基于防御规则探测的XSS漏洞检测工具的设计与实现.pdfVIP

第三届全国信息安全等级保护技术大会论文集 基于防御规则探测的XSS漏洞 检测工具的设计与实现 李晨曦 中国民航信息网络股份有限公司 【摘要】 非常多的开发人员面对测试工具扫描出的xss漏洞的修复办法是在过滤规则中添加工具的 PoC用例，导致在回归测试中通过测试工具的扫描但并未真正修复漏洞。通过对常见I型和 Ⅱ型XSS防御办法的研究，提出通过针对系统已有的防御规则的自动探测，动态构造XSS 测试用例的技术，并在原型系统上进行验证。实验表明，该方法在回归测试的检测中能有 效发现漏洞。 【关键词】跨站脚本web安全 数wAF规则采用黑名单进行过滤。黑名单能够明 一、概述 确防御规则中的攻击，但如果不能做到持续更新 跨站脚本攻击漏洞在过去10年中一直是互联 规则，黑名单同样存在片面性，不能彻底防御 网最严重的漏洞之一…。通过跨站脚本漏洞，无 XSS攻击_。。 数网站遭受挂马、数据操纵、游戏账号盗窃、企 (3)从测试工具的角度，目前主流商业测试 业数据丢失等恶意操作心】。 工具对反射性跨站脚本(renectedXSS)的检测技 由于代码规模越来越大，复杂度越来越高， 术比较成熟，对存储型跨站脚本(StoredXSS)和 试图通过人工查找的方式找到系统中所有漏洞并 DOM型跨站脚本(DOMXSS)的发掘技术并不 不现实。于是各种自动测试工具出现并减轻了大 成熟”J。 量钡|J试人员的工作量。但是，到目前为止，跨站 本文所研究的设计主要针对XSS被部分修复 脚本漏洞数量仍然居高不下并持续产生危害。 的系统或通过wAF黑名单防御xSS的系统，即可 跨站脚本潺洞难以完全修复，主要有以下几 能存在被绕过XSS过滤规则的系统。通过黑盒方 个方面的原因： 式对目标系统进行试探性测试，逐渐生成可绕过 (1)自动测试工具通常采用简单的概念验证xSS过滤规则的完整xSS攻击用例；另外通过引 of (Proof concept)用例说明漏洞的存在，例如并入编号定位的设计，解决对存储型XSS定位的不 无实际危害的scriptalert(1) 足，使xSS检测工具可同时利用在I型(反射型) ／script。开 发人员常常由于实际情况，针对PoC用例进行修 和Ⅱ型(存储型)跨站脚本漏洞上。 复，例如仅对“script”、“alert(”等关键字 二、XSS防御规则的研究 进行过滤，造成漏洞的“伪修复”。 (2)运维部门可能采用应用防火墙(wAF)目前针对XSS的通用防御策略包括白名单、 过滤攻击字符串。考虑到规则制定效率，绝大多 黑名单技术。黑名单技术由于其直观的防御策略 优秀论文 更容易被开发人员和wAF运维人员理解，所以利 过过滤。如果简单的“”字符被过滤或替换成 用更加广泛。 “quol；”，那么，对该场景来说，不存在XSS漏 常见黑名单防御规则主要分为三类： 洞，后续的测试字符串就没有必要。假如“” ·元字符检测：如对尖括号、圆括号、分号 通过过滤器并成功输出，可继续尝试“script”、 等特殊字符进行检测； “img”等短语。 ·关键字短语检测：例如对sc五pt、img、a-本文研究的算法即是模拟人工实际攻击的流 lert、onload等关键词进行检测； 程，从不断探索中动态拼凑出真正可用于证明漏 I