基于网络爬虫与页面代码行为的XSS漏洞动态检测方法

柳毅; 洪俊斌

doi:10.11959/j.issn.1000-0801.2016068

您当前的位置：

首页 >

文章列表页 >

基于网络爬虫与页面代码行为的XSS漏洞动态检测方法

研究与开发 | 更新时间：2024-06-05

- 基于网络爬虫与页面代码行为的XSS漏洞动态检测方法
- A dynamic detection method based on Web crawler and page code behavior for XSS vulnerability
- 电信科学 2016年32卷第3期页码：87-91
- 作者机构：
- 作者简介：
  
  [ "柳毅（1976-），男，博士，广东工业大学计算机学院副教授，主要研究方向为网络与信息安全。" ]
  [ "洪俊斌（1990-），男，广东工业大学计算机学院硕士生，主要研究方向为网络与信息安全。" ]
- 基金信息：
  
  国家自然科学基金资助项目;The National Natural Science Foundation of China(61572144);广东省自然科学基金资助项目;The Natural Science Foundation of Guangdong(2014A030313517);广东省教育部产学研合作资助项目;Guangdong Provincial Education Department Research Cooperation Project(2014A010103029);广东省科技计划基金资助项目;The Science and Technology Planning Project of Guangdong Province(2013B040500009);广州市科技计划基金资助项目;The Science and Technology Planning Project of Guangzhou(201508010026);广州市科技计划基金资助项目;The Science and Technology Planning Project of Guangzhou(2014J4100201)
- DOI：10.11959/j.issn.1000-0801.2016068
  中图分类号： TP393.08
- 网络出版日期：2016-03，
  
  纸质出版日期：2016-03-20
- 稿件说明：
移动端阅览
柳毅, 洪俊斌. 基于网络爬虫与页面代码行为的XSS漏洞动态检测方法[J]. 电信科学, 2016,32(3):87-91.

Yi LIU, Junbin HONG. A dynamic detection method based on Web crawler and page code behavior for XSS vulnerability[J]. Telecommunication science, 2016, 32(3): 87-91.
柳毅, 洪俊斌. 基于网络爬虫与页面代码行为的XSS漏洞动态检测方法[J]. 电信科学, 2016,32(3):87-91. DOI： 10.11959/j.issn.1000-0801.2016068.

Yi LIU, Junbin HONG. A dynamic detection method based on Web crawler and page code behavior for XSS vulnerability[J]. Telecommunication science, 2016, 32(3): 87-91. DOI： 10.11959/j.issn.1000-0801.2016068.

摘要

XSS漏洞是攻击Web应用程序、获取用户隐私数据的常见漏洞。传统的XSS漏洞检测工具并没有对AJAX Web应用程序进行针对性的检测，在检测精度方面与实际情况存在巨大差距。针对这种情况，对AJAX技术下XSS漏洞的特点进行了分析，提出了一种基于网络爬虫与页面代码行为的动态检测方法。实验结果表明，提出的方法在节省人力、时间成本与漏洞检测方面有较好的表现。

Abstract

XSS vulnerability is a common vulnerability of attacking the Web application and getting the user’s privacy data.Traditional XSS vulnerability detection’s softwares aren’t specially detecting for AJAX Web application.There is a huge disparity in the inspection accuracy.According to this situation，the XSS vulnerability characteristics of AJAX Web applications were described in detail，and a dynamic detection method based on Web crawler and page code behavior was proposed.Experimental results show that the proposed method has good performance in labor-saving，time saving and vulnerability detection effect.

关键词

Keywords

references

， DAHSE J . A vulnerability scanner for different kinds of vulnerabilities [DB/OL ] .[ 2015 - 04 - 09 ] . http://rips-scanner.sourceforge.net,accessed http://rips-scanner.sourceforge.net,accessed .

AN H Y ， SONG Y ， YU T ， et al . A new architecture of AJAX Web application security crawler with finite-state machine [J ] . IEEE Computer Society ， 2014 （ 27 ）： 112 - 117 .

OWASP . Cross site scripting prevention cheat sheet [EB/OL ] .（ 2013 - 12 - 26 ）[ 2014 - 03 - 26 ] . https://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet https://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet .

OWASP . Top ten project [EB/OL ] .（ 2013 - 12 - 03 ）[ 2013 - 12 - 10 ] . https://www.Cwasp.org/index.php/Category:OWASP-Top-TenProject https://www.Cwasp.org/index.php/Category:OWASP-Top-TenProject .

LI Z ， XU X ， LIAO L J ， et al . Using templates combination to generate testing vectors dynamically indetecting Web applications vulnerabilities [J ] . Application Research of Computers ， 2015 ， 32 （ 10 ）： 3004 - 3009 .

CHEN J F ， WANG Y D ， ZHANG Y Q ， et al . Automatic generation of attack vectors for stored-XSS [J ] . Journal of Graduate University of Chinese Academy of Sciences ， 2012 ， 29 （ 6 ）： 815 - 820 .

WANG X L ， ZHANG Y Q . A behavior-based client defense scheme against XSS [J ] . Journal of Graduate University of Chinese Academy of Sciences ， 2011 ， 25 （ 5 ）： 668 - 675 .

CHEN J Q ， ZHANG Y Q . Design and realization of Web cross-site scripting vulnerability detection tool [J ] . Computer Engineering ， 2010 ， 36 （ 6 ）： 152 - 158 .

JIANG H ， XU Z Y ， WANG X . XSS attack defense method based on behavior [J ] . Computer Engineering and Designg ， 2014 ， 35 （ 6 ）： 1911 - 1925 .

GUO X B ， JIN S Y ， ZHANG Y X . XSS vulnerability detection using optimized attack vector repertory [J ] . IEEE Computer Society ， 2015 （ 50 ）： 29 - 36 .

CUI B J ， LONG B L ， HOU T T . Reverse analysis method of static XSS defect detection technique based on database query language [C ] // The Nineth International Conference on P2P，Parallel，Grid，Cloud and Internet Computing（3PGCIC）， November 8 - 10 ， 2014 ， Guangzhou，Guangdong，China . New Jersey ： IEEE Press ， 2014 ： 487 - 491 .

LIU W X ， YU S Z . Research for ACK attacks in network coding [J ] . Journal of Chinese Computer Systems ， 2012 ， 32 （ 7 ）： 1354 - 1359 .

Rsnake . XSS（cross site scripting） cheat sheet [EB/OL ] .[ 2013 - 11 - 15 ] . http://ha.Ckers.org/xss.html http://ha.Ckers.org/xss.html .

WU H Q . White hatter talks about web security [M ] . Beijing ： Publishing House of Electronics Industry ， 2013 ： 152 - 178 .

GUPTA M K ， GOVIL M C ， SINGH G . Predicting cross-site scripting（XSS）security vulnerabilities in Web applications [C ] // 2015 12th International Joint Conference on Computer Science and Software Engineering（JCSSE）， July 22 - 24 ， 2015 ， Songkhla，Thailand . New Jersey ： IEEE Press ， 2015 ： 162 - 167 .

LI Y W ， LIU Z X ， DING S J . Technique for discovering stored XSS vulnerability based on tracing risky data [J ] . Computer Science ， 2014 ， 41 （ 11A ）： 241 - 244 .

QIU Y H . The analysis and defense of XSS attack [M ] . Beijing ： Posts＆Telecom Press ， 2013 .

LI Z J ， ZHANG J X ， LIAO X K . Survey of software vulnerability detection techniques [J ] . Chinese Journal of Computers ， 2015 ， 38 （ 4 ）： 717 - 732 .

HALFOND W G J ， ORSO A ， MANOLIOS P . WASP：protecting web applications using positive tainting and syntax-aware evaluation [J ] . IEEE Transactions on Software Engineering ， 2008 ， 34 （ 1 ）： 65 - 81 .

SAYED B ， TRAORE I . Protection against Web 2.0 client-side web attacks using information flow control [J ] . The 28th International Conference on Advanced Information Networking and Applications Workshops （WAINA）， May 13 - 16 ， 2014 ， Victoria，BC，USA . New Jersey ： IEEE Press ， 2014 ： 261 - 268 .

HELEN K ， SARANDIS M ， CHRISTOS D . An advanced web attack detection and prevention tool [J ] . Information Management＆ Computer Security ， 2011 ， 19 （ 5 ）： 280 - 299 .

浏览量

1113

下载量

CSCD

文章被引用时，请邮件提醒。

提交

工具集

关联资源

基于云平台的分布式高性能网络爬虫的研究与设计

基于文本挖掘与神经网络的音乐风格分类建模方法