基于爬蟲的xss漏洞檢測工具設(shè)計與實現(xiàn)

基于爬蟲的xss漏洞檢測工具設(shè)計與實現(xiàn)

ID:33483390

大?。?.21 MB

頁數(shù):4頁

時間:2019-02-26

基于爬蟲的xss漏洞檢測工具設(shè)計與實現(xiàn)_第1頁
基于爬蟲的xss漏洞檢測工具設(shè)計與實現(xiàn)_第2頁
基于爬蟲的xss漏洞檢測工具設(shè)計與實現(xiàn)_第3頁
基于爬蟲的xss漏洞檢測工具設(shè)計與實現(xiàn)_第4頁
資源描述:

《基于爬蟲的xss漏洞檢測工具設(shè)計與實現(xiàn)》由會員上傳分享,免費在線閱讀,更多相關(guān)內(nèi)容在教育資源-天天文庫。

1、第35卷第21期計算機(jī)工程2009年11月Vol.35No.21ComputerEngineeringNovember2009·安全技術(shù)·文章編號:1000—3428(2009)21—0151—04文獻(xiàn)標(biāo)識碼:A中圖分類號:TP393.08基于爬蟲的XSS漏洞檢測工具設(shè)計與實現(xiàn)1,22沈壽忠,張玉清(1.西安電子科技大學(xué)計算機(jī)網(wǎng)絡(luò)與信息安全教育部重點實驗室,西安710071;2.中國科學(xué)院研究生院國家計算機(jī)網(wǎng)絡(luò)入侵防范中心,北京100043)摘要:通過對XSS漏洞的研究,剖析其產(chǎn)生、利用的方式,在此基礎(chǔ)

2、上針對XSS漏洞的檢測機(jī)制進(jìn)行進(jìn)一步的分析和完善。結(jié)合網(wǎng)絡(luò)爬蟲的技術(shù),研究設(shè)計并實現(xiàn)了一款XSS漏洞的檢測工具(XSS-Scan),并與當(dāng)前比較流行的一些軟件做了分析比較,證明利用該工具可以對Web網(wǎng)站進(jìn)行安全審計,檢測其是否存在XSS漏洞。關(guān)鍵詞:XSS漏洞;Web安全;漏洞;網(wǎng)絡(luò)爬蟲DesignandImplementationofXSSVulnerabilityDetectionToolBasedonCrawler1,22SHENShou-zhong,ZHANGYu-qing(1.KeyLabof

3、ComputerNetworksandInformationSecurity,MinistryofEducation,XidianUniversity,Xi’an710071;2.NationalComputerNetworkIntrusionProtectionCenter,GraduateUniversityofChineseAcademyofSciences,Beijing100043)【Abstract】ThroughthedeepstudyandanalysisoftheCrossSiteSc

4、ripting(XSS)vulnerability,thispaperknowsthathowtheXSSvulnerabilityproducesandtobeused.FurtheranalysisandimprovementaremadeabouttheXSSvulnerability’sdetectionmechanism.ThispaperrealizesanXSSvulnerabilitydetectiontools(XSS-Scan)basedonCrawler’stechnology,a

5、nddoestheanalysisandcomparisonwithsomepopularsoftwares.ThistoolcanbeusedtoaudittheWebsite’ssafetyanddetecttheexistenceofXSSvulnerabilityinit.【Keywords】XSSvulnerability;Websecurity;vulnerability;Crawler1概述在網(wǎng)頁中的其他鏈接地址,然后通過這些鏈接地址尋找下一隨著Internet的發(fā)展,基于Web和數(shù)據(jù)庫架

6、構(gòu)的應(yīng)用系個網(wǎng)頁,這樣一直循環(huán)下去,直到把這個網(wǎng)站所有的網(wǎng)頁都統(tǒng)已經(jīng)逐漸成為主流,廣泛應(yīng)用于企業(yè)內(nèi)部和外部的業(yè)務(wù)系抓取完為止。網(wǎng)絡(luò)爬蟲一般有2種策略:深度優(yōu)先和廣度統(tǒng)中。各種基于Web應(yīng)用的業(yè)務(wù)模式不斷成熟,但是各種網(wǎng)優(yōu)先。絡(luò)安全事件也同時不斷地發(fā)生。據(jù)國家計算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)深度優(yōu)先是指網(wǎng)絡(luò)爬蟲會從起始頁開始,逐個鏈接跟蹤處理協(xié)調(diào)中心(CNCERT/CC)的統(tǒng)計,2007年接收的網(wǎng)絡(luò)仿冒下去,處理完這條線路之后再轉(zhuǎn)入下一個起始頁,繼續(xù)跟蹤事件和網(wǎng)頁惡意代碼事件,分別超出2006年總數(shù)的近1.4倍鏈接。和

7、2.6倍;而2008年5月,我國大陸地區(qū)被篡改網(wǎng)站的數(shù)量廣度優(yōu)先是指網(wǎng)絡(luò)爬蟲會先抓取起始網(wǎng)頁中鏈接的所有就有6915個。各種Web應(yīng)用的安全事件嚴(yán)重影響了Web應(yīng)網(wǎng)頁,然后再選擇其中的一個鏈接網(wǎng)頁,繼續(xù)抓取在此網(wǎng)頁用的發(fā)展,其中基于XSS漏洞的應(yīng)用攻擊尤為嚴(yán)重。中鏈接的所有網(wǎng)頁。這種方式可以讓網(wǎng)絡(luò)爬蟲并行處理,提現(xiàn)有的工具如XSS-Me,AcunetixWebVulnerability高其抓取速度。[1]Scanner,Paros等軟件都可以對Web應(yīng)用程序的XSS漏洞3XSS漏洞進(jìn)行掃描檢測。但這些軟

8、件都或多或少地存在著一些不足。由于HTML語言支持腳本語言嵌入頁面中的機(jī)制,從而如XSS-Me只能針對表單進(jìn)行測試,而且是單頁面的分析,引發(fā)了腳本的安全問題。XSS(Cross-SiteScripting)是最常見并且無法分析框架式的單頁面。AcunetixWebVulnerability的一種應(yīng)用層的攻擊。XSS攻擊基本上是將攻擊代碼注入到Scanner5對框架式的Web應(yīng)用程序及含參超鏈的分析存在各種瀏覽器的解釋過程中,同時利用XSS漏

當(dāng)前文檔最多預(yù)覽五頁,下載文檔查看全文

此文檔下載收益歸作者所有

當(dāng)前文檔最多預(yù)覽五頁,下載文檔查看全文
溫馨提示:
1. 部分包含數(shù)學(xué)公式或PPT動畫的文件,查看預(yù)覽時可能會顯示錯亂或異常,文件下載后無此問題,請放心下載。
2. 本文檔由用戶上傳,版權(quán)歸屬用戶,天天文庫負(fù)責(zé)整理代發(fā)布。如果您對本文檔版權(quán)有爭議請及時聯(lián)系客服。
3. 下載前請仔細(xì)閱讀文檔內(nèi)容,確認(rèn)文檔內(nèi)容符合您的需求后進(jìn)行下載,若出現(xiàn)內(nèi)容與標(biāo)題不符可向本站投訴處理。
4. 下載文檔時可能由于網(wǎng)絡(luò)波動等原因無法下載或下載錯誤,付費完成后未能成功下載的用戶請聯(lián)系客服處理。