資源描述:
《基于爬蟲的xss漏洞檢測工具設(shè)計與實現(xiàn)》由會員上傳分享,免費在線閱讀,更多相關(guān)內(nèi)容在教育資源-天天文庫。
1、第35卷第21期計算機(jī)工程2009年11月Vol.35No.21ComputerEngineeringNovember2009·安全技術(shù)·文章編號:1000—3428(2009)21—0151—04文獻(xiàn)標(biāo)識碼:A中圖分類號:TP393.08基于爬蟲的XSS漏洞檢測工具設(shè)計與實現(xiàn)1,22沈壽忠,張玉清(1.西安電子科技大學(xué)計算機(jī)網(wǎng)絡(luò)與信息安全教育部重點實驗室,西安710071;2.中國科學(xué)院研究生院國家計算機(jī)網(wǎng)絡(luò)入侵防范中心,北京100043)摘要:通過對XSS漏洞的研究,剖析其產(chǎn)生、利用的方式,在此基礎(chǔ)
2、上針對XSS漏洞的檢測機(jī)制進(jìn)行進(jìn)一步的分析和完善。結(jié)合網(wǎng)絡(luò)爬蟲的技術(shù),研究設(shè)計并實現(xiàn)了一款XSS漏洞的檢測工具(XSS-Scan),并與當(dāng)前比較流行的一些軟件做了分析比較,證明利用該工具可以對Web網(wǎng)站進(jìn)行安全審計,檢測其是否存在XSS漏洞。關(guān)鍵詞:XSS漏洞;Web安全;漏洞;網(wǎng)絡(luò)爬蟲DesignandImplementationofXSSVulnerabilityDetectionToolBasedonCrawler1,22SHENShou-zhong,ZHANGYu-qing(1.KeyLabof
3、ComputerNetworksandInformationSecurity,MinistryofEducation,XidianUniversity,Xi’an710071;2.NationalComputerNetworkIntrusionProtectionCenter,GraduateUniversityofChineseAcademyofSciences,Beijing100043)【Abstract】ThroughthedeepstudyandanalysisoftheCrossSiteSc
4、ripting(XSS)vulnerability,thispaperknowsthathowtheXSSvulnerabilityproducesandtobeused.FurtheranalysisandimprovementaremadeabouttheXSSvulnerability’sdetectionmechanism.ThispaperrealizesanXSSvulnerabilitydetectiontools(XSS-Scan)basedonCrawler’stechnology,a
5、nddoestheanalysisandcomparisonwithsomepopularsoftwares.ThistoolcanbeusedtoaudittheWebsite’ssafetyanddetecttheexistenceofXSSvulnerabilityinit.【Keywords】XSSvulnerability;Websecurity;vulnerability;Crawler1概述在網(wǎng)頁中的其他鏈接地址,然后通過這些鏈接地址尋找下一隨著Internet的發(fā)展,基于Web和數(shù)據(jù)庫架
6、構(gòu)的應(yīng)用系個網(wǎng)頁,這樣一直循環(huán)下去,直到把這個網(wǎng)站所有的網(wǎng)頁都統(tǒng)已經(jīng)逐漸成為主流,廣泛應(yīng)用于企業(yè)內(nèi)部和外部的業(yè)務(wù)系抓取完為止。網(wǎng)絡(luò)爬蟲一般有2種策略:深度優(yōu)先和廣度統(tǒng)中。各種基于Web應(yīng)用的業(yè)務(wù)模式不斷成熟,但是各種網(wǎng)優(yōu)先。絡(luò)安全事件也同時不斷地發(fā)生。據(jù)國家計算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)深度優(yōu)先是指網(wǎng)絡(luò)爬蟲會從起始頁開始,逐個鏈接跟蹤處理協(xié)調(diào)中心(CNCERT/CC)的統(tǒng)計,2007年接收的網(wǎng)絡(luò)仿冒下去,處理完這條線路之后再轉(zhuǎn)入下一個起始頁,繼續(xù)跟蹤事件和網(wǎng)頁惡意代碼事件,分別超出2006年總數(shù)的近1.4倍鏈接。和
7、2.6倍;而2008年5月,我國大陸地區(qū)被篡改網(wǎng)站的數(shù)量廣度優(yōu)先是指網(wǎng)絡(luò)爬蟲會先抓取起始網(wǎng)頁中鏈接的所有就有6915個。各種Web應(yīng)用的安全事件嚴(yán)重影響了Web應(yīng)網(wǎng)頁,然后再選擇其中的一個鏈接網(wǎng)頁,繼續(xù)抓取在此網(wǎng)頁用的發(fā)展,其中基于XSS漏洞的應(yīng)用攻擊尤為嚴(yán)重。中鏈接的所有網(wǎng)頁。這種方式可以讓網(wǎng)絡(luò)爬蟲并行處理,提現(xiàn)有的工具如XSS-Me,AcunetixWebVulnerability高其抓取速度。[1]Scanner,Paros等軟件都可以對Web應(yīng)用程序的XSS漏洞3XSS漏洞進(jìn)行掃描檢測。但這些軟
8、件都或多或少地存在著一些不足。由于HTML語言支持腳本語言嵌入頁面中的機(jī)制,從而如XSS-Me只能針對表單進(jìn)行測試,而且是單頁面的分析,引發(fā)了腳本的安全問題。XSS(Cross-SiteScripting)是最常見并且無法分析框架式的單頁面。AcunetixWebVulnerability的一種應(yīng)用層的攻擊。XSS攻擊基本上是將攻擊代碼注入到Scanner5對框架式的Web應(yīng)用程序及含參超鏈的分析存在各種瀏覽器的解釋過程中,同時利用XSS漏