跨站脚本漏洞渗透测试技术 文库

收集者 21天前 10

摘要:

为提升跨站脚本(XSS)漏洞检测方法的检测效果,本文提出了基于隐马尔科夫模型(HMM)的攻击向量动态生成和优化方法.采用决策树模型和代码混淆策略对攻击向量进行分类和变形,获得测试用攻击向量.使用注入点去重处理和探子技术去除一部分不存在XSS漏洞的Web页面,避免重复检测不同Web页面中相同的漏洞注入点,减少测试阶段与Web服务器的交互次数;进一步采用XPath路径定位技术提高漏洞检测结果分析的效率.对比实验结果表明,本文提出的方法降低了响应时间和漏报率,提高了检测效率.

Abstract:

To improve the detection results of cross-site scripting (XSS) vulnerability, a dynamic attack vector gen-eration and optimization scheme was proposed based on hidden Markov model .The mutated attack vector was gen-erated by using decision tree model to classify the attack vectors and the code confusion strategy to deform the attack vector .To reduce the interactions between the test phase and the web server , an injection point de-duplication and probe algorithm are designed to remove web pages that do not include XSS vulnerabilities and to avoid detecting the same injection point in different web pages .XPath path location technology was adopted to improve the analysis ef-ficiency for vulnerability detection results .Experimental results show that the proposed method can reduce the re-sponse time and the miss report , and improve the detection efficiency .

作者 : 王丹    顾明昌    赵文兵

Author: WANG Dan    GU Mingchang    ZHAO Wenbing

作者单位 : 北京工业大学计算机学院,北京,100124

刊 名: 哈尔滨工程大学学报   ISTICEIPKU

Journal: Journal of Harbin Engineering University

年,卷(期) : 2017, 38(11)

分类号 : TP309

关键词: 跨站脚本漏洞    渗透测试    隐马尔科夫模型    攻击向量    注入点   

Keywords: cross site scripting    penetration test    hidden Markov model ( HMM)    attack vector    injection point   

在线出版日期 : 2017年12月18日

基金项目 : 国家自然科学基金重大研究计划培育项目,北京市自然科学基金项目,信息网络安全公安部重点实验室开放课题项目

上传的附件:

少客联盟- 版权声明 1、本主题所有言论和图片纯属会员个人意见,与少客联盟立场无关。
2、本站所有主题由该帖子作者发表,该帖子作者收集者少客联盟享有帖子相关版权。
3、少客联盟管理员和版主有权不事先通知发贴者而删除本文。
4、其他单位或个人使用、转载或引用本文时必须同时征得该帖子作者收集者少客联盟的同意。
5、帖子作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任。
6、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责。
7、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意。
8、官方反馈邮箱:chinasuc@chinasuc.cn


上一篇:计算机网络技术发展模式研究
下一篇:列控系统信息安全渗透测试技术研究
人生的价值,并不是用时间,而是用深度去衡量的。
最新回复 (0)
    • 少客联盟
      2
        登录 注册 QQ登录(停用)
返回