返回
基于爬虫的XSS漏洞检测工具设计内容与实现.pdf

基于爬虫的XSS漏洞检测工具设计内容与实现.pdf

ID:52434033

大小:338.06 KB

页数:4页

时间:2020-03-27

基于爬虫的XSS漏洞检测工具设计内容与实现.pdf_第1页
基于爬虫的XSS漏洞检测工具设计内容与实现.pdf_第2页
基于爬虫的XSS漏洞检测工具设计内容与实现.pdf_第3页
基于爬虫的XSS漏洞检测工具设计内容与实现.pdf_第4页
资源描述:

《基于爬虫的XSS漏洞检测工具设计内容与实现.pdf》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、第35卷第21期计算机工程2009年l1月Vo1.35No.2lComputerEngineeringNovember2009·安全技术·文章编号:10o0-__3428(2009)2l—o151—o4文献标识码:A中圈分类号Tj;;:08基于爬虫的XSS漏洞检测工具设计与实现沈寿虑。张玉清(1.西安电子科技大学计算机网络与信息安全教育部重点实验室,西安710071;2.中国科学院研究生院国家计算机网络入侵防范中心,北京l00043)摘要:通过对XSS漏洞的研究,剖析其产生、利用的方式,在此基础上针对XSS漏洞的检测机制进行进一步的分析和完善。结合网络爬虫的技术,研究设计并实现了一款XSS漏洞

2、的检测工具(xss-Scan),并与当前比较流行的一些软件做了分析比较,证明利用该工具可以对Web网站进行安全审计,检测其是否存在XSS漏洞。关健诃:XSS漏洞;Web安全;漏洞;网络爬虫DesignandImplementationofXSSVulnerabilityDetectionToolBasedonCrawlersHENShou-zhong,ZHANGYu-qin(1.KeyLabofComputerNetworksandInformationSecurity,MinistryofEducation,XidianUniversity,Xi’an710071;2.NationalCom

3、puterNetworkIntrusionProtectionCenter,GraduateUniversityofChineseAcademyofSciences,Beijing100043)[Abstract]ThroughthedeepstudyandanalysisoftheCrossSiteScripting(XSS)vulnerability,thispaperknowsthathowtheXSSvulnerabilityproducesandtobeused.FurtheranalysisandimprovementaremadeabouttheXSSvulnerability’

4、Sdetectionmechanism.ThispaperrealizesanXSSvulnerabilitydetectiontools(XSS—Scan)basedonCrawler’Stechnology,anddoestheanalysisandcomparisonwithsomepopularsotwares.ThistoolcanbeusedtoaudittheWebsite’SsafetyanddetecttheexistenceofXSSvulnerabilityinit.[Keywords]XSSvulnerability;Websecurity;vulnerability;

5、Crawlerl概述在网页中的其他链接地址,然后通过这些链接地址寻找下一随着Internet的发展,基于Web和数据库架构的应用系个网页,这样一直循环下去,直到把这个网站所有的网页都统已经逐渐成为主流,广泛应用于企业内部和外部的业务系抓取完为止。网络爬虫一般有2种策略:深度优先和广度统中。各种基于Web应用的业务模式不断成熟,但是各种网优先。络安全事件也同时不断地发生。据国家计算机网络应急技术深度优先是指网络爬虫会从起始页开始,逐个链接跟踪处理协调中b(CNCERT/CC)的统计,2007年接收的网络仿冒下去,处理完这条线路之后再转入下一个起始页,继续跟踪事件和网页恶意代码事件,分别超出200

6、6年总数的近1.4倍链接。和2.6倍;而2008年5月,我国大陆地区被篡改网站的数量广度优先是指网络爬虫会先抓取起始网页中链接的所有就有6915个。各种Web应用的安全事件严重影响了Web应网页,然后再选择其中的一个链接网页,继续抓取在此网页用的发展,其中基于XSS漏洞的应用攻击尤为严重。中链接的所有网页。这种方式可以让网络爬虫并行处理,提现有的工具如XSS-Me,AcunetixWebVulnerability高其抓取速度。Scanner,Paros⋯等软件都可以对Web应用程序的XSS漏洞3XSS漏涸进行扫描检测。但这些软件都或多或少地存在着一些不足。由于HTML语言支持脚本语言嵌入页面中

7、的机制,从而如XSS.Me只能针对表单进行测试,而且是单页面的分析,引发了脚本的安全问题。XSS(Cross—SiteScripting)是最常见并且无法分析框架式的单页面。AcunetixWebVulnerability的一种应用层的攻击。XSS攻击基本上是将攻击代码注入到Scanner5对框架式的Web应用程序及含参超链的分析存在各种浏览器的解释过程中,同时利用XSS漏洞旁路调用访问着不足。P

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。