欢迎来到天天文库
浏览记录
ID:33483390
大小:1.21 MB
页数:4页
时间:2019-02-26
《基于爬虫的xss漏洞检测工具设计与实现》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、第35卷第21期计算机工程2009年11月Vol.35No.21ComputerEngineeringNovember2009·安全技术·文章编号:1000—3428(2009)21—0151—04文献标识码:A中图分类号:TP393.08基于爬虫的XSS漏洞检测工具设计与实现1,22沈寿忠,张玉清(1.西安电子科技大学计算机网络与信息安全教育部重点实验室,西安710071;2.中国科学院研究生院国家计算机网络入侵防范中心,北京100043)摘要:通过对XSS漏洞的研究,剖析其产生、利用的方式,在此基础
2、上针对XSS漏洞的检测机制进行进一步的分析和完善。结合网络爬虫的技术,研究设计并实现了一款XSS漏洞的检测工具(XSS-Scan),并与当前比较流行的一些软件做了分析比较,证明利用该工具可以对Web网站进行安全审计,检测其是否存在XSS漏洞。关键词:XSS漏洞;Web安全;漏洞;网络爬虫DesignandImplementationofXSSVulnerabilityDetectionToolBasedonCrawler1,22SHENShou-zhong,ZHANGYu-qing(1.KeyLabof
3、ComputerNetworksandInformationSecurity,MinistryofEducation,XidianUniversity,Xi’an710071;2.NationalComputerNetworkIntrusionProtectionCenter,GraduateUniversityofChineseAcademyofSciences,Beijing100043)【Abstract】ThroughthedeepstudyandanalysisoftheCrossSiteSc
4、ripting(XSS)vulnerability,thispaperknowsthathowtheXSSvulnerabilityproducesandtobeused.FurtheranalysisandimprovementaremadeabouttheXSSvulnerability’sdetectionmechanism.ThispaperrealizesanXSSvulnerabilitydetectiontools(XSS-Scan)basedonCrawler’stechnology,a
5、nddoestheanalysisandcomparisonwithsomepopularsoftwares.ThistoolcanbeusedtoaudittheWebsite’ssafetyanddetecttheexistenceofXSSvulnerabilityinit.【Keywords】XSSvulnerability;Websecurity;vulnerability;Crawler1概述在网页中的其他链接地址,然后通过这些链接地址寻找下一随着Internet的发展,基于Web和数据库架
6、构的应用系个网页,这样一直循环下去,直到把这个网站所有的网页都统已经逐渐成为主流,广泛应用于企业内部和外部的业务系抓取完为止。网络爬虫一般有2种策略:深度优先和广度统中。各种基于Web应用的业务模式不断成熟,但是各种网优先。络安全事件也同时不断地发生。据国家计算机网络应急技术深度优先是指网络爬虫会从起始页开始,逐个链接跟踪处理协调中心(CNCERT/CC)的统计,2007年接收的网络仿冒下去,处理完这条线路之后再转入下一个起始页,继续跟踪事件和网页恶意代码事件,分别超出2006年总数的近1.4倍链接。和
7、2.6倍;而2008年5月,我国大陆地区被篡改网站的数量广度优先是指网络爬虫会先抓取起始网页中链接的所有就有6915个。各种Web应用的安全事件严重影响了Web应网页,然后再选择其中的一个链接网页,继续抓取在此网页用的发展,其中基于XSS漏洞的应用攻击尤为严重。中链接的所有网页。这种方式可以让网络爬虫并行处理,提现有的工具如XSS-Me,AcunetixWebVulnerability高其抓取速度。[1]Scanner,Paros等软件都可以对Web应用程序的XSS漏洞3XSS漏洞进行扫描检测。但这些软
8、件都或多或少地存在着一些不足。由于HTML语言支持脚本语言嵌入页面中的机制,从而如XSS-Me只能针对表单进行测试,而且是单页面的分析,引发了脚本的安全问题。XSS(Cross-SiteScripting)是最常见并且无法分析框架式的单页面。AcunetixWebVulnerability的一种应用层的攻击。XSS攻击基本上是将攻击代码注入到Scanner5对框架式的Web应用程序及含参超链的分析存在各种浏览器的解释过程中,同时利用XSS漏
此文档下载收益归作者所有