-
题名基于模糊测试的反射型跨站脚本漏洞检测
被引量:9
- 1
-
-
作者
倪萍
陈伟
-
机构
南京邮电大学计算机学院
-
出处
《计算机应用》
CSCD
北大核心
2021年第9期2594-2601,共8页
-
基金
国家重点研发计划项目(2019YFB2101704)。
-
文摘
针对目前现代万维网(WWW)应用程序中跨站脚本(XSS)漏洞检测技术存在的效率低,以及漏报率、误报率高等问题,提出了一个基于模糊测试的反射型XSS漏洞检测系统。首先,通过网络爬虫技术爬取整站指定深度的网页链接并对其进行分析,从而提取出潜在的用户注入点;其次,根据攻击载荷的语法形式构造模糊测试用例,并为每个元素设置初始权重,依据注入探子向量来获取输出点类型,从而选择对应的攻击语法模式来构造较有潜力的攻击载荷,并对其进行变异操作以形成变异攻击载荷来作为请求参数;然后,对网站响应进行分析,并调整元素的权重,以便生成更加高效的攻击载荷;最后,将该系统与ZAP、Wapiti系统做横向对比。实验结果表明,所提系统能够发现的潜在用户注入点数提升了12.5%,漏洞误报率下降至0.37%,漏报率低于2.23%;同时减少了请求次数,节约了检测时间。
-
关键词
跨站脚本漏洞检测
爬虫
模糊测试
探子向量
攻击载荷
权重调整
-
Keywords
Cross-Site Scripting(XSS)vulnerability detection
crawler
fuzzing test
probe vector
attack payload
weight adjustment
-
分类号
TP393
[自动化与计算机技术—计算机应用技术]
-
