面向WEB应用程序的输入功能测试与XSS漏洞检测

发布时间：2020-04-02 00:08

【摘要】：WEB应用程序是目前世界上最流行的软件之一,然而不断出现的故障和漏洞表明开发者对这类程序的测试还不够充分。如果服务器程序没有对用户输人的合法性进行充分的验证,可能会造成系统功能异常甚至带来安全隐患,比如XSS漏洞。很多黑盒测试工具会事先收集大量的Payload并通过遍历全部Payload的方式来检测XSS漏洞,这种方法的效率并不高,已有的研究工作很少关注如何用更少的Payload发现WEB应用程序中存在的XSS漏洞。这些故障和漏洞的存在不但影响用户体验,也会带来极大的安全问题,本文针对此类问题,提出合理的测试方法,主要工作如下:(1)使用组合测试的方法生成测试用例测试WEB应用程序中与服务器交互的输人功能,其中每一个测试用例是由特殊字符组成的字符串。对于引起系统错误的测试用例,使用组合测试错误定位的方法找到系统错误是由哪些字符组合引起的。我们开发了针对WEB应用程序输入功能的原型工具WEBCT,我们使用WEBCT测试了96个学校、政府和事业单位类网站,发现其中23个网站的输入功能存在问题,当用户向服务器提交某些特殊字符组合时,会引起服务器的错误响应。我们对存在问题的网站的错误定位结果进行分析,发现56%的服务器错误响应是由“%”,“”,“’”,“\”和其他字符的组合引起的。(2)将自适应随机测试方法应用到XSS漏洞检测上,提出了Payload选择算法XSSART,该方法基于一个观察,即有效Payload往往倾向于聚集在一起。因此,当有Payload注人失败时,XSSART会计算该Payload与其他Payload之间的距离,然后选择最有可能注入成功的Payload作为下一个测试用例来提高XSS漏洞检测的效率。我们使用3个开源的Web应用程序和1个实际的网站应用共22个XSS漏洞作为实验对象来评估XSSART方法,实验结果表明,使用XSSART方法发现目标网站中的XSS漏洞平均所需要尝试的Payload数量比Fuzzing方法少27.2%。
【图文】：

第１章绪邋论逦逡逑导航到恶意网站等。下面我们给出一个ＸＳＳ漏洞的例子，图１．３是某校的选课系逡逑统网站，该网站允许用户搜索感兴趣的老师的课程，然而却并未对用户的输入做逡逑任何验证和清理，直接将用户的输入当做页面代码的一部分返回前端。因此，当逡逑搜索“ａ”＞＜ｓｃｒｉｐｔ＞ａｌｅｒｔ（‘ＸＳＳ漏洞’）＜／ｓｃｒｉｐｔ＞”时，用户的输人会被当做代码执行，，逡逑在前端弹窗显示“ＸＳＳ漏洞”。“ａ”＞＜ｓｃｒｉｐｔ＞ａｌｅｒｔ（邋‘ＸＳＳ漏洞’）＜／ｓｃｒｉｐｔ＞”也叫作逡逑该漏洞的Ｐａｙｌｏａｄ？。恶意攻击者会精心制作ｕｒｌ并诱使该网站用户点击来利用该逡逑漏洞，可能会窃取用户敏感信息，或者在用户不知情的情况下替他选课退课。逡逑

生或ｆｉｓ居一＾}蹦縼呤洌硪斐ｅ义贤迹玻�１邋Ｆｕｚｚｉｎｇ测试流程图逡逑Ｆｕｚｚｉｎｇ可用于多种安全漏洞的检测，比如ＸＳＳ漏洞，ＳＱＬ注人漏洞，缓冲逡逑区溢出漏洞等。与其它测试方法相比，Ｆｕｚｚｉｎｇ具有思想简单，理解容易，复现逡逑容易，没有误报的优点，当然它也受到黑盒测试性能的限制，存在覆盖率低，故逡逑障定位困难等问题，同时，和其他黑盒测试方法相比，它有测试用例不通用，测逡逑试用例构造周期长等缺点１４￣。逡逑２．１．３自适应随机测试原理与应用逡逑随机测试（Ｒａｎｄｏｍ邋Ｔｅｓｔｉｎｇ）是一种简单的广泛应用的软件测试方法，可用于逡逑可靠性评估ｆ４４１。然而，随机测试只是从指定的输入中随机选择测试用例，会产逡逑生大量冗余的测试用例且覆盖率低１＠。Ｃｈａｎ等人１４６１观察到一些测试方法的性逡逑能随故障输入模式（也叫作故障模式）的不同而变化。他们将故障模式分为三种逡逑不同的类型：点模式，条模式和块模式。图在二维输入上表示这些典型的故逡逑障模式。其�

本文编号：2611154