计算机科学 ›› 2016, Vol. 43 ›› Issue (Z6): 328-331.doi: 10.11896/j.issn.1002-137X.2016.6A.078
程诚,周彦晖
CHENG Cheng and ZHOU Yan-hui
摘要: 为解决Web应用跨站脚本(XSS)问题,在研究当前各种XSS漏洞挖掘方法的基础上,通过对XSS漏洞特征、网站过滤方式、变形优化方法进行分析,提出了一种基于模糊测试和遗传算法的XSS攻击样本优化生成方法,以有效挖掘漏洞。该方法在构建XSS漏洞库的基础上,采用模糊测试方法随机预生成大量XSS攻击用例,采取过滤补全原则进行XSS攻击特征分析、选择与提取,利用遗传算法搜索XSS攻击特征空间,通过多次反复迭代生成最优的XSS攻击特征测试用例。分析表明,该方法能有效地发现Web应用中的XSS漏洞。
[1] 中国互联网络信息中心(CNNIC).第27次中国互联网络发展状况统计报告(2015-2)[R/OL].http://www.cnnic.cn/hlwfzyj/hlwxzbg/201502/P020150203551802054676.pdf [2] OWASP.OWASP Top Ten Project[R].2013 [3] Stuttard D,Pinto M,石华耀.黑客攻防技术宝典:Web 实战篇[M].2009 [4] 刘为.基于模糊测试的XSS漏洞检测系统研究与实现[D].长沙:湖南大学,2010 [5] 温凯,郭帆,余敏.自适应的 Web 攻击异常检测方法[J].计算机应用,2012,32(7):2003-2006 [6] 吴子敬,张宪忠,管磊,等.基于反过滤规 则集和自动爬虫的 XSS 漏洞深度挖掘技术[J].北京理工大学学报,2012,32(4):396-396 [7] 潘古兵,周彦晖.基于静态分析和动态检测的 XSS 漏洞发现[J].计算机科学,2012,39(B6):51-53 [8] 吴少华,程书宝,胡勇.基于 SVM 的 Web 攻击检测技术[J].计算机科学,2015,42(S1):362-364 [9] Shahriar H,Zulkernine M.S2XS2:a server side approach to automatically detect XSS attacks[C]∥2011 Ninth IEEE International Conference on Dependable,Autonomic and Secure Computing.Sydney:IEEE Press,2011:7-14 [10] 王春东,邱晓华.基于特征策略的 XSS 漏洞检测技术研究[J].天津理工大学学报,2013,29(5):25-29 [11] 许静,练坤梅,田伟,等.应用遗传算法自动生成XSS跨站点脚本漏洞检测参数的方法[P].中国,2015-05-30 [12] 朱红萍,巩青歌,雷战波.基于遗传算法的入侵检测特征选择[J].计算机应用研究,2012,29(4):1417-1419 [13] 郭慧,王晓菊,刘明艳,等.基于遗传算法的入侵检测系统特征选择方法研究[J].华北科技学院学报,2014,11(9):68-72 [14] 韦存堂.SQL注入与XSS攻击自动化检测关键技术研究[D].北京:北京邮电大学,2015 [15] 牛皓.基于网络爬虫的 XSS 漏洞检测系统的研究与设计[D].北京:北京邮电大学,2015 [16] https://www.owasp.org/index.php/XSS_Filter_Evasion_-Cheat_Sheet [17] 潘古兵.Web 应用程序渗透测试方法研究[D].重庆:西南大学,2012 [18] 吴志勇,王红川,孙乐昌,等.遗传算法在多维 Fuzzing 技术中的应用[J].小型微型计算机系统,2011,32(5):998-1004 [19] 王云.基于爬虫和模糊测试的XSS漏洞检测工具设计与实现[D].广州:华南理工大学,2015 |
No related articles found! |
|