期刊文献+
任意字段
题名或关键词
题名
关键词
文摘
作者
第一作者
机构
刊名
分类号
参考文献
作者简介
基金资助
栏目信息

基于渗透测试的跨站脚本漏洞检测方法研究 被引量:6

Research on Cross-site Scripting Vulnerability Detection Method Based on Penetration Testing
在线阅读 下载PDF
导出
摘要 目前,跨站脚本漏洞已经成为互联网上最为严重的安全漏洞之一,文中针对跨站脚本漏洞的自动化检测问题,提出了一种基于渗透测试的检测方法。在向Web服务器提交攻击向量之前,对检测点使用合法输入进行探测,通过与Web服务器的一次交互可以排除一部分不包含跨站脚本漏洞的检测点,从而大量减少在分析检测点阶段与Web服务器交互的次数。另外,通过对获取的检测点进行去重,可有效防止对不同页面中相同检测点的重复检测。实验结果表明,该方法可有效提高跨站脚本漏洞的检测效率。 Crosssite scripting vulnerability has become one of the most serious vulnerabilifies in the lnternet. In order to autodetect XSS vulnerabilities, propose a XSS detection method based on penetration testing. Submit simple string that will not filtered by Web server be fore submit attack vectors, interact with Web server once and then exclude part of the detection points that will not contain crosssite scripting vulnerabilities. When detect the detection points, the times of interaction with Web server will be reduced by this method. Delete the repeated detection points, prevent detecting the same detection points extracted from the Web pages. The experiment result shows that this method can detect XSS vulnerabilities effectively.
作者 王强 蔡皖东 姚烨
机构地区 西北工业大学计算机学院
出处 《计算机技术与发展》 2013年第3期147-151,共5页 Computer Technology and Development
基金 西北工业大学基础研究基金(JC201149) 西北工业大学研究生创业种子基金(Z2012141)
关键词 跨站脚本漏洞 渗透测试 WEB安全 COOKIE XSS vulnerability penetration testing Web security Cookie
分类号 TP393 [自动化与计算机技术—计算机应用技术]
  • 相关文献

参考文献13

  • 1OWASP. Category : OWASP Top Ten Project[ EB/OL]. [ 2012 -01 - 18 ]. http ://owasp. corn/index, php/Category: OWASP_ Top_Ten_Project.
  • 2邱永杰,姜建国.跨站脚本攻击与防御技术研究[D].北京:北京交通大学,2010.
  • 3王夏莉,张玉清.一种基于行为的XSS客户端防范方法[J].中国科学院研究生院学报,2011,28(5):668-675. 被引量:15
  • 4邢斌,高岭,孙骞,杨威.一种自动化的渗透测试系统的设计与实现[J].计算机应用研究,2010,27(4):1384-1387. 被引量:13
  • 5郝永清.黑客Web脚本攻击与防御技术核心剖析[M].北京:科学出版社,2010:78-81.
  • 6OWASP. Cross-site Scripting (XSS) [ EB/OL ]. [ 2011 - 11 - 17 ]. https://www, owasp, org/index, php/Cross-site Scrip- ting_(XSS).
  • 7OWASP. DOM Based XSS [ EB/OL ]. [ 2011 - 11 - 17 ]. ht- tp ://www. owasp, corn/index, php/DOM_Based_XSS.
  • 8罗浩,魏祖宽.基于CLucene和Larbin的企业搜索引擎的研究与实现[D].成都:电子科技大学,2010.
  • 9沈寿忠,张玉清.基于爬虫的XSS漏洞检测工具设计与实现[J].计算机工程,2009,35(21):151-154. 被引量:28
  • 10彭亮,卓新建,黄玮,等.基于网络爬虫的XSS漏洞扫描系统的设计与实现[c]//中国智慧城市论坛论文集.天津:中国学术期刊电子出版社,2011.

二级参考文献27

  • 1周伟,王丽娜,张焕国.一种基于树结构的网络渗透测试系统[J].计算机与数字工程,2006,34(12):15-18. 被引量:5
  • 2Chinotec Technologies Company. Paros--for Web Application Security Assessment[EB/OL]. (2008-08-15). http://www, parosproxy. org/index,shtml.
  • 3OWASE OWASP Testing Project[EB/OL]. (2008-08-10). http:// www.owasp.org/.
  • 4Klein A. DOM Based Cross Site Scripting or XSS of the Third Kind[EB/OL]. (2008-07-28). http://www, Webappsec.org/projeets/ articles/071105.html,.
  • 5Fortify Software Inc.. Cross-site Scripting(XSS)[EB/OL]. (2008-04- 07). http://www.owasp.org/index.php/Cross-site Scripting_(XSS).
  • 6Ismail O, Etoh M, Kadobayashi Y. A Proposal and Implementation of Automatic Detection/Collection System for Cross-site Scripting Vulnerability[C]//Proc. of the 18th International Conference on Advanced Information Networking and Applications. Washington D C., USA: IEEE Computer Society. 2004.
  • 7SCAMBRAY J,McCLURE S,KURTZ G.Hacking exposed[M].2nd ed.[S.l.]:Brooks,2001.
  • 8ARCE I,CACERES M.Automating penetration tests:a new challenge for the IS industry[M].[S.l.]:Core Security Tecnologies,2001.
  • 9徐正强.网络信息安全渗透测试平台研究[D].广州:广东工业大学,2008.
  • 10ISECOM.Open-source security testing methodology manual(OSSTMM2.2)[S/OL].(2006-12-13).http://isecom.securenetltd.com/osstmm.en.2.2.pdf.

共引文献57

同被引文献32

  • 1张博,李伟华.Phishing攻击行为及其防御模型研究[J].计算机科学,2006,33(3):99-100. 被引量:5
  • 2钟晨鸣,徐少培.Web前端黑客技术揭秘[M].北京:电子工业出版社,2013.
  • 3田伟.模型驱动WEB应用SQL注入安全漏洞渗透测试研究[D].天津:南开大学,2012.
  • 4吴晓恒.跨站脚本攻击的防御技术研究[D].上海:上海交通大学,2011.
  • 5OWASP. Category : OWASP TopTen Project[ EB/OL] . https;//www.owasp. org/index. php/Category : OWASP _ Top _ Ten _ Project 2013 ,6,12.
  • 6Ceponis J, Ceponiene L, Venckauskas A, et al. Evaluation of OpenSource Server-Side XSS Protection Solutions [ M ]//Information andSoftware Technologies. Springer Berlin Heidelberg,2013 :345 -356.
  • 7Shar L K,Tan H B K. Automated removal of cross site scripting vulner-abilities in web applications[ J]. Information and Software Technology,2012,54(5) :467~478.
  • 8Fonseca J, Matarese F. Using Vulnerability Injection to Improve WebSecurityf M]//Innovative Technologies for Dependable OTS-Based.
  • 9Critical Systems[ M]. Springer Milan,2013:145 _ 157.
  • 10Kals S,Kirda E,Kruegel C,et al. Secubat. a web vulnerability scanner[C ] //Proceedings of the 15th international conference on World WideWeb. ACM ,2006:247 -256.

引证文献6

二级引证文献37

计算机技术与发展
2013年 第3期

相关作者

内容加载中请稍等...

相关机构

内容加载中请稍等...

相关主题

内容加载中请稍等...

浏览历史

内容加载中请稍等...
;
使用帮助 返回顶部