基于用户行为模拟的XSS漏洞检测 - 大连理工大学学报.PDF

第 卷第 期 大 连 理 工 大 学 学 报 , 57 3 Vol.57 No.3 年 月 2017 5 Ma 2017 JournalofDalianUniversitofTechnolo y y gy 文章编号: ( ) 1000-8608201703-0302-06 基于用户行为模拟的XSS漏洞检测 * , , , , 王 丹 刘 源 赵 文 兵 付 利 华 杜 晓 林 ( , ) 北京工业大学 计算机学院 北京 100124 摘要: 、 为改进 XSS漏洞检测系统中对复杂网页漏洞注入点发现不够充分 动态地分析目标 , 、 站点的响应信息不足等问题 改善XSS漏洞检测系统的注入点提取 攻击测试向量生成和响 , 应分析等 提出了基于用户行为模拟的 漏洞检测方法 通过分析网页结构找到多种非格 XSS . , 、 , 式化注入点 并通过综合考虑字符串长度 字符种类等因素对攻击向量进行了优化 以绕过服 , 务器的过滤函数 缩短漏洞测试所用的时间 测试结果表明所提方法提高了漏洞注入点的检 . , 测覆盖率 提升了XSS漏洞的检测效果. : ; ; ; 关键词 XSS漏洞 检测 Headless浏览器 Ghost.py 中图分类号: 文献标识码: : / TP308 A doi10.7511dllxb201703013 g [ ] 3-6 引 言 很充分 ,使用静态爬虫框架如果要获得 由 0 ,