跨站脚本漏洞的白盒测试框架的设计和实现

J4 ›› 2011, Vol. 33 ›› Issue (10): 45-50.

跨站脚本漏洞的白盒测试框架的设计和实现

冯〓锴,林柏钢

(福州大学数学与计算机科学学院,福建福州 350002)

收稿日期:2011-05-15 修回日期:2011-07-20 出版日期:2011-10-25 发布日期:2011-10-25
作者简介:冯锴(1986),男，福建宁德人，硕士生，研究方向为Web安全。

Design and Implementation of a XSS Vulnerability Whitebox Testing Framework

FENG Kai,LIN Bogang

(School of Mathematics and Computer Science,Fuzhou University,Fuzhou 350002,China)

Received:2011-05-15 Revised:2011-07-20 Online:2011-10-25 Published:2011-10-25

摘要/Abstract

摘要：

伴随着B/S架构的流行和Web2.0时代的迅速发展，由于对不可信用户数据缺乏正确的校验机制，造成跨站脚本漏洞广泛地存在于各类网站中，并严重威胁用户安全。其主要原因在于服务端代码和客户端脚本的混合，使得当前技术无法准确而有效地生成攻击向量，探测跨站脚本漏洞。本文基于静态数据流特征分析，依据脚本注入位置和攻击向量模式设计了新的分析模糊器，通过采用字符串约束求解技术来验证攻击向量的有效性，并实现了白盒测试框架的原型系统XSSExplore。实验结果表明，与同类工具相比，该系统能够较全面而准确地检测跨站脚本漏洞。

关键词: Web安全, 跨站脚本漏洞, 静态分析, 模糊器, 白盒测试

Abstract:

With the popularity of the Web2.0 applications, crosssite scripting vulnerability which can cause a serious threat to the safety of users exists in a wide range of websites, due to the lack of proper verification mechanisms. Currently, the mixture of the serverside and clientside codes makes accurate and effective detection of crosssite scripting vulnerability more difficult. In our study, based on a static data flow analysis combined with a string constraint solving technique, we design a whitebox testing framework for detecting crosssite scripting vulnerability. We implement our framework in a prototype tool called XSSExplore, and the experimental results show that the system can better generate a more effective attack vector and detect crosssite scripting attacks compared with similar products.

Key words: Web security;XSS;static analysis;fuzzing;whitebox testing

冯〓锴,林柏钢. 跨站脚本漏洞的白盒测试框架的设计和实现[J]. J4, 2011, 33(10): 45-50.

FENG Kai,LIN Bogang. Design and Implementation of a XSS Vulnerability Whitebox Testing Framework[J]. J4, 2011, 33(10): 45-50.

[1]	车生兵, 张光琳. 基于深度学习的Webshell检测[J]. 计算机工程与科学, 2022, 44(06): 994-1002.
[2]	张静1，黄志球1,2，沈国华1,2，喻垚慎1，艾磊1. C程序中的内存泄漏机制分析与检测方法设计[J]. 计算机工程与科学, 2020, 42(05): 776-787.
[3]	孙家泽1,2,王刚1. 利用佳点集遗传算法的白盒测试用例优先排序[J]. 计算机工程与科学, 2018, 40(10): 1815-1821.
[4]	贾周阳，廖湘科，刘晓东，李姗姗，周书林，谢欣伟. 基于机器学习的日志函数自动识别方法[J]. 计算机工程与科学, 2017, 39(01): 111-117.
[5]	蔡军，邹鹏，熊达鹏，何骏. 结合静态分析与动态符号执行的软件漏洞检测方法[J]. 计算机工程与科学, 2016, 38(12): 2536-2541.
[6]	宋东海，贲可荣，张志祥. 一种基于类的Java多线程程序数据竞争静态检测算法[J]. J4, 2014, 36(02): 233-237.
[7]	秦广赞，郭帆，徐芳，余敏. 一种防SQL注入的静态分析方法[J]. J4, 2013, 35(2): 68-73.
[8]	王敏1，陈亚光2. 用于基本路径测试的路径字符串组合算法[J]. J4, 2013, 35(12): 134-140.
[9]	李锋,文艳军,齐治昌,陆赛因. 基于MYGCC的编程规则检查算法研究[J]. J4, 2012, 34(2): 67-72.
[10]	侯苏宁，陈立前，王昭飞，王戟. 一个面向C和Fortran数值程序的静态分析工具[J]. J4, 2011, 33(3): 94-102.
[11]	李庆华[1] 姚静[1,2] 赵峰[1,2]. 基于主动秘密共享的Web容侵策略研究[J]. J4, 2006, 28(8): 34-35.