發(fā)布時間：2020-07-23 21:50

【摘要】：隨著高速發(fā)展的互聯(lián)網(wǎng)技術(shù),Web應(yīng)用在人們的生活中,發(fā)揮著越來越重要的作用。然而,由于Web技術(shù)人員的技術(shù)好壞不一,這造成Web應(yīng)用可能含有隱藏的安全問題。在這些安全問題中,跨站腳本(XSS)漏洞是一種危害極大的Web應(yīng)用漏洞。從2004年以來,在OWASP公布的十大應(yīng)用安全風險中,XSS一直位列其中。而相較于將XSS代碼嵌入URL中而發(fā)揮作用的反射型XSS,需要通過將XSS代碼提前注入服務(wù)器數(shù)據(jù)庫中的存儲型XSS,危害更大,造成影響的時間更長,所以針對存儲型XSS漏洞進行研究有實用意義。目前針對存儲型XSS漏洞檢測的研究還不是很充足,常用的檢測方法為白盒與黑盒測試方法。白盒測試對應(yīng)用源碼的具有較高的依賴性,需要測試人員獲取所有源代碼并且了解,完成對代碼的審計工作。這種檢測方法的實現(xiàn)一般依賴于編程語言,可移植性差。而對于黑盒測試來說,測試人員不需要了解應(yīng)用源碼,只需要站在用戶的角度進行測試即可。一般依賴于爬蟲算法獲取網(wǎng)頁信息,在眾多的網(wǎng)頁中查找可能的注入點,然而,在使用爬蟲算法的時候,往往只關(guān)注提高爬蟲的速度而忽略了某些網(wǎng)站的反爬蟲規(guī)則,從而造成爬蟲的失敗。同時,攻擊向量的完備性與有效性也與漏洞檢測的效率有關(guān),常用的方法是模糊測試技術(shù)。模糊測試技術(shù)往往是對目標網(wǎng)站發(fā)送很多隨機構(gòu)建的沒有絲毫意義的數(shù)據(jù),然后根據(jù)對響應(yīng)結(jié)果的分析來判定漏洞的存在與否。這些隨機的數(shù)據(jù)往往沒有明確的意義和指向性,存在較大的盲目性。而鑒于遺傳算法具有相對簡單的思想,運行的方式和實現(xiàn)大大依賴于具體的問題、容易實現(xiàn)并行開發(fā)、能夠得到較高的全局最優(yōu)解等特點,本文采用遺傳算法對已有的攻擊向量變形,生成適應(yīng)被測網(wǎng)站的攻擊向量。并且為了后期檢測漏洞的效率,借助決策樹算法對攻擊向量進行分類。綜上所述,本文深入研究了存儲型XSS漏洞檢測的相關(guān)內(nèi)容,主要研究內(nèi)容如下:(1)提出了基于網(wǎng)絡(luò)爬蟲技術(shù)查找存儲型XSS漏洞注入點的方法,該方法使用廣度優(yōu)先搜索策略對網(wǎng)站進行爬取,并對獲得的網(wǎng)頁進行分析,將含有Form表單的頁面作為含有注入點的頁面,并通過提交“探子”確定各個注入點的展示頁面以及輸出位置,以此減少后期在檢測漏洞時避免全站掃描,提高速度。(2)提出了基于遺傳算法與決策樹算法結(jié)合生成與優(yōu)化攻擊向量的方法。對攻擊向量分析之后,對攻擊向量進行形式化描述,處理為便于遺傳算法處理的攻擊向量。并在遺傳算法中,提出采用改進的one-hot編碼作為基因編碼方法,針對編碼方式設(shè)計了交叉與變異算子。然后對攻擊向量分類,最終得到能夠適應(yīng)待檢測網(wǎng)站的攻擊向量。(3)提出了動態(tài)判定網(wǎng)站漏洞是否存在的方法。利用selenium實現(xiàn)模擬攻擊之后,對響應(yīng)結(jié)果進行分析。為了提高檢測速度,根據(jù)爬蟲階段分析到的注入點信息提取關(guān)于展示頁面以及內(nèi)容輸出的所在標簽,運用字符串匹配算法時,直接定位到輸出位置,避免全網(wǎng)頁的匹配。(4)根據(jù)上述提到的方法,設(shè)計并實現(xiàn)了針對存儲型XSS漏洞檢測的系統(tǒng)。系統(tǒng)整體采用python語言實現(xiàn),移植方法簡單且使用也簡單,無論處于何種操作系統(tǒng)下,只需安裝好python環(huán)境以及相關(guān)模塊,即可通過運行命令進行檢測,最終的檢測結(jié)果以及爬取到的網(wǎng)頁URL都將會保存在本地的文檔中。針對上述的存儲型XSS漏洞檢測系統(tǒng)設(shè)計了測試方案,并進行了相關(guān)的對比實驗,驗證了該系統(tǒng)的有效性以及實用性。
【學位授予單位】：北京工業(yè)大學
【學位級別】：碩士
【學位授予年份】：2019
【分類號】：TP393.08
【圖文】：

圖 1-2 2016 年網(wǎng)站衛(wèi)士攔截漏洞攻擊類型分布Figure 1-2 The Type Distribution of Web Guard Interception Vulnerability Attacks in 2016

- 2 -圖 1-3 CNVD2018 年 12 月份漏洞類型分布圖Figure 1-3 CNVD 2018 Vulnerability Type Distribution Map綜合上述分析，在互聯(lián)網(wǎng)高速發(fā)展的今天，為了 Web 應(yīng)用的安全，在應(yīng)用上線之前對代碼進行審計時， 在公司內(nèi)部提供的 Web 應(yīng)用的測試環(huán)境趨于簡單，這時分析漏洞雖然便于操作與實現(xiàn)，但是并不能提高漏洞的發(fā)現(xiàn)率。模擬互聯(lián)網(wǎng)真實的復雜環(huán)境，進而對應(yīng)用進行檢測，這是提高應(yīng)用安全性的重要方法之一。因此，通過對存儲型 XSS 漏洞的研究，研究一套在未知應(yīng)用代碼的情

圖 2-1 反射型 XSS 攻擊原理Figure 2-1 Reflective XSS Attacks(2) 存儲型 XSS：存儲型 XSS 又稱為持久性 XSS。與反射型 XSS 不同的是儲型 XSS 會將提交的惡意代碼存儲在 Web 應(yīng)用的后臺數(shù)據(jù)庫中。攻擊者繞過 Web 應(yīng)用的過濾等手段將惡意代碼存儲在 Web 應(yīng)用的數(shù)據(jù)庫中，并續(xù)的訪問過程中，在其他用戶或管理員的頁面展示出來[5]。當正常用戶瀏相應(yīng)的展示頁面時，數(shù)據(jù)庫中的惡意代碼將會以可執(zhí)行的代碼形式輸出eb 應(yīng)用的源代碼中，并且被瀏覽器解析執(zhí)行。存儲型 XSS 通常出現(xiàn)在網(wǎng)站言、評論等可以與后臺進行動態(tài)交互處[27]。這類 XSS 造成的危害更大，影廣，一般被認為是高�；驀乐氐娘L險，這與其一次成功注入可以影響所有該網(wǎng)站的用戶有關(guān)。

【相似文獻】

相關(guān)期刊論文 前10條

1 馮錦春;楊林建;;利用遺傳算法進行機械優(yōu)化[J];四川工程職業(yè)技術(shù)學院學報;2007年06期

2 任志鳳;胡小建;孫太生;徐飛;李云良;;遺傳算法在焊接領(lǐng)域的優(yōu)化與應(yīng)用[J];現(xiàn)代焊接;2012年03期

3 李振業(yè);陳婷;陳靜;;基于遺傳算法的旅游最優(yōu)路徑探究[J];電腦知識與技術(shù);2018年34期

4 唐文琦;曾干敏;劉澤宇;;淺談遺傳算法及其部分改進算法[J];科技風;2019年12期

5 李巖;袁弘宇;于佳喬;張更偉;劉克平;;遺傳算法在優(yōu)化問題中的應(yīng)用綜述[J];山東工業(yè)技術(shù);2019年12期

6 魏曉玲;;一種改進遺傳算法及驗證[J];電腦編程技巧與維護;2019年06期

7 馮雙林;靳繼紅;;現(xiàn)代農(nóng)機數(shù)字化裝配車間調(diào)度技術(shù)研究——基于云計算和遺傳算法[J];農(nóng)機化研究;2018年01期

8 梁肖;周湘貞;;基于遺傳算法的小麥收割機路徑智能優(yōu)化控制研究[J];農(nóng)機化研究;2018年02期

9 王勇;孫耀南;;基于遺傳算法的醫(yī)院房間位置優(yōu)化研究[J];電腦與信息技術(shù);2018年01期

10 李超;王杰;史運濤;李錦龍;;基于遺傳算法的汽油調(diào)和優(yōu)化系統(tǒng)[J];工業(yè)控制計算機;2018年10期

相關(guān)會議論文 前10條

1 謝宏;袁小芳;向啟均;陳yN婧;王立宸;;機器人慣性參數(shù)的改進遺傳算法辨識方法研究[A];第37屆中國控制會議論文集（B）[C];2018年

2 彭軍;徐本柱;劉曉平;;遺傳算法的實現(xiàn)及其在生產(chǎn)調(diào)度中的應(yīng)用[A];全國第20屆計算機技術(shù)與應(yīng)用學術(shù)會議（CACIS·2009）暨全國第1屆安全關(guān)鍵技術(shù)與應(yīng)用學術(shù)會議論文集（上冊）[C];2009年

3 韓戰(zhàn)鋼;;遺傳算法及在經(jīng)濟中的應(yīng)用[A];Optimization Method, Econophysics and Risk Management--Proceedings of CCAST (World Laboratory) Workshop[C];2001年

4 賴梅;熊麗榮;;基于改進遺傳算法的乘務(wù)交路優(yōu)化問題研究[A];第二十一屆中國控制會議論文集[C];2002年

5 肖龍光;丁曉東;;基于理性變異的遺傳算法[A];第六屆中國青年運籌與管理學者大會論文集[C];2004年

6 鞠訓光;于洪珍;;求整體優(yōu)化全部解的區(qū)間排除遺傳算法[A];第十七屆全國過路控制會議論文集[C];2006年

7 劉興隆;;快速進化式遺傳算法[A];“電力大系統(tǒng)災(zāi)變防治和經(jīng)濟運行重大課題”部分專題暨第九屆全國電工數(shù)學學術(shù)年會論文集[C];2003年

8 談斌;唐力鐵;張己化;周海云;;遺傳算法在漫反射系數(shù)計算中的應(yīng)用研究[A];2007年光電探測與制導技術(shù)的發(fā)展與應(yīng)用研討會論文集[C];2007年

9 任燕翔;姜立;劉連民;從滋慶;;改進遺傳算法在三維日照方案優(yōu)化中的應(yīng)用[A];工程三維模型與虛擬現(xiàn)實表現(xiàn)——第二屆工程建設(shè)計算機應(yīng)用創(chuàng)新論壇論文集[C];2009年

10 蔡亞星;李偉明;尚飛;任武;薛正輝;高本慶;;雙種群遺傳算法進行陣列天線綜合[A];2005'全國微波毫米波會議論文集（第三冊）[C];2006年

相關(guān)重要報紙文章 前10條

1 郭勉愈　編譯;遺傳算法：讓發(fā)明自動“進化”[N];科學時報;2011年

2 上�？茖W院規(guī)劃研究處 劉小玲;上海能否成為人工智能城市[N];解放日報;2017年

3 記者 常麗君;科學家首次將遺傳算法用于量子模擬[N];科技日報;2016年

4 林京;《神經(jīng)網(wǎng)絡(luò)和遺傳算法在水科學領(lǐng)域的應(yīng)用》將面市[N];中國水利報;2002年

5 記者 李星婷;2014中國生命電子學術(shù)年會在渝召開[N];重慶日報;2014年

6 記者 劉霞;美用遺傳算法逆向設(shè)計新型納米材料[N];科技日報;2013年

7 高雪娟;協(xié)同設(shè)計的平臺策略[N];中國計算機報;2006年

8 陳巍;浩辰有望在協(xié)同設(shè)計關(guān)鍵領(lǐng)域取得突破 引領(lǐng)CAD應(yīng)用新潮流[N];大眾科技報;2006年

9 本報記者 李元麗;堅持自主創(chuàng)新 掀起AI+教育的中國浪潮[N];人民政協(xié)報;2018年

10 高峰;美國真能毀掉中國？[N];世界報;2012年

相關(guān)博士學位論文 前10條

1 孫秋紅;基于遺傳算法的水質(zhì)數(shù)據(jù)挖掘與應(yīng)用研究[D];燕山大學;2016年

2 金小敏;移動云環(huán)境中的計算遷移系統(tǒng)關(guān)鍵技術(shù)研究[D];北京郵電大學;2018年

3 王小港;遺傳算法在VLSI設(shè)計自動化中的應(yīng)用研究[D];中國科學院上海冶金研究所;2001年

4 宋曉峰;優(yōu)生演進優(yōu)化和統(tǒng)計學習建模[D];浙江大學;2003年

5 吳大宏;基于遺傳算法與神經(jīng)網(wǎng)絡(luò)的橋梁結(jié)構(gòu)健康監(jiān)測系統(tǒng)研究[D];西南交通大學;2003年

6 卜雷;城市貨物運輸規(guī)劃優(yōu)化方法研究[D];西南交通大學;2004年

7 廖平;基于遺傳算法的形狀誤差計算研究[D];中南大學;2002年

8 李智勇;模式交流多群體遺傳算法及其在神經(jīng)網(wǎng)絡(luò)進化建模中的應(yīng)用[D];湖南大學;2003年

9 陳星;網(wǎng)絡(luò)并行和遺傳算法在HPM生物效應(yīng)評價和輻射天線設(shè)計中的應(yīng)用研究[D];四川大學;2004年

10 金菊良;遺傳算法及其在水問題中的應(yīng)用[D];河海大學;1998年

相關(guān)碩士學位論文 前10條

1 郁勝過;基于遺傳算法的光頻域反射頻譜分析算法研究[D];上海交通大學;2017年

2 宋黎;基于遺傳算法的通信基站規(guī)劃方法研究[D];大連理工大學;2019年

3 高長勇;基于自動化分揀線的復雜訂單分解算法的研究與實現(xiàn)[D];機械科學研究總院;2019年

4 宋燁華;基于改進遺傳算法的小行星交會軌跡規(guī)劃技術(shù)[D];北京理工大學;2016年

5 丁甜甜;基于遺傳算法的線路縱斷面優(yōu)化研究[D];石家莊鐵道大學;2019年

6 楊震;基于改進遺傳算法的無線傳感網(wǎng)絡(luò)覆蓋優(yōu)化研究[D];重慶三峽學院;2019年

7 劉美辛;H超市配送中心貨位分配研究[D];石家莊鐵道大學;2019年

8 許永磊;基于遺傳算法與強化學習的機位分配研究[D];華中科技大學;2019年

9 李呈隆;基于遺傳算法的對抗文本生成方法研究[D];華中科技大學;2019年

10 鐘慧超;基于強化遺傳算法的車間調(diào)度方法研究[D];華中科技大學;2019年

本文編號：2767886