计算机科学 ›› 2016, Vol. 43 ›› Issue (Z6): 328-331.doi: 10.11896/j.issn.1002-137X.2016.6A.078

• 信息安全 • 上一篇    下一篇

基于模糊测试和遗传算法的XSS漏洞挖掘

程诚,周彦晖   

  1. 西南大学计算机与信息科学学院 重庆400715,西南大学计算机与信息科学学院 重庆400715
  • 出版日期:2018-11-14 发布日期:2018-11-14

Findding XSS Vulnerabilities Based on Fuzzing Test and Genetic Algorithm

CHENG Cheng and ZHOU Yan-hui   

  • Online:2018-11-14 Published:2018-11-14

摘要: 为解决Web应用跨站脚本(XSS)问题,在研究当前各种XSS漏洞挖掘方法的基础上,通过对XSS漏洞特征、网站过滤方式、变形优化方法进行分析,提出了一种基于模糊测试和遗传算法的XSS攻击样本优化生成方法,以有效挖掘漏洞。该方法在构建XSS漏洞库的基础上,采用模糊测试方法随机预生成大量XSS攻击用例,采取过滤补全原则进行XSS攻击特征分析、选择与提取,利用遗传算法搜索XSS攻击特征空间,通过多次反复迭代生成最优的XSS攻击特征测试用例。分析表明,该方法能有效地发现Web应用中的XSS漏洞。

关键词: XSS漏洞,模糊测试,遗传算法,过滤补全原则,最优攻击特征

Abstract: To solve the Web application cross-site scripting problem,on the base of the current study of various XSS vulnerabilities mining methods,a new optimization generation method of XSS attack sample was proposed .It mines the vulnerability based on fuzzy testing and genetic algorithms by analyzing features of XSS vulnerabilities ,ways of site filtering,and methods of distortion optimization.First,XSS vulnerability database was constructed.Second,the fuzzing testing was used to randomly pre-generate a lot of XSS attack test cases.Then,filter and complementation principle was taken to analyze,select and extract XSS’s attack features.Finally,genetic algorithms was applied to search for XSS attack features space to generate optimal XSS attack features test case through many iterations.Analysis shows that the method can effectively detect XSS vulnerabilities in Web applications.

Key words: XSS vulnerability,Fuzzing test,Genetic algorithm,Filter and complement principles,Best attack signatures

[1] 中国互联网络信息中心(CNNIC).第27次中国互联网络发展状况统计报告(2015-2)[R/OL].http://www.cnnic.cn/hlwfzyj/hlwxzbg/201502/P020150203551802054676.pdf
[2] OWASP.OWASP Top Ten Project[R].2013
[3] Stuttard D,Pinto M,石华耀.黑客攻防技术宝典:Web 实战篇[M].2009
[4] 刘为.基于模糊测试的XSS漏洞检测系统研究与实现[D].长沙:湖南大学,2010
[5] 温凯,郭帆,余敏.自适应的 Web 攻击异常检测方法[J].计算机应用,2012,32(7):2003-2006
[6] 吴子敬,张宪忠,管磊,等.基于反过滤规 则集和自动爬虫的 XSS 漏洞深度挖掘技术[J].北京理工大学学报,2012,32(4):396-396
[7] 潘古兵,周彦晖.基于静态分析和动态检测的 XSS 漏洞发现[J].计算机科学,2012,39(B6):51-53
[8] 吴少华,程书宝,胡勇.基于 SVM 的 Web 攻击检测技术[J].计算机科学,2015,42(S1):362-364
[9] Shahriar H,Zulkernine M.S2XS2:a server side approach to automatically detect XSS attacks[C]∥2011 Ninth IEEE International Conference on Dependable,Autonomic and Secure Computing.Sydney:IEEE Press,2011:7-14
[10] 王春东,邱晓华.基于特征策略的 XSS 漏洞检测技术研究[J].天津理工大学学报,2013,29(5):25-29
[11] 许静,练坤梅,田伟,等.应用遗传算法自动生成XSS跨站点脚本漏洞检测参数的方法[P].中国,2015-05-30
[12] 朱红萍,巩青歌,雷战波.基于遗传算法的入侵检测特征选择[J].计算机应用研究,2012,29(4):1417-1419
[13] 郭慧,王晓菊,刘明艳,等.基于遗传算法的入侵检测系统特征选择方法研究[J].华北科技学院学报,2014,11(9):68-72
[14] 韦存堂.SQL注入与XSS攻击自动化检测关键技术研究[D].北京:北京邮电大学,2015
[15] 牛皓.基于网络爬虫的 XSS 漏洞检测系统的研究与设计[D].北京:北京邮电大学,2015
[16] https://www.owasp.org/index.php/XSS_Filter_Evasion_-Cheat_Sheet
[17] 潘古兵.Web 应用程序渗透测试方法研究[D].重庆:西南大学,2012
[18] 吴志勇,王红川,孙乐昌,等.遗传算法在多维 Fuzzing 技术中的应用[J].小型微型计算机系统,2011,32(5):998-1004
[19] 王云.基于爬虫和模糊测试的XSS漏洞检测工具设计与实现[D].广州:华南理工大学,2015

No related articles found!
Viewed
Full text


Abstract

Cited

  Shared   
  Discussed   
No Suggested Reading articles found!