存储型跨站脚本漏洞关键技术研究与实现

发布时间：2020-07-23 21:50

【摘要】：随着高速发展的互联网技术,Web应用在人们的生活中,发挥着越来越重要的作用。然而,由于Web技术人员的技术好坏不一,这造成Web应用可能含有隐藏的安全问题。在这些安全问题中,跨站脚本(XSS)漏洞是一种危害极大的Web应用漏洞。从2004年以来,在OWASP公布的十大应用安全风险中,XSS一直位列其中。而相较于将XSS代码嵌入URL中而发挥作用的反射型XSS,需要通过将XSS代码提前注入服务器数据库中的存储型XSS,危害更大,造成影响的时间更长,所以针对存储型XSS漏洞进行研究有实用意义。目前针对存储型XSS漏洞检测的研究还不是很充足,常用的检测方法为白盒与黑盒测试方法。白盒测试对应用源码的具有较高的依赖性,需要测试人员获取所有源代码并且了解,完成对代码的审计工作。这种检测方法的实现一般依赖于编程语言,可移植性差。而对于黑盒测试来说,测试人员不需要了解应用源码,只需要站在用户的角度进行测试即可。一般依赖于爬虫算法获取网页信息,在众多的网页中查找可能的注入点,然而,在使用爬虫算法的时候,往往只关注提高爬虫的速度而忽略了某些网站的反爬虫规则,从而造成爬虫的失败。同时,攻击向量的完备性与有效性也与漏洞检测的效率有关,常用的方法是模糊测试技术。模糊测试技术往往是对目标网站发送很多随机构建的没有丝毫意义的数据,然后根据对响应结果的分析来判定漏洞的存在与否。这些随机的数据往往没有明确的意义和指向性,存在较大的盲目性。而鉴于遗传算法具有相对简单的思想,运行的方式和实现大大依赖于具体的问题、容易实现并行开发、能够得到较高的全局最优解等特点,本文采用遗传算法对已有的攻击向量变形,生成适应被测网站的攻击向量。并且为了后期检测漏洞的效率,借助决策树算法对攻击向量进行分类。综上所述,本文深入研究了存储型XSS漏洞检测的相关内容,主要研究内容如下:(1)提出了基于网络爬虫技术查找存储型XSS漏洞注入点的方法,该方法使用广度优先搜索策略对网站进行爬取,并对获得的网页进行分析,将含有Form表单的页面作为含有注入点的页面,并通过提交“探子”确定各个注入点的展示页面以及输出位置,以此减少后期在检测漏洞时避免全站扫描,提高速度。(2)提出了基于遗传算法与决策树算法结合生成与优化攻击向量的方法。对攻击向量分析之后,对攻击向量进行形式化描述,处理为便于遗传算法处理的攻击向量。并在遗传算法中,提出采用改进的one-hot编码作为基因编码方法,针对编码方式设计了交叉与变异算子。然后对攻击向量分类,最终得到能够适应待检测网站的攻击向量。(3)提出了动态判定网站漏洞是否存在的方法。利用selenium实现模拟攻击之后,对响应结果进行分析。为了提高检测速度,根据爬虫阶段分析到的注入点信息提取关于展示页面以及内容输出的所在标签,运用字符串匹配算法时,直接定位到输出位置,避免全网页的匹配。(4)根据上述提到的方法,设计并实现了针对存储型XSS漏洞检测的系统。系统整体采用python语言实现,移植方法简单且使用也简单,无论处于何种操作系统下,只需安装好python环境以及相关模块,即可通过运行命令进行检测,最终的检测结果以及爬取到的网页URL都将会保存在本地的文档中。针对上述的存储型XSS漏洞检测系统设计了测试方案,并进行了相关的对比实验,验证了该系统的有效性以及实用性。
【学位授予单位】：北京工业大学
【学位级别】：硕士
【学位授予年份】：2019
【分类号】：TP393.08
【图文】：

图 1-2 2016 年网站卫士拦截漏洞攻击类型分布Figure 1-2 The Type Distribution of Web Guard Interception Vulnerability Attacks in 2016

- 2 -图 1-3 CNVD2018 年 12 月份漏洞类型分布图Figure 1-3 CNVD 2018 Vulnerability Type Distribution Map综合上述分析，在互联网高速发展的今天，为了 Web 应用的安全，在应用上线之前对代码进行审计时， 在公司内部提供的 Web 应用的测试环境趋于简单，这时分析漏洞虽然便于操作与实现，但是并不能提高漏洞的发现率。模拟互联网真实的复杂环境，进而对应用进行检测，这是提高应用安全性的重要方法之一。因此，通过对存储型 XSS 漏洞的研究，研究一套在未知应用代码的情

图 2-1 反射型 XSS 攻击原理Figure 2-1 Reflective XSS Attacks(2) 存储型 XSS：存储型 XSS 又称为持久性 XSS。与反射型 XSS 不同的是储型 XSS 会将提交的恶意代码存储在 Web 应用的后台数据库中。攻击者绕过 Web 应用的过滤等手段将恶意代码存储在 Web 应用的数据库中，并续的访问过程中，在其他用户或管理员的页面展示出来[5]。当正常用户浏相应的展示页面时，数据库中的恶意代码将会以可执行的代码形式输出eb 应用的源代码中，并且被浏览器解析执行。存储型 XSS 通常出现在网站言、评论等可以与后台进行动态交互处[27]。这类 XSS 造成的危害更大，影广，一般被认为是高危或严重的风险，这与其一次成功注入可以影响所有该网站的用户有关。

【相似文献】

相关期刊论文 前10条

1 冯锦春;杨林建;;利用遗传算法进行机械优化[J];四川工程职业技术学院学报;2007年06期

2 任志凤;胡小建;孙太生;徐飞;李云良;;遗传算法在焊接领域的优化与应用[J];现代焊接;2012年03期

3 李振业;陈婷;陈静;;基于遗传算法的旅游最优路径探究[J];电脑知识与技术;2018年34期

4 唐文琦;曾干敏;刘泽宇;;浅谈遗传算法及其部分改进算法[J];科技风;2019年12期

5 李岩;袁弘宇;于佳乔;张更伟;刘克平;;遗传算法在优化问题中的应用综述[J];山东工业技术;2019年12期

6 魏晓玲;;一种改进遗传算法及验证[J];电脑编程技巧与维护;2019年06期

7 冯双林;靳继红;;现代农机数字化装配车间调度技术研究——基于云计算和遗传算法[J];农机化研究;2018年01期

8 梁肖;周湘贞;;基于遗传算法的小麦收割机路径智能优化控制研究[J];农机化研究;2018年02期

9 王勇;孙耀南;;基于遗传算法的医院房间位置优化研究[J];电脑与信息技术;2018年01期

10 李超;王杰;史运涛;李锦龙;;基于遗传算法的汽油调和优化系统[J];工业控制计算机;2018年10期

相关会议论文 前10条

1 谢宏;袁小芳;向启均;陈yN婧;王立宸;;机器人惯性参数的改进遗传算法辨识方法研究[A];第37届中国控制会议论文集（B）[C];2018年

2 彭军;徐本柱;刘晓平;;遗传算法的实现及其在生产调度中的应用[A];全国第20届计算机技术与应用学术会议（CACIS·2009）暨全国第1届安全关键技术与应用学术会议论文集（上册）[C];2009年

3 韩战钢;;遗传算法及在经济中的应用[A];Optimization Method, Econophysics and Risk Management--Proceedings of CCAST (World Laboratory) Workshop[C];2001年

4 赖梅;熊丽荣;;基于改进遗传算法的乘务交路优化问题研究[A];第二十一届中国控制会议论文集[C];2002年

5 肖龙光;丁晓东;;基于理性变异的遗传算法[A];第六届中国青年运筹与管理学者大会论文集[C];2004年

6 鞠训光;于洪珍;;求整体优化全部解的区间排除遗传算法[A];第十七届全国过路控制会议论文集[C];2006年

7 刘兴隆;;快速进化式遗传算法[A];“电力大系统灾变防治和经济运行重大课题”部分专题暨第九届全国电工数学学术年会论文集[C];2003年

8 谈斌;唐力铁;张己化;周海云;;遗传算法在漫反射系数计算中的应用研究[A];2007年光电探测与制导技术的发展与应用研讨会论文集[C];2007年

9 任燕翔;姜立;刘连民;从滋庆;;改进遗传算法在三维日照方案优化中的应用[A];工程三维模型与虚拟现实表现——第二届工程建设计算机应用创新论坛论文集[C];2009年

10 蔡亚星;李伟明;尚飞;任武;薛正辉;高本庆;;双种群遗传算法进行阵列天线综合[A];2005'全国微波毫米波会议论文集（第三册）[C];2006年

相关重要报纸文章 前10条

1 郭勉愈　编译;遗传算法：让发明自动“进化”[N];科学时报;2011年

2 上海科学院规划研究处 刘小玲;上海能否成为人工智能城市[N];解放日报;2017年

3 记者 常丽君;科学家首次将遗传算法用于量子模拟[N];科技日报;2016年

4 林京;《神经网络和遗传算法在水科学领域的应用》将面市[N];中国水利报;2002年

5 记者 李星婷;2014中国生命电子学术年会在渝召开[N];重庆日报;2014年

6 记者 刘霞;美用遗传算法逆向设计新型纳米材料[N];科技日报;2013年

7 高雪娟;协同设计的平台策略[N];中国计算机报;2006年

8 陈巍;浩辰有望在协同设计关键领域取得突破 引领CAD应用新潮流[N];大众科技报;2006年

9 本报记者 李元丽;坚持自主创新 掀起AI+教育的中国浪潮[N];人民政协报;2018年

10 高峰;美国真能毁掉中国？[N];世界报;2012年

相关博士学位论文 前10条

1 孙秋红;基于遗传算法的水质数据挖掘与应用研究[D];燕山大学;2016年

2 金小敏;移动云环境中的计算迁移系统关键技术研究[D];北京邮电大学;2018年

3 王小港;遗传算法在VLSI设计自动化中的应用研究[D];中国科学院上海冶金研究所;2001年

4 宋晓峰;优生演进优化和统计学习建模[D];浙江大学;2003年

5 吴大宏;基于遗传算法与神经网络的桥梁结构健康监测系统研究[D];西南交通大学;2003年

6 卜雷;城市货物运输规划优化方法研究[D];西南交通大学;2004年

7 廖平;基于遗传算法的形状误差计算研究[D];中南大学;2002年

8 李智勇;模式交流多群体遗传算法及其在神经网络进化建模中的应用[D];湖南大学;2003年

9 陈星;网络并行和遗传算法在HPM生物效应评价和辐射天线设计中的应用研究[D];四川大学;2004年

10 金菊良;遗传算法及其在水问题中的应用[D];河海大学;1998年

相关硕士学位论文 前10条

1 郁胜过;基于遗传算法的光频域反射频谱分析算法研究[D];上海交通大学;2017年

2 宋黎;基于遗传算法的通信基站规划方法研究[D];大连理工大学;2019年

3 高长勇;基于自动化分拣线的复杂订单分解算法的研究与实现[D];机械科学研究总院;2019年

4 宋烨华;基于改进遗传算法的小行星交会轨迹规划技术[D];北京理工大学;2016年

5 丁甜甜;基于遗传算法的线路纵断面优化研究[D];石家庄铁道大学;2019年

6 杨震;基于改进遗传算法的无线传感网络覆盖优化研究[D];重庆三峡学院;2019年

7 刘美辛;H超市配送中心货位分配研究[D];石家庄铁道大学;2019年

8 许永磊;基于遗传算法与强化学习的机位分配研究[D];华中科技大学;2019年

9 李呈隆;基于遗传算法的对抗文本生成方法研究[D];华中科技大学;2019年

10 钟慧超;基于强化遗传算法的车间调度方法研究[D];华中科技大学;2019年

本文编号：2767886