基于模糊測(cè)試的XSS漏洞檢測(cè)系統(tǒng)研究與實(shí)現(xiàn).pdf

1、隨著互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展，Web立用變得功能更豐富、交互性更強(qiáng)。用戶(hù)既是網(wǎng)站內(nèi)容的瀏覽者，也是網(wǎng)站內(nèi)容的創(chuàng)造者。由于網(wǎng)站信息來(lái)源的多樣化，目前針對(duì)Web應(yīng)用漏洞的攻擊已超過(guò)所有安全漏洞攻擊的三分之二。其中，跨站腳本(cross-site scripting，XSS)攻擊已經(jīng)上升為互聯(lián)網(wǎng)中數(shù)量最多的攻擊手段。跨站腳本攻擊者通過(guò)向網(wǎng)頁(yè)插入惡意腳本代碼，導(dǎo)致用戶(hù)瀏覽網(wǎng)頁(yè)時(shí)代碼在瀏覽器中秘密自動(dòng)執(zhí)行，從而竊取用戶(hù)隱私信息。如何檢測(cè)網(wǎng)站中潛在的X

2、SS漏洞，是當(dāng)前漏洞檢測(cè)技術(shù)的研究熱點(diǎn)。
　　 現(xiàn)有的XSS漏洞檢測(cè)技術(shù)還不夠完善，存在需要源代碼公開(kāi)、檢測(cè)虛警率和漏警率高、只能檢測(cè)已知漏洞等缺點(diǎn)。因此，需要展開(kāi)進(jìn)一步的研究。本文對(duì)XSS漏洞的檢測(cè)原理、實(shí)現(xiàn)技術(shù)和研究現(xiàn)狀進(jìn)行了深入的學(xué)習(xí)研究，完成的主要工作如下：
　　 首先基于模糊測(cè)試技術(shù)，設(shè)計(jì)了一種新的XSS漏洞檢測(cè)模型，該模型具有實(shí)施方便、無(wú)源碼限制、自動(dòng)化程序高等優(yōu)點(diǎn)；其次，針對(duì)目前難以檢測(cè)未知漏洞的問(wèn)題，設(shè)計(jì)

3、了一種基于服務(wù)器過(guò)濾刪除機(jī)制的上下文無(wú)關(guān)文法測(cè)試數(shù)據(jù)動(dòng)態(tài)生成算法，能對(duì)預(yù)定義測(cè)試數(shù)據(jù)無(wú)法發(fā)現(xiàn)的未知漏洞進(jìn)行有效檢測(cè)；然后，設(shè)計(jì)了一種結(jié)合HTML(HyperText Markup Languag)解析和API(Application ProgrammingInterface)掛接兩種方式的目標(biāo)網(wǎng)站實(shí)時(shí)檢測(cè)方案，實(shí)現(xiàn)了檢測(cè)系統(tǒng)的自動(dòng)化操作。
　　 最后，使用PERL語(yǔ)言實(shí)現(xiàn)了一個(gè)基于模糊測(cè)試技術(shù)的XSS漏洞檢測(cè)原型系統(tǒng)，實(shí)驗(yàn)證明，