Web應(yīng)用存儲(chǔ)型XSS漏洞檢測(cè)方法研究.pdf

1、隨著互聯(lián)網(wǎng)技術(shù)的快速發(fā)展，Web應(yīng)用被大量開發(fā)來提供各種服務(wù)，使人們生活更加便利。而針對(duì)Web應(yīng)用安全漏洞的攻擊對(duì)各類網(wǎng)站構(gòu)成了嚴(yán)重威脅。目前，跨站腳本(XSS)攻擊作為互聯(lián)網(wǎng)中攻擊數(shù)量最多的手段，已得到人們的廣泛關(guān)注。跨站腳本分為兩種類型：反射型XSS和存儲(chǔ)型XSS。針對(duì)反射型 XSS攻擊，已有許多有效的方法及工具對(duì)其進(jìn)行阻止和檢測(cè)，但對(duì)于存儲(chǔ)惡意腳本到后端數(shù)據(jù)庫(kù)的存儲(chǔ)型 XSS攻擊的檢測(cè)方法存在著很多的不足之處。
　　本文介紹

2、了存儲(chǔ)型 XSS漏洞攻擊原理，定義了攻擊向量的巴科諾爾斯范式(BNF)語(yǔ)法，提出使用BNF生成式自動(dòng)生成初始攻擊向量，并對(duì)其進(jìn)行不同類型的變異處理，使用輔助標(biāo)記自動(dòng)檢測(cè)存儲(chǔ)型 XSS漏洞的動(dòng)態(tài)檢測(cè)方法。該方法由靜態(tài)爬取和動(dòng)態(tài)測(cè)試組成。在靜態(tài)爬取階段，爬取 Web應(yīng)用找到所有可能的注入點(diǎn)及展現(xiàn)注入信息的相關(guān)頁(yè)面；在動(dòng)態(tài)測(cè)試階段，對(duì)找到的注入點(diǎn)使用攻擊向量構(gòu)造惡意數(shù)據(jù)包提交至服務(wù)器模擬攻擊，并在對(duì)應(yīng)展現(xiàn)頁(yè)面進(jìn)行匹配查找，確定漏洞的存在。最后