基于渗透测试的跨站点脚本漏洞检测工具的设计与实现

摘要

近些年，互联网日益普及，拥有了愈来愈多的使用者，人们对网络应用的需求也向着数量、质量以及多元化的方向发展，Web应用作为必不可少又被广泛使用的服务为人们的生活带来了诸多便利。Web应用极大的方面了人们的工作生活，具体体现在对信息的处理上，比如获取，传送以及共享等。同时，Web应用还具有实时性和低成本等诸多特性，这些都使其得到势头迅猛的发展。然而从另一方面来看，网络的开放性以及网络应用的易于开发凸显了其双刃剑的特性：推广网络的发展的同时也出现很多安全问题。在这些安全问题中，跨站点脚本漏洞是近些年最为突出的网络漏洞之一，它导致了极为严重的后果，借此对网络应用程序进行攻击的攻击频率也极高。本文详细介绍了Web应用中利用跨站点脚本攻击造成的危害，探讨了跨站点脚本攻击的分类，攻击手段，防护办法，并开发了针对跨站点脚本漏洞的检测工具。
　　 通过对跨站点脚本漏洞的检测技术及工具的分析和研究发现，由于一些漏洞检测手段对跨站点脚本漏洞的检测不够全面，对很多敏感信息的防护不够，致使用户使用Web应用时仍然易于被攻击，给用户带来了极大的困扰。怎样全面而高效的对跨站点脚本漏洞进行检测，是我们必须面对并亟待解决的问题。
　　 本文提出了一种基于渗透测试的跨站点脚本漏洞的检测方法，在检测过程中，对可能被攻击的位置进行分析，针对不同类型的跨站点脚本漏洞分别设计不同的攻击字符串。同时，在设计检测工具的过程中，将从服务器角度检测和对客户端脚本分析的检测思想相结合，全面地对跨站点脚本漏洞进行检测。并且，对漏洞的检测参数利用等价类划分的方法分类，使测试过程实现冗余性的消除并同时达到保证测试的完备性的目的。检测结果全面的显示给使用者，使其清晰的了解出现漏洞的目标应用程序存在何种类型的跨站点脚本漏洞，便于开发者对该目标应用程序进行相应的修复，使得检测结果更具有现实参考性。

目录

文摘

英文文摘

图目录

表目录

第一章 绪论

第一节 研究背景

第二节 研究意义及目标

1.2.1 研究意义

1.2.2 研究目标

第三节 本文主要研究内容

第四节 本文组织结构

第二章 跨站点脚本漏洞相关研究与分析

第一节 跨站点脚本漏洞基础

2.1.1 跨站点脚本的基本概念阐述

2.1.2 针对跨站点脚本漏洞的分类

2.1.3 针对跨站点脚本漏洞的攻击手段

2.1.4 针对跨站点脚本攻击的防护

2.1.5 利用跨站点脚本漏洞造成的危害

第二节 跨站点脚本漏洞的研究现状

2.2.1 基于服务器的跨站点脚本检测及防护研究

2.2.2 基于客户端的跨站脚本检测及防护研究

2.2.3 对检测跨站点脚本漏洞的工具的分析

第三节 其他相关概念

2.3.1 渗透测试(Penetration Testing)

2.3.2 文档对象模型(DOM)

2.3.3 同源策略(same-origin policy)

2.3.4 Javascript API

第三章 基于渗透测试的跨站点脚本漏洞检测程序设计

第一节 程序设计目标

第二节 基于渗透测试的检测模型设计

第三节 攻击字符串设计

第四节 程序总体设计

3.4.1 程序设计环境

3.4.2 主程序结构与功能

3.4.3 跨站点脚本漏洞的测试用例设计

第四章 基于渗透测试的跨站点脚本漏洞检测程序实现

第一节关键技术分析

4.1.1 网络爬虫技术

4.1.2 客户端脚本提取分析

4.1.3 对页面HTML的分析

第二节 程序模块实现

4.2.1 网络爬虫程序实现

4.2.2 主程序设置模块实现

4.2.3 主程序检测控制模块实现

4.2.4 主程序状态及结果模块实现

第五章 基于渗透测试的跨站点脚本漏洞检测程序测试

第一节 程序测试目的

第二节 程序测试环境

5.2.1 目标Web应用系统

5.2.2 检测程序运行的主机

第三节 程序测试过程

5.3.1 功能测试

5.3.2 对比测试

第四节 测试结果分析

第六章 总结和展望

第一节 本文工作总结

第二节 研究工作展望

参考文献

致谢

个人简历与研究成果