基于反过滤规则集和自动爬虫的XSS漏洞深度挖掘技术

被引：14

作者：

吴子敬 ^{[1
]}

张宪忠 ^{[1
]}

管磊 ^{[2
]}

胡光俊 ^{[2
]}

机构：

[1] 齐齐哈尔大学应用技术学院

[2] 公安部第一研究所

来源：

北京理工大学学报 | 2012年 / 32卷 / 04期

关键词：

跨站; XSS反过滤; XSS漏洞挖掘; 自动爬虫;

D O I：

10.15918/j.tbit1001-0645.2012.04.009

中图分类号：

TP393.08 [];

学科分类号：

0839 ; 1402 ;

摘要：

为解决Web网站跨站脚本攻击(XSS)问题,通过对XSS漏洞特征及过滤方式的分析,提出了通过反过滤规则集转换XSS代码并用自动爬虫程序实现漏洞代码的自动注入和可用性检验的XSS漏洞挖掘技术,依此方法可以获取XSS漏洞代码的转换形式及漏洞的注入入口,以实现对Web跨站漏洞深度挖掘.提出的XSS漏洞挖掘技术在邮箱XSS漏洞挖掘及Web网站XSS漏洞检测方面的实际应用验证了该技术的有效性.

引用

页码：395 / 401

页数：7

共 5 条

[1] Web应用程序客户端恶意代码技术研究与进展
黄玮
崔宝江
胡正名
[J]. 电信科学, 2009, 25 (02) : 72 - 79
[2] 跨站脚本XSS安全漏洞
褚诚云
[J]. 程序员, 2008, (11) : 97 - 99
[3] 论跨站脚本(XSS)攻击的危害、成因及防范
陈嘉迅
[J]. 网络与信息, 2008, (09) : 80 - 80
[4] XSSDS:Server-side Detection of Cross-site Scripting Attacks .2 Johns M,Engelmann B,Posegga J. Proc.of Computer Security Applications Conference . 2008
[5] DOM Based Cross Site Scripting or XSS of the Third Kind .2 Amit Klein. . 2005

← 1 →