基于滲透測試的跨站腳本漏洞檢測研究.pdf

1、網(wǎng)站應(yīng)用給人們的生活帶來了便捷和效率，同時(shí)也引發(fā)了網(wǎng)站攻擊的安全問題，跨站腳本攻擊正是其中常見的安全問題之一。目前多數(shù)網(wǎng)站開發(fā)人員會采用過濾用戶輸入的方式來防御跨站腳本攻擊，但是這種做法存在局限性，仍需進(jìn)行漏洞檢測工作?，F(xiàn)有的檢測工具在一定程度上能夠檢測出跨站腳本漏洞，但是檢測的全面性仍需提高。
　　 本文基于滲透測試思想，針對跨站腳本漏洞檢測進(jìn)行了研究，主要工作體現(xiàn)在以下兩方面:
　　 一方面，提出了較完備的跨站腳本攻

2、擊向量挖掘策略。通過對不同類型跨站腳本攻擊向量的結(jié)構(gòu)進(jìn)行分析，提出跨站腳本攻擊向量的結(jié)構(gòu)化定義。依據(jù)該定義對攻擊者使用的反過濾方法進(jìn)行分析、總結(jié)、分類以及擴(kuò)展，得到反過濾規(guī)則集合。在結(jié)構(gòu)化定義和反過濾規(guī)則集合的基礎(chǔ)上，提出跨站腳本攻擊向量挖掘策略。通過應(yīng)用實(shí)例和相關(guān)實(shí)驗(yàn)，證明通過該策略進(jìn)行挖掘后的結(jié)果集合，具備全面性與有效性的特征。
　　 另一方面，設(shè)計(jì)出完整的跨站腳本漏洞檢測模型。在提出漏洞檢測模型的檢測原理和關(guān)鍵問題的基礎(chǔ)上

3、，對跨站腳本漏洞檢測模型的整體設(shè)計(jì)結(jié)構(gòu)以及運(yùn)行機(jī)制進(jìn)行了說明，最后對每個(gè)功能模塊的實(shí)現(xiàn)技術(shù)進(jìn)行了詳細(xì)的闡述。通過應(yīng)用實(shí)例和相關(guān)實(shí)驗(yàn)，證明該漏洞檢測模型不僅能夠有效的檢測出網(wǎng)站上的跨站腳本漏洞，而且大大提高了漏洞檢測的全面性。
　　 對跨站腳本攻擊向量的挖掘能夠很好地解決攻擊向量形勢多樣以及注入形式多樣所帶來的問題，而基于滲透測試模擬攻擊行為能夠很好的解決網(wǎng)站開發(fā)使用不同的開發(fā)語言以及不同瀏覽器解析方式差異所帶來的問題。但是跨站腳