基于模糊測試的XSS漏洞檢測系統(tǒng)研究與實(shí)現(xiàn).pdf

1、隨著互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展，Web立用變得功能更豐富、交互性更強(qiáng)。用戶既是網(wǎng)站內(nèi)容的瀏覽者，也是網(wǎng)站內(nèi)容的創(chuàng)造者。由于網(wǎng)站信息來源的多樣化，目前針對Web應(yīng)用漏洞的攻擊已超過所有安全漏洞攻擊的三分之二。其中，跨站腳本(cross-site scripting，XSS)攻擊已經(jīng)上升為互聯(lián)網(wǎng)中數(shù)量最多的攻擊手段。跨站腳本攻擊者通過向網(wǎng)頁插入惡意腳本代碼，導(dǎo)致用戶瀏覽網(wǎng)頁時(shí)代碼在瀏覽器中秘密自動(dòng)執(zhí)行，從而竊取用戶隱私信息。如何檢測網(wǎng)站中潛在的X

2、SS漏洞，是當(dāng)前漏洞檢測技術(shù)的研究熱點(diǎn)。
　　 現(xiàn)有的XSS漏洞檢測技術(shù)還不夠完善，存在需要源代碼公開、檢測虛警率和漏警率高、只能檢測已知漏洞等缺點(diǎn)。因此，需要展開進(jìn)一步的研究。本文對XSS漏洞的檢測原理、實(shí)現(xiàn)技術(shù)和研究現(xiàn)狀進(jìn)行了深入的學(xué)習(xí)研究，完成的主要工作如下：
　　 首先基于模糊測試技術(shù)，設(shè)計(jì)了一種新的XSS漏洞檢測模型，該模型具有實(shí)施方便、無源碼限制、自動(dòng)化程序高等優(yōu)點(diǎn)；其次，針對目前難以檢測未知漏洞的問題，設(shè)計(jì)

3、了一種基于服務(wù)器過濾刪除機(jī)制的上下文無關(guān)文法測試數(shù)據(jù)動(dòng)態(tài)生成算法，能對預(yù)定義測試數(shù)據(jù)無法發(fā)現(xiàn)的未知漏洞進(jìn)行有效檢測；然后，設(shè)計(jì)了一種結(jié)合HTML(HyperText Markup Languag)解析和API(Application ProgrammingInterface)掛接兩種方式的目標(biāo)網(wǎng)站實(shí)時(shí)檢測方案，實(shí)現(xiàn)了檢測系統(tǒng)的自動(dòng)化操作。
　　 最后，使用PERL語言實(shí)現(xiàn)了一個(gè)基于模糊測試技術(shù)的XSS漏洞檢測原型系統(tǒng)，實(shí)驗(yàn)證明，