本文關(guān)鍵詞：一種基于模擬瀏覽器行為的XSS漏洞檢測(cè)系統(tǒng)的研究與設(shè)計(jì)

  更多相關(guān)文章： XSS漏洞 爬蟲框架 瀏覽器 黑盒測(cè)試

【摘要】：近年來,隨著Web應(yīng)用和HTML5的普及,Web安全問題也日益突出。OWASP公布的2013年十大Web應(yīng)用安全風(fēng)險(xiǎn)中,跨站腳本漏洞XSS(Cross Site Scripting)名列第三,已成為當(dāng)前各類Web應(yīng)用需要共同面對(duì)的常見安全風(fēng)險(xiǎn)之一。目前針對(duì)自動(dòng)化XSS漏洞檢測(cè)工具的研究還不是很充足,傳統(tǒng)的基于靜態(tài)爬蟲爬取頁面的方法對(duì)漏洞注入點(diǎn)的檢測(cè)覆蓋率還不是很高,無法很好地應(yīng)對(duì)復(fù)雜網(wǎng)頁格式下注入點(diǎn)產(chǎn)生的多種途徑,例如有些注入點(diǎn)需要通過用戶操作,如點(diǎn)擊某個(gè)按鈕,使瀏覽器解析JavaScript或加載Ajax才能生成;有些注入點(diǎn)則不存在于表單中,需要分析網(wǎng)頁結(jié)構(gòu)才能找到其提交方式。同時(shí),在漏洞檢測(cè)方面,傳統(tǒng)方法也不能很好地動(dòng)態(tài)分析目標(biāo)站點(diǎn)的回應(yīng)信息,從而不能夠準(zhǔn)確地判斷出XSS漏洞是否存在。針對(duì)上述問題,本文對(duì)自動(dòng)化XSS漏洞檢測(cè)系統(tǒng)的爬取頁面、提取注入點(diǎn)、進(jìn)行攻擊測(cè)試和分析結(jié)果四個(gè)步驟進(jìn)行了深入研究,主要研究內(nèi)容如下:(1)研究了Web頁面漏洞注入點(diǎn)的自動(dòng)獲取方法,以解決傳統(tǒng)靜態(tài)爬蟲對(duì)XSS漏洞注入點(diǎn)覆蓋率小的問題,提出了基于Headless browser的Web頁面爬蟲框架,該框架含有瀏覽器的內(nèi)核,可以模擬瀏覽器行為來解析JavaScript和加載Ajax以得到頁面中隱藏式注入點(diǎn),同時(shí)可以分析頁面的DOM結(jié)構(gòu)以得到頁面中的非格式化注入點(diǎn)。通過分析總結(jié)了各種注入點(diǎn)和交互點(diǎn)的可能的特征,本文設(shè)計(jì)并實(shí)現(xiàn)的動(dòng)態(tài)爬蟲模塊可以獲取大量因網(wǎng)頁格式越來越多樣化而產(chǎn)生的非格式化注入點(diǎn),包括那些既不存在于表單中,也不通過傳統(tǒng)的submit方式提交,而是在用戶點(diǎn)擊某個(gè)按鈕后,通過JavaScript合成請(qǐng)求提交到服務(wù)器的注入點(diǎn)。(2)提出了一種高效的通過提交攻擊向量判斷XSS漏洞是否存在的方法。設(shè)計(jì)并實(shí)現(xiàn)了可動(dòng)態(tài)識(shí)別XSS漏洞的自動(dòng)化檢測(cè)模塊。在提交攻擊向量請(qǐng)求后,可以判斷返回頁面是否有異常的瀏覽器行為,并且,借助第三方服務(wù)器動(dòng)態(tài)判斷頁面返回后的結(jié)果。如果攻擊向量中含有對(duì)該服務(wù)器的請(qǐng)求,則系統(tǒng)會(huì)自動(dòng)分析第三方服務(wù)器的狀態(tài),判斷返回頁面是否執(zhí)行了這一請(qǐng)求從而判斷出當(dāng)前注入點(diǎn)是否存在漏洞。該系統(tǒng)完全采用Python語言開發(fā),具有易于維護(hù)和進(jìn)行二次開發(fā)的特點(diǎn),對(duì)XSS漏洞的檢測(cè)與研究有非常重要的應(yīng)用價(jià)值。(3)設(shè)計(jì)并實(shí)現(xiàn)了功能友好的用戶交互界面。該系統(tǒng)的用戶交互界面基于PyQt庫設(shè)計(jì),使得該模塊可以跨平臺(tái),在各種操作系統(tǒng)上顯示統(tǒng)一的用戶界面,方便系統(tǒng)的運(yùn)行。同時(shí),該模塊也對(duì)爬蟲爬取頁面的信息、檢測(cè)注入點(diǎn)時(shí)結(jié)果匯報(bào)的信息進(jìn)行了整理,并以豐富的格式進(jìn)行顯示。此外,該模塊提供了用戶自定義攻擊向量、以及獲取和設(shè)置Cookie等功能,用戶可以在系統(tǒng)中直接登錄目標(biāo)頁面并將登錄狀態(tài)保存下來,之后檢測(cè)時(shí),該系統(tǒng)可以加載保存的Cookie文件,以爬取含有正確Cookie時(shí)才能爬取到的內(nèi)容。
【關(guān)鍵詞】：XSS漏洞 爬蟲框架 瀏覽器 黑盒測(cè)試
【學(xué)位授予單位】：北京工業(yè)大學(xué)
【學(xué)位級(jí)別】：碩士
【學(xué)位授予年份】：2016
【分類號(hào)】：TP393.08;TP393.092
【目錄】：

• 摘要4-6
• Abstract6-10
• 第1章 緒論10-20
• 1.1 選題背景與研究意義10-13
• 1.2 國內(nèi)外研究現(xiàn)狀13-16
• 1.2.1 研究現(xiàn)狀概述13-14
• 1.2.2 研究現(xiàn)狀問題分析14-16
• 1.3 本文的研究內(nèi)容16-17
• 1.4 本文組織結(jié)構(gòu)17-20
• 第2章 關(guān)鍵技術(shù)20-26
• 2.1 XSS漏洞檢測(cè)相關(guān)技術(shù)20-23
• 2.1.1 XSS漏洞的利用20-22
• 2.1.2 白盒測(cè)試與黑盒測(cè)試22-23
• 2.2 Headless browser相關(guān)技術(shù)23-24
• 2.2.1 Headless browser概述23-24
• 2.2.2 Headless browser庫對(duì)比24
• 2.3 網(wǎng)頁解析技術(shù)24-25
• 2.4 本章小結(jié)25-26
• 第3章 模擬瀏覽器行為的XSS漏洞檢測(cè)系統(tǒng)的框架設(shè)計(jì)26-32
• 3.1 相關(guān)術(shù)語定義26
• 3.2 系統(tǒng)設(shè)計(jì)目標(biāo)26-27
• 3.3 系統(tǒng)設(shè)計(jì)思路27-28
• 3.4 系統(tǒng)功能架構(gòu)28-29
• 3.5 功能模塊設(shè)計(jì)29-30
• 3.6 本章小結(jié)30-32
• 第4章 模擬瀏覽器行為的XSS漏洞檢測(cè)系統(tǒng)的實(shí)現(xiàn)32-46
• 4.1 相關(guān)數(shù)據(jù)結(jié)構(gòu)設(shè)計(jì)32-33
• 4.2 爬蟲算法設(shè)計(jì)及執(zhí)行過程33-36
• 4.3 漏洞檢測(cè)和頁面響應(yīng)分析36-42
• 4.3.1 Web頁面漏洞注入點(diǎn)的提取36-38
• 4.3.2 XSS漏洞攻擊向量的設(shè)計(jì)38-40
• 4.3.3 XSS漏洞攻擊向量的生成40-41
• 4.3.4 漏洞的動(dòng)態(tài)判別41-42
• 4.4 用戶界面設(shè)計(jì)42-44
• 4.5 本章小結(jié)44-46
• 第5章 模擬瀏覽器行為的XSS漏洞檢測(cè)系統(tǒng)的測(cè)試46-54
• 5.1 測(cè)試環(huán)境46-47
• 5.1.1 硬件環(huán)境46
• 5.1.2 服務(wù)器環(huán)境46-47
• 5.1.3 實(shí)驗(yàn)環(huán)境的部署過程47
• 5.2 測(cè)試方案47-53
• 5.2.1 功能測(cè)試47-51
• 5.2.2 對(duì)比測(cè)試51-53
• 5.3 結(jié)果分析53
• 5.4 本章小結(jié)53-54
• 結(jié)論54-56
• 參考文獻(xiàn)56-60
• 攻讀碩士學(xué)位期間獲得的科研成果60-62
• 致謝62

，

本文編號(hào)：588488