国际会议,第五届国际网络和系统安全会议,2011年9月6日至8日,意大利米兰,2011年(2011)),97-104
[15] 比什特,P。;Madhusudan,P。;Venkatakrishnan,V.N.,CANDID:自动预防SQL注入攻击的动态候选评估,ACM Trans。信息系统。安全。,13, 2 (2010)
[16] Blanchet,B.,符号模型中安全协议的自动验证:验证器ProVerif,(安全分析和设计基础VII-FOSAD 2012/2013教程(2013)),54-87·Zbl 1448.68185号
[17] 博丹,M。;Charguéraud,A。;费拉雷蒂,D。;加德纳,P。;Maffeis,S。;Naudziuniene,D。;施密特,A。;Smith,G.,一个可信的机械化JavaScript规范,(第41届ACM SIGPLAN-SIGACT编程语言原则研讨会。第41届美国计算机学会SIGPLAN-SIGACT程序语言原则研讨会,POPL’14,美国加利福尼亚州圣地亚哥,2014年1月20日至21日(2014)),87-100·Zbl 1284.68381号
[18] Bohannon,A.,《Web脚本安全基础》(2012),宾夕法尼亚大学,博士论文
[19] Bohannon,A。;Pierce,B.C.,Featherweight Firefox:规范化web浏览器的核心,(USENIX web应用程序开发会议。USENIXWeb应用程序发展会议,WebApps’10,美国马萨诸塞州波士顿,2010年6月23日至24日(2010))
[20] Boudol,G.等人。;罗,Z。;Rezk,T。;Serrano,M.,《关于web应用程序的推理:HOP的操作语义》,ACM Trans。程序。语言系统。,34, 2, 10 (2012)
[21] 布列西,M。;卡尔扎瓦拉,S。;Focardi,R。;Khan,W.,CookieExt:修补浏览器以抵御会话劫持攻击,J.Compute。安全。,23, 4, 509-537 (2015)
[22] 布列西,M。;加利福尼亚州。;Focardi,R。;汗,W。;Tempesta,M.,《基于浏览器的web会话完整性实施的有效性》,(IEEE第27届计算机安全基础研讨会,IEEE第二十七届计算机安全基金会,2014年7月19日至22日,奥地利维也纳,2014(2014)),366-380
[23] 加利福尼亚州。;布列西,M。;克雷法,S。;Steffinlongo,E.,针对浏览器扩展的权限提升攻击的细粒度检测, (编程语言和系统——2015年第24届欧洲编程研讨会,作为欧洲软件理论与实践联合会议的一部分举行。2015年第二十四届欧洲编程会议,作为欧洲计算机软件理论与应用联合会议的组成部分举行,ETAPS 20)2015年4月11日至18日,英国伦敦,《诉讼(2015)》,510-534·Zbl 1335.68047号
[24] 加利福尼亚州。;托洛梅,G。;卡西尼,A。;布列西,M。;Orlando,S.,一种有监督的学习方法,用于保护web上的客户端身份验证,ACM Trans。网页,9,3,15(2015)
[25] 康托,S。;Erdos,M.(2015),网址:
[26] Chen,E.Y。;鲍·J。;Reis,C。;Barth,A。;Jackson,C.,《应用程序隔离:只需一个浏览器即可获得多个浏览器的安全性》(《第18届ACM计算机和通信安全会议论文集》,CCS 2011,美国伊利诺伊州芝加哥,2011年10月17日至21日(2011)),227-238
[27] Chlipala,A.,数据库支持应用程序中动态变化安全策略的静态检查,(第九届USENIX操作系统设计与实现研讨会。第九届操作系统设计和实现研讨会,OSDI,2010年10月4日至6日,加拿大不列颠哥伦比亚省温哥华,Proceedings(2010)),105-118
[28] Chlipala,A.,Ur/web:一个简单的网络编程模型,(第42届ACM SIGPLAN-SIGACT编程语言原则研讨会论文集。第42届APM SIGPLAN-SIGACT编程语言原则会议论文集,POPL 2015,印度孟买,2015年1月15日至17日(2015)),153-165
[29] 库珀,E。;Lindley,S。;Wadler,P。;Yallop,J.,《链接:没有层的网络编程》,(组件和对象的形式方法,第五届国际研讨会。组件和对象形式方法,第一届国际研讨会,FMCO 2006,荷兰阿姆斯特丹,2006年11月7日至10日,修订讲座(2006)),266-296
[30] 科尔科兰,B.J。;斯瓦米,N。;Hicks,M.W.,《web应用程序的基于标签的跨时间安全实施》,(《ACM SIGMOD国际数据管理会议论文集》,《ACM SAGMOD数据管理国际会议论文集,2009年6月29日至7月2日,美国罗德岛州普罗维登斯》,2009年),269-282
[31] 德莱克,P。;Desmet,L。;Joosen,W。;Piessens,F.,《针对CSRF攻击的自动和精确客户端保护》,(计算机安全-ESORICS 2011-第16届欧洲计算机安全研究研讨会。计算机安全-ESORICS 2011-第十六届欧洲计算机安全学研研讨会,比利时鲁汶,2011年9月12日至14日,会议记录(2011)),100-116
[32] Devriese,D。;Birkedal,L.公司。;Piessens,F.,《用逻辑关系和效果参数推理对象能力》,(IEEE欧洲安全与隐私研讨会。IEEE安全与隐私欧洲研讨会,2016年欧洲标准普尔,德国萨尔布吕肯,2016年3月21日至24日(2016)),147-162
[33] Devriese,D。;Piessens,F.,《通过安全多执行实现不干扰》,(第一届IEEE安全与隐私研讨会,第一届IEEE-安全与隐私会议,2010年5月16日至19日,美国加利福尼亚州贝莱利/奥克兰,2010年),109-124
[34] 费特,D。;Küsters,R。;Schmitz,G.,《web基础设施的表达模型:BrowserID SSO系统的定义和应用》,(2014年IEEE安全与隐私研讨会,2014 IEEE安全和隐私研讨会,SP 2014,加州伯克利,美国,2014年5月18日至21日(2014)),673-688
[35] 费特,D。;Küsters,R。;Schmitz,G.,使用web的表达模型分析BrowserID SSO系统和主要身份提供者,(计算机安全-ESORICS 2015-第20届欧洲计算机安全研究研讨会。计算机安全-2015-第二十届欧洲计算机安全学研讨会,奥地利维也纳,2015年9月21日至25日,会议记录,第一部分(2015)),43-65
[36] 费拉雷蒂,D。;Maffeis,S.,PHP的可执行形式语义,(ECOOP 2014-面向对象编程-第28届欧洲会议。ECOOP 2014-面向对象程序设计-第28次欧洲会议,瑞典乌普萨拉,2014年7月28日至8月1日。会议记录(2014),567-592
[37] Fournet,C。;斯瓦米,N。;陈,J。;Dagand,P。;支柱,P。;Livshits,B.,JavaScript的完全抽象编译,(第40届ACM SIGPLAN-SIGCT编程语言原理年度研讨会。第40届ACM SIGPLAN-SIGCT编程语言原理年度研讨会,POPL’13,意大利罗马,2013年1月23日至25日(2013)),371-384·Zbl 1301.68100号
[38] 加德纳,P。;史密斯,G。;舵手,M.J。;Zarfaty,U.,DOM:走向正式规范,(PLAN-X 2008,XML编程语言技术,ACM SIGPLAN研讨会,与POPL 2008并置。PLAN-X 2008,XML编程语言技术,ACM SIGPLAN研讨会,与POPL 2008并置,美国加利福尼亚州旧金山,2008年1月9日(2008))
[39] Grier,C。;唐,S。;King,S.T.,设计和实现OP和OP2网络浏览器,ACM Trans。网络,5,2,11(2011)
[40] 格罗夫,W.D。;Devriese,D。;Nikiforakis,N。;Piessens,F.,FlowFox:一个具有灵活和精确信息流控制的网络浏览器,(ACM计算机与通信安全会议。ACM计算机和通信安全会议,CCS’12,美国北卡罗来纳州罗利,2012年10月16-18日(2012)),748-759
[41] 格罗·T·。;普菲茨曼,B。;Sadeghi,A.,基于浏览器的协议安全分析的浏览器模型,(计算机安全-ESORICS 2005,第10届欧洲计算机安全研究研讨会。计算机安全-2005,第十届欧洲计算机安全学研会议,意大利米兰,2005年9月12日至14日,会议记录(2005)),489-508
[42] 格罗·T·。;普菲茨曼,B。;Sadeghi,A.,用浏览器模型证明WS-federation被动请求者配置文件,(第二届ACM安全Web服务研讨会论文集。第二届ASM安全Web Services研讨会论文集,SWS 2005,美国弗吉尼亚州费尔法克斯,2005年11月11日(2005)),54-64
[43] 古哈,A。;弗雷德里克森,M。;Livshits,B。;Swamy,N.,验证浏览器扩展的安全性,(第32届IEEE安全与隐私研讨会。第32届IEEE安全与隐私研讨会,标准普尔2011,2011年5月22日至25日,美国加利福尼亚州伯克利(2011)),115-130
[44] 古哈,A。;萨夫托乌,C。;Krishnamurthi,S.,《JavaScript的本质》(ECOOP 2010-面向对象编程,第24届欧洲会议)。ECOOP 2010-面向对象的编程,第二十四届欧洲会议,斯洛文尼亚马里博尔,2010年6月21日至25日。会议记录(2010),126-150
[45] 赫丁,D。;Sabelfeld,A.,JavaScript核心的信息流安全,(第25届IEEE计算机安全基础研讨会。第25届IEEE计算机安全基础研讨会,CSF 2012,美国马萨诸塞州剑桥,2012年6月25-27日(2012)),25-27
[46] 黄,Y。;Yu,F。;Hang,C。;蔡,C。;Lee,D。;Kuo,S.,通过静态分析和运行时保护保护web应用程序代码,(第13届万维网国际会议论文集。第13届国际万维网会议论文集,2004年WWW,美国纽约州纽约市,2004年5月17日至20日(2004)),40-52
[47] Jackson,D.,Alloy:轻量级对象建模符号,ACM Trans。柔和。工程方法。,11, 2, 256-290 (2002)
[48] Jang,D。;Tatlock,Z。;Lerner,S.,《通过正式垫片验证建立浏览器安全保障》,(第21届USENIX安全研讨会论文集。第21届美国USENIX-安全研讨会论文集中,美国华盛顿州贝尔维尤,2012年8月8日至10日(2012年)),113-128
[49] Jovanovic,N。;Krügel,C。;Pixy,E.Kirda,用于检测web应用程序漏洞的静态分析工具(短文),(2006年IEEE安全与隐私研讨会,2006年IEEE-安全与隐私会议,2006年5月21日至24日,美国加利福尼亚州伯克利市,2006年),258-263
[50] 勒纳,B.S。;Elberty,L。;普尔,N。;Krishnamurthi,S.,《验证网络浏览器扩展是否符合私人浏览模式》,(计算机安全-ESORICS 2013-第18届欧洲计算机安全研究研讨会。计算机安全-2013年ESORICS-第18次欧洲计算机安全研究研讨会,英国埃格姆,2013年9月9日至13日。会议记录(2013),57-74
[51] 勒纳,B.S。;波利茨,J.G。;古哈,A。;Krishnamurthi,S.,TeJaS:为JavaScript改造类型系统,(DLS’13,第九届动态语言研讨会论文集,2013年SPLASH部分)。DLS’13,第九届动态语言研讨会论文集,2013年SPLASH部分,印第安纳波利斯,美国印第安纳州,2013年10月26日至31日(2013年)),1-16
[52] Lowe,G.,使用FDR打破和修复Needham-Schoreder公钥协议,Softw。,概念工具,17,3,93-102(1996)
[53] 罗,Z。;Rezk,T。;Serrano,M.,web应用程序的自动代码注入预防,(安全与应用理论-联合研讨会。安全与应用原理-联合研讨会,TOSCA 2011,德国萨尔布吕肯,2011年3月31日至4月1日,修订论文集(2011)),186-204
[54] 罗,Z。;桑托斯,J.F。;马托斯,A.A。;Rezk,T.,Mashic编译器:基于帧间通信的mashup沙盒,J.Compute。安全。,24, 1, 91-136 (2016)
[55] 北卡罗来纳州林奇。;Tuttle,M.R.,分布式算法的层次正确性证明,(第六届分布式计算原理年度ACM研讨会论文集。第六届ACM分布式计算原理年会论文集,加拿大不列颠哥伦比亚省温哥华,1987年8月10日至12日(1987)),137-151
[56] Maffeis,S。;米切尔,J.C。;Taly,A.,《JavaScript的操作语义》(Programming Languages and Systems,6th Asian Symposium),《编程语言与系统》,第六届亚洲研讨会,2008年12月9日至11日,印度班加罗尔,APLAS 2008,Proceedings(2008),307-325
[57] Maffeis,S。;米切尔,J.C。;Taly,A.,《使用过滤器、重写和包装器隔离JavaScript》,(计算机安全——ESORICS 2009,第14届欧洲计算机安全研究研讨会。计算机安全——2009,第十四届欧洲计算机安全学研研讨会,法国圣马洛,2009年9月21日至23日,会议记录(2009)),505-522
[58] 马费斯,S。;米切尔,J.C。;Taly,A.,《不可信web应用程序的对象功能和隔离》,(第31届IEEE安全与隐私研讨会,第31届安全与隐私IEEE研讨会,2010年5月16日至19日,美国加利福尼亚州贝莱利/奥克兰,2010年),125-140
[59] Maffeis,S。;Taly,A.,《基于语言的非信任JavaScript隔离》,(第22届IEEE计算机安全基础研讨会论文集。第22届EEE计算机安全基础会议论文集,CSF 2009,美国纽约杰斐逊港,2009年7月8日至10日(2009)),77-91
[60] 马托斯,A.G.A。;桑托斯,J.F。;Rezk,T.,DOM核心的信息流监视器-引入引用和活动原语,(可信全球计算-第九届国际研讨会。可信全球计算–第九届世界研讨会,TGC 2014,意大利罗马,2014年9月5-6日(2014)),1-16
[61] Meseguer,J.,将条件重写逻辑作为并发的统一模型,Theor。计算。科学。,96, 1, 73-155 (1992) ·Zbl 0758.68043号
[62] 梅塞盖尔,J。;Sasse,R。;王海杰。;Wang,Y.,《揭示GUI逻辑中安全缺陷的系统方法》,(2007年IEEE安全与隐私研讨会,2007年安全与隐私IEEE研讨会,标准普尔,2007年5月20日至23日,美国加利福尼亚州奥克兰,2007年),71-85
[63] 微软。LINQ(语言集成查询)(2015),在线阅读
[64] 墨菲七世,T。;克雷利(Crary,K.)。;Harper,R.,使用ML5进行类型安全分布式编程,(可信全球计算,第三次研讨会。可信全球计算第三次会议,TGC 2007,Sophia-Antipolis,法国,2007年11月5日至6日,修订论文集(2007)),108-123
[65] Nikiforakis,N。;因弗尼茨,L。;Kapravelos,A。;Acker,S.V.公司。;Joosen,W。;克鲁格尔,C。;Piessens,F。;Vigna,G.,你就是你所包括的:远程JavaScript包含的大规模评估,(ACM计算机和通信安全会议。ACM计算机和通信安全会议,CCS’12,美国北卡罗来纳州罗利市,2012年10月16日至18日(2012年)),736-747
[66] OASIS,SAML规范(2005),在线阅读
[67] OpenID规范(2014),在线阅读
[68] 帕克,D。;Stefanescu,A。;Rosu,G.,KJS:JavaScript的完整形式语义,(第36届ACM SIGPLAN编程语言设计与实现会议论文集。第36届AC M SIGPLAN编程语言设计和实现会议论文,美国俄勒冈州波特兰,2015年6月15日至17日(2015)),346-356
[69] Phung,P.H。;Sands,D。;Chudnov,A.,Lightweight self-protecting JavaScript,(2009年ACM信息、计算机和通信安全研讨会论文集。2009年ACM信息、计算机与通信安全研讨会会议论文集,2009年3月10日至12日,澳大利亚悉尼,2009年),47-60
[70] Politz,J.G。;卡罗尔,M.J。;勒纳,B.S。;彭布里奥,J。;Krishnamurthi,S.,《JavaScript中getter、setter和eval的测试语义》,(第八届动态语言研讨会论文集。第八届动力学语言会议论文集,LS’12,美国亚利桑那州图森,2012年10月22日(2012)),1-16
[71] Politz,J.G。;古哈,A。;Krishnamurthi,S.,web沙盒的基于类型的验证,J.Compute。安全。,22, 4, 511-565 (2014)
[72] Politz,J.G。;马丁内斯。;米兰,M。;沃伦,S。;帕特森,D。;李,J。;Chitipothu,A。;Krishnamurthi,S.,Python:the full monty,(2013 ACM SIGPLAN面向对象编程系统语言与应用国际会议论文集,OOPSLA 2013,SPLASH 2013的一部分。2013年ACM SIGPLAN面向对象编程系统语言与应用国际会议论文集,OOPSLA 2013,SPLASH 2013的一部分,印第安纳波利斯,美国印第安纳州,2013年10月26日至31日(2013年),217-232
[73] 拉贾尼,V。;Bichhawat,A。;加格,D。;Hammer,C.,网络浏览器中事件处理和DOM的信息流控制,(IEEE第28届计算机安全基础研讨会。IEEE第二十八届计算机安全基金会研讨会,2015年7月13日至17日,意大利维罗纳,2015年),366-379
[74] 雷·D。;Ligatti,J.,《定义代码注入攻击》,(第39届ACM SIGPLAN-SIGACT编程语言原理研讨会论文集。第39届APM SIGPLAN SIGACT程序设计语言原理研讨会文献集,2012年POPL,美国宾夕法尼亚州费城,2012年1月22日至28日,2012(2012)),179-190·Zbl 1321.68035号
[75] 理查兹,G。;锤子,C。;伯格,B。;Vitek,J.,The eval that men do-一项关于在JavaScript应用程序中使用eval的大规模研究,(ECOOP 2011-面向对象编程-第25届欧洲会议。ECOOP 2011-面向对象编程–第25届欧洲会议,英国兰开斯特,2011年7月25日至29日,Proceedings(2011)),52-78
[76] Roşu,G。;öerbţnu෥\355 ;ūć,T.F.,《K语义框架概述》,J.Log。代数程序。,79, 6, 397-434 (2010) ·Zbl 1214.68188号
[77] Russo,A。;Sabelfeld,A。;Chudnov,A.,《跟踪动态树结构中的信息流》,(计算机安全-ESORICS 2009,第14届欧洲计算机安全研究研讨会。计算机安全-ESORICS 2009,第十四届欧洲计算机安全学研究研讨会,法国圣马洛,2009年9月21日至23日,论文集(2009)),86-103·Zbl 1481.94006号
[78] Sasse,R。;King,S.T。;梅塞盖尔,J。;Tang,S.,IBOS:一个正确的构建模块化浏览器,(《组件软件的形式方面》,第九届国际研讨会。《组件软件的形式方面》,第九届国际研讨会,FACS 2012,美国加利福尼亚州山景城,2012年9月12日至14日,修订论文集(2012)),224-241
[79] 斯科佩·D·。;赫丁,D。;Sabelfeld,A.,SeLINQ:跨应用程序数据库边界跟踪信息,(第19届ACM SIGPLAN功能编程国际会议论文集。第19届AC M SIGPLA功能编程国际大会论文集,瑞典哥德堡,2014年9月1-3日(2014)),25-38·Zbl 1346.68065号
[80] 辛格,K。;Moshchuk,A。;王海杰。;Lee,W.,《关于网络浏览器访问控制政策的不一致性》,(第31届IEEE安全与隐私研讨会,第31届安全与隐私IEEE研讨会,2010年5月16日至19日,美国加利福尼亚州贝莱利/奥克兰,2010年),463-478
[81] 苏,Z。;Wassermann,G.,《web应用程序中命令注入攻击的本质》,(第33届ACM SIGPLAN-SIGACT编程语言原理研讨会论文集。第33届AMM SIGPLAN SIGACT程序语言原理研讨会文献集,POPL 2006,美国南卡罗来纳州查尔斯顿,2006年1月11日至13日(2006)),372-382·Zbl 1369.68158号
[82] 斯瓦米,N。;陈,J。;Fournet,C。;支柱,P。;巴加万,K。;Yang,J.,使用值相关类型的安全分布式编程,J.Funct。程序。,23, 4, 402-451 (2013) ·Zbl 1290.68033号
[83] 斯瓦米,N。;Fournet,C。;拉斯托吉,A。;巴加万,K。;陈,J。;支柱,P。;Bierman,G.M.,《JavaScript中安全嵌入的渐进式键入》,(第41届ACM SIGPLAN-SIGACT编程语言原则研讨会。第41届APM SIGPLAN SIGACT程序语言原则研讨会,POPL’14,美国加利福尼亚州圣地亚哥,2014年1月20日至21日(2014)),425-438·兹比尔1284.68108
[84] Taly,A。;俄勒冈州埃尔林森。;米切尔,J.C。;米勒,M.S。;Nagra,J.,安全关键JavaScript API的自动分析,(第32届IEEE安全与隐私研讨会,第32届安全与隐私IEEE研讨会,2011年5月22日至25日,美国加州伯克利(2011)),363-378
[85] 万维网联盟,HTML5规范(2015),网址:
[86] 托巴拉,M.L。;Cazorla,D。;库亚特罗,F。;Díaz,G.,形式化方法在web服务安全分析中的应用, (《计算机系统和业务流程的形式化技术》,欧洲性能工程研讨会,EPEW 2005,网络服务和形式化方法国际研讨会。《计算机系统与业务流程的格式化技术》方法,WS-FM 2005,法国凡尔赛,2005年9月1日至3日,会议记录(2005),215-229
[87] 托巴拉,M.L。;Cazorla,D。;库亚特罗,F。;Díaz,G.,《使用正式方法分析web服务安全对话》,(互联网和web应用程序与服务国际会议,互联网和网络应用程序与服务国际会议,2007年5月13日至19日,毛里求斯勒莫恩(2007)),27
[88] Viganó,L.,使用AVISPA工具进行自动安全协议分析,Electron。注释Theor。计算。科学。,155, 61-86 (2006)
[89] WSS技术委员会,WS-安全规范(2006),可在
[90] 吉哈马,S。;Tateishi,T.等人。;北田口。;Matsumoto,T.,网络浏览器基于信息流的访问控制,IEICE Trans。,92-D、5836-850(2009)
[91] Yu,D。;Chander,A。;伊斯兰,N。;Serikov,I.,用于浏览器安全的JavaScript工具,(第34届ACM SIGPLAN-SIGACT编程语言原则研讨会论文集。第34届APM SIGPLAN SIGACT程序设计语言原则研讨会会议论文集,POPL 2007,法国尼斯,2007年1月17日至19日(2007)),237-249·Zbl 1295.68056号
[92] 郑,X。;姜杰。;梁,J。;Duan,H。;陈,S。;Wan,T。;韦弗,N.,《Cookies缺乏完整性:现实世界的影响》(第24届USENIX安全研讨会,USENIX-Security第15期)。2015年8月12日至14日(2015年),第24届USENIX安全研讨会,美国华盛顿,USENIX-Security 15,707-721
此参考列表基于出版商或数字数学图书馆提供的信息。它的项目与zbMATH标识符启发式匹配,并且可能包含数据转换错误。在某些情况下,zbMATH Open的数据对这些数据进行了补充/增强。这试图尽可能准确地反映原始论文中列出的参考文献,而不要求完整或完全匹配。