返回
一种基于模拟浏览器行为的xss漏洞检测系统的研究与设计

一种基于模拟浏览器行为的xss漏洞检测系统的研究与设计

ID:35035858

大小:2.76 MB

页数:62页

时间:2019-03-16

一种基于模拟浏览器行为的xss漏洞检测系统的研究与设计_第1页
一种基于模拟浏览器行为的xss漏洞检测系统的研究与设计_第2页
一种基于模拟浏览器行为的xss漏洞检测系统的研究与设计_第3页
一种基于模拟浏览器行为的xss漏洞检测系统的研究与设计_第4页
一种基于模拟浏览器行为的xss漏洞检测系统的研究与设计_第5页
资源描述:

《一种基于模拟浏览器行为的xss漏洞检测系统的研究与设计》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、中文图书分类号:TP391密级:公开UDC:004学校代码:10005工程硕士学位论文M.E.DISSERTATION论文题目:一种基于模拟浏览器行为的XSS漏洞检测系统的研究与设计论文作者:刘源学科:计算机科学与技术指导教师:王丹论文提交日期:2016年6月UDC:004学校代码:10005中文图书分类号:TP319学号:S201307151密级:公开北京工业大学硕士专业学位论文(全日制)题目:一种基于模拟浏览器行为的XSS漏洞检测系统的研究与设计英文题目:AXSSVULNERABILITYDETECTIONAPPROACHBASEDONSIMULA

2、TINGBROWSERBEHAVIOR论文作者:刘源领域:计算机科学与技术研究方向:计算机软件与理论申请学位:工程硕士指导教师:王丹教授所在单位:计算机学院答辩日期:2016年6月授予学位单位:北京工业大学III独创性声明本人声明所呈交的论文是我个人在导师指导下进行的研究工作及取得的研究成果。尽我所知,除了文中特别加以标注和致谢的地方外,论文中不包含其他人已经发表或撰写过的研究成果,也不包含为获得北京工业大学或其它教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确的说明并表示了谢意。签名:刘源日期:2

3、016年6月22日关于论文使用授权的说明本人完全了解北京工业大学有关保留、使用学位论文的规定,即:学校有权保留送交论文的复印件,允许论文被查阅和借阅;学校可以公布论文的全部或部分内容,可以采用影印、缩印或其他复制手段保存论文。(保密的论文在解密后应遵守此规定)签名:刘源日期:2016年6月22日导师签名:王丹日期:2016年6月22日摘要摘要近年来,随着Web应用和HTML5的普及,Web安全问题也日益突出。OWASP公布的2013年十大Web应用安全风险中,跨站脚本漏洞XSS(CrossSiteScripting)名列第三,已成为当前各类Web应用需

4、要共同面对的常见安全风险之一。目前针对自动化XSS漏洞检测工具的研究还不是很充足,传统的基于静态爬虫爬取页面的方法对漏洞注入点的检测覆盖率还不是很高,无法很好地应对复杂网页格式下注入点产生的多种途径,例如有些注入点需要通过用户操作,如点击某个按钮,使浏览器解析JavaScript或加载Ajax才能生成;有些注入点则不存在于表单中,需要分析网页结构才能找到其提交方式。同时,在漏洞检测方面,传统方法也不能很好地动态分析目标站点的回应信息,从而不能够准确地判断出XSS漏洞是否存在。针对上述问题,本文对自动化XSS漏洞检测系统的爬取页面、提取注入点、进行攻击测

5、试和分析结果四个步骤进行了深入研究,主要研究内容如下:(1)研究了Web页面漏洞注入点的自动获取方法,以解决传统静态爬虫对XSS漏洞注入点覆盖率小的问题,提出了基于Headlessbrowser的Web页面爬虫框架,该框架含有浏览器的内核,可以模拟浏览器行为来解析JavaScript和加载Ajax以得到页面中隐藏式注入点,同时可以分析页面的DOM结构以得到页面中的非格式化注入点。通过分析总结了各种注入点和交互点的可能的特征,本文设计并实现的动态爬虫模块可以获取大量因网页格式越来越多样化而产生的非格式化注入点,包括那些既不存在于表单中,也不通过传统的su

6、bmit方式提交,而是在用户点击某个按钮后,通过JavaScript合成请求提交到服务器的注入点。(2)提出了一种高效的通过提交攻击向量判断XSS漏洞是否存在的方法。设计并实现了可动态识别XSS漏洞的自动化检测模块。在提交攻击向量请求后,可以判断返回页面是否有异常的浏览器行为,并且,借助第三方服务器动态判断页面返回后的结果。如果攻击向量中含有对该服务器的请求,则系统会自动分析第三方服务器的状态,判断返回页面是否执行了这一请求从而判断出当前注入点是否存在漏洞。该系统完全采用Python语言开发,具有易于维护和进行二次开发的特点,对XSS漏洞的检测与研究有

7、非常重要的应用价值。(3)设计并实现了功能友好的用户交互界面。该系统的用户交互界面基于PyQt库设计,使得该模块可以跨平台,在各种操作系统上显示统一的用户界面,方便系统的运行。同时,该模块也对爬虫爬取页面的信息、检测注入点时结果-I-北京工业大学工程硕士专业学位论文汇报的信息进行了整理,并以丰富的格式进行显示。此外,该模块提供了用户自定义攻击向量、以及获取和设置Cookie等功能,用户可以在系统中直接登录目标页面并将登录状态保存下来,之后检测时,该系统可以加载保存的Cookie文件,以爬取含有正确Cookie时才能爬取到的内容。关键词:XSS漏洞;爬虫

8、框架;浏览器;黑盒测试-II-AbstractAbstractWiththepopularit

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。