跨站脚本漏洞渗透测试技术

被引：7

作者：

王丹

顾明昌

赵文兵

机构：

[1] 北京工业大学计算机学院

来源：

哈尔滨工程大学学报 | 2017年 / 38卷 / 11期

基金：

北京市自然科学基金; 国家自然科学基金重大研究计划;

关键词：

跨站脚本漏洞; 渗透测试; 隐马尔科夫模型; 攻击向量; 注入点;

D O I：

暂无

中图分类号：

TP393.08 [];

学科分类号：

0839 ; 1402 ;

摘要：

为提升跨站脚本(XSS)漏洞检测方法的检测效果,本文提出了基于隐马尔科夫模型(HMM)的攻击向量动态生成和优化方法。采用决策树模型和代码混淆策略对攻击向量进行分类和变形,获得测试用攻击向量。使用注入点去重处理和探子技术去除一部分不存在XSS漏洞的Web页面,避免重复检测不同Web页面中相同的漏洞注入点,减少测试阶段与Web服务器的交互次数;进一步采用XPath路径定位技术提高漏洞检测结果分析的效率。对比实验结果表明,本文提出的方法降低了响应时间和漏报率,提高了检测效率。

引用

页码：1769 / 1774

页数：6

共 7 条

[1] 基于模糊测试和遗传算法的XSS漏洞挖掘 [J].

程诚 ;

周彦晖 .

计算机科学, 2016, 43(S1) (S1) :328-331+364

[2] Stored-XSS漏洞检测的研究与设计 [J].

李冰 ;

赵逢禹 .

计算机应用与软件, 2013, 30 (03) :17-21

[3]

基于特征注入的XSS漏洞检测模型研究.[D].张伟伟.兰州理工大学.2016, 04

[4]

基于爬虫和模糊测试的XSS漏洞检测工具设计与实现.[D].王云.华南理工大学.2015, 12

[5]

基于决策树算法的Web客户端脚本安全检测研究.[D].莫勇.北京林业大学.2015, 12

[6]

JS‐SAN: defense mechanism for HTML5‐based web applications against javascript code injection vulnerabilities.[J].Shashank Gupta;B. B. Gupta.Security and Communication Networks.2016, 11

[7]

Securing web applications from injection and logic vulnerabilities: Approaches and challenges.[J].G. Deepa;P. Santhi Thilagam.Information and Software Technology.2016,

← 1 →