Web應用存儲型XSS漏洞檢測方法研究.pdf

1、隨著互聯網技術的快速發(fā)展，Web應用被大量開發(fā)來提供各種服務，使人們生活更加便利。而針對Web應用安全漏洞的攻擊對各類網站構成了嚴重威脅。目前，跨站腳本(XSS)攻擊作為互聯網中攻擊數量最多的手段，已得到人們的廣泛關注?？缯灸_本分為兩種類型：反射型XSS和存儲型XSS。針對反射型 XSS攻擊，已有許多有效的方法及工具對其進行阻止和檢測，但對于存儲惡意腳本到后端數據庫的存儲型 XSS攻擊的檢測方法存在著很多的不足之處。
　　本文介紹

2、了存儲型 XSS漏洞攻擊原理，定義了攻擊向量的巴科諾爾斯范式(BNF)語法，提出使用BNF生成式自動生成初始攻擊向量，并對其進行不同類型的變異處理，使用輔助標記自動檢測存儲型 XSS漏洞的動態(tài)檢測方法。該方法由靜態(tài)爬取和動態(tài)測試組成。在靜態(tài)爬取階段，爬取 Web應用找到所有可能的注入點及展現注入信息的相關頁面；在動態(tài)測試階段，對找到的注入點使用攻擊向量構造惡意數據包提交至服務器模擬攻擊，并在對應展現頁面進行匹配查找，確定漏洞的存在。最后