-
题名一种XSS漏洞检测方法的设计与实现
被引量:7
- 1
-
-
作者
左丹丹
王丹
付利华
-
机构
北京工业大学计算机学院
-
出处
《计算机应用与软件》
CSCD
2016年第7期278-281,298,共5页
-
基金
国家自然科学基金项目(61202074)
-
文摘
跨站脚本(XSS)漏洞是近年来较为流行的一种漏洞,随着Ajax技术的广泛应用,其危害性及快速的传播能力也越来越强。现有的漏洞检测技术没有充分对该类漏洞的漏洞注入点进行研究,使用的漏洞检测技术也没有充分考虑测试请求后响应的页面,导致漏洞检测率相对较低。针对现有漏洞检测技术的不足之处,加强对隐含页面的DOM结构分析,提出基于DOM状态改变的方式查找漏洞注入点的方法。在此基础上提出基于页面交互点相关的漏洞检测方法,设计并实现了漏洞检测原型系统。实验证明,该原型系统能够找到更多的漏洞注入点,能有效地提高漏洞检测率。
-
关键词
跨站脚本漏洞
漏洞注入点
隐含页面
漏洞检测
-
Keywords
cross-site scripting(xss)
vulnerability
vulnerability injection point
Hidden webpage
vulnerability detection
-
分类号
TP391
[自动化与计算机技术—计算机应用技术]
-
-
题名XSS漏洞研究综述
被引量:7
- 2
-
-
作者
孙伟
张凯寓
薛临风
徐田华
-
机构
中山大学电子与信息工程学院
信息技术教育部重点实验室(中山大学)
中山大学数据科学与计算机学院
轨道交通控制与安全国家重点实验室(北京交通大学)
-
出处
《信息安全研究》
2016年第12期1068-1079,共12页
-
基金
澳门科技发展基金项目(097/2013/A3)
轨道交通控制与安全国家重点实验室(北京交通大学)开放课题基金项目(RCS2016K007)
-
文摘
跨站脚本(cross-site scripting,XSS)是一种常见的针对Web应用程序安全漏洞的攻击.恶意用户利用漏洞将恶意脚本注入网页之中,当用户浏览该网页时,便会触发脚本,导致攻击行为发生.由于HTML编码方案的高度灵活性,攻击者可通过多种方法绕过输入验证过滤器,导致XSS难以被发现和预防.为了有效减少XSS造成的危害损失,依照XSS的分类,对反射型XSS、存储型XSS和基于DOM的XSS特征及原理进行了细致的分析和对比,并对数量庞大、形态各异的XSS攻击向量进行归纳和梳理,通过举例对C∞kie窃取、会话劫持、钓鱼欺骗等XSS常见利用方式进行说明,并对常用的XSS防御手段进行整理,最后对静态分析、动态分析、机器学习等主流的XSS漏洞自动化检测方法进行总结.
-
关键词
WEB安全
跨站脚本
攻击向量
漏洞利用
漏洞检测方法
-
Keywords
Web security
xss(cross-site scripting)
attack vectors
exploit
vulnerability detection methods
-
分类号
TP393.08
[自动化与计算机技术—计算机应用技术]
-
-
题名基于模糊测试的反射型跨站脚本漏洞检测
被引量:9
- 3
-
-
作者
倪萍
陈伟
-
机构
南京邮电大学计算机学院
-
出处
《计算机应用》
CSCD
北大核心
2021年第9期2594-2601,共8页
-
基金
国家重点研发计划项目(2019YFB2101704)。
-
文摘
针对目前现代万维网(WWW)应用程序中跨站脚本(XSS)漏洞检测技术存在的效率低,以及漏报率、误报率高等问题,提出了一个基于模糊测试的反射型XSS漏洞检测系统。首先,通过网络爬虫技术爬取整站指定深度的网页链接并对其进行分析,从而提取出潜在的用户注入点;其次,根据攻击载荷的语法形式构造模糊测试用例,并为每个元素设置初始权重,依据注入探子向量来获取输出点类型,从而选择对应的攻击语法模式来构造较有潜力的攻击载荷,并对其进行变异操作以形成变异攻击载荷来作为请求参数;然后,对网站响应进行分析,并调整元素的权重,以便生成更加高效的攻击载荷;最后,将该系统与ZAP、Wapiti系统做横向对比。实验结果表明,所提系统能够发现的潜在用户注入点数提升了12.5%,漏洞误报率下降至0.37%,漏报率低于2.23%;同时减少了请求次数,节约了检测时间。
-
关键词
跨站脚本漏洞检测
爬虫
模糊测试
探子向量
攻击载荷
权重调整
-
Keywords
cross-site scripting(xss)vulnerability detection
crawler
fuzzing test
probe vector
attack payload
weight adjustment
-
分类号
TP393
[自动化与计算机技术—计算机应用技术]
-
