基于渗透测试的跨站脚本漏洞检测方法研究

发布时间：2017-07-17 12:06

  本文关键词：基于渗透测试的跨站脚本漏洞检测方法研究

  更多相关文章： 跨站脚本漏洞 攻击向量 机器学习 漏洞检测

【摘要】：近年来,随着互联网的飞速发展,Web应用越来越丰富,网上购物、社交网站等Web应用在现实生活中使用的更加广泛。但另一方面,Web安全问题也不断出现,越来越多的网络攻击发生在我们身边,Web应用的安全漏洞已受到更多的关注,其中跨站脚本(XSS)漏洞是Web注入型漏洞中数量最为突出、威胁最大的漏洞之一。目前,针对跨站脚本漏洞的检测主要集中在服务器端、客户端、服务器端和客户端的协作检测,涉及的检测技术主要有静态漏洞检测、动态漏洞检测、动态和静态结合的检测方式。针对XSS漏洞自动化检测方法在检测效率方面的不足,研究了改进的基于渗透测试的检测方法,完成了如下工作:(1)通过对现有的跨站脚本攻击手段的研究以及对目前攻击向量结构的研究与学习,提出了一种用于进行渗透测试的基于HMM的攻击测试脚本自动生成策略,使用机器学习算法对生成的攻击向量进行优化,并根据提交的数据在Web页面的输出位置对攻击向量进行分类。(2)提出了一种改进渗透测试的漏洞检测效率的方法,采用探子请求技术来减少检测过程中与Web服务器的交互次数,降低服务器的压力。通过使用探子请求技术来对输出点进行DOM路径定位以及探测输出点的类型,在后续的漏洞检测中,根据输出点类型来选择相应类型的攻击向量库,减少漏洞检测中不必要的测试请求。(3)提出了漏洞注入点提取过程中的去重处理方法,使用布隆过滤器对获取的注入点进行去重处理,以避免重复检测不同页面中相同的注入点而导致的检测效率低等问题。另外,在漏洞检测的结果分析中,采用了XPath路径定位技术,进一步提高漏洞检测中结果分析的效率。(4)基于上述方法,设计并实现了基于渗透测试的XSS漏洞检测系统,并对本文相关方法进行了评价。实验结果表明本系统确实能够有效改善XSS漏洞的检测效率。
【关键词】：跨站脚本漏洞 攻击向量 机器学习 漏洞检测
【学位授予单位】：北京工业大学
【学位级别】：硕士
【学位授予年份】：2016
【分类号】：TP393.08
【目录】：

• 摘要4-5
• Abstract5-9
• 第1章 绪论9-15
• 1.1 课题背景和研究意义9-10
• 1.2 国内外研究现状10-12
• 1.3 主要研究内容12-13
• 1.4 本文的组织结构13-15
• 第2章 相关技术15-25
• 2.1 Web 2.0 安全问题15-17
• 2.2 跨站脚本漏洞概述17-22
• 2.2.1 跨站脚本漏洞简介17-18
• 2.2.2 跨站脚本漏洞的分类18-21
• 2.2.3 跨站脚本漏洞的危害21-22
• 2.3 跨站脚本漏洞检测技术22-23
• 2.4 本章小结23-25
• 第3章 一种攻击向量自动化生成及优化分类方法25-37
• 3.1 攻击向量的人工构建25-26
• 3.2 攻击向量结构化分析26-28
• 3.3 攻击向量的分类28-29
• 3.4 攻击向量自动生成及优化方法29-35
• 3.4.1 相关方法介绍29-30
• 3.4.2 攻击向量自动生成方法30-31
• 3.4.3 基于隐马尔可夫模型的攻击向量优化31-33
• 3.4.4 基于决策树的攻击向量分类33-35
• 3.5 攻击向量混淆策略35-36
• 3.6 本章小结36-37
• 第4章 基于渗透测试的XSS漏洞检测系统的设计与实现37-49
• 4.1 系统的整体结构设计37-38
• 4.1.1 设计目标37
• 4.1.2 系统架构37-38
• 4.2 攻击向量生成38-39
• 4.3 漏洞注入点分析39-44
• 4.3.1 相关技术39-42
• 4.3.2 设计与实现42-44
• 4.4 攻击与响应分析44-48
• 4.4.1 功能和结构设计44
• 4.4.2 探子请求和路径定位算法44-45
• 4.4.3 功能实现45-48
• 4.5 本章小结48-49
• 第5章 基于渗透测试的XSS漏洞检测系统的测试与分析49-55
• 5.1 测试环境和评估指标49-50
• 5.1.1 测试环境49
• 5.1.2 相关评估指标49-50
• 5.2 系统的测试与分析50-52
• 5.2.1 功能测试50-51
• 5.2.2 性能测试51-52
• 5.3 攻击向量自动化生成方法的测试与分析52-53
• 5.4 本章小结53-55
• 结论55-57
• 参考文献57-61
• 攻读硕士学位期间发表的学术论文61-63
• 致谢63

，

本文编号：553487