收录:
摘要:
一种基于状态转换图的XSS漏洞动态检测方法,该方法包括Crawler模块、Fuzzing模块和Report模块以及封装浏览器操作的Browser层。Browser层对Selenium API进一步封装,被其他三大模块调用,实现页面执行动作、执行脚本和判断页面状态等功能。Crawler模块对Web应用动态构造状态转换图并挖掘注入点,相对于传统挖掘方法具有更高的覆盖率。Fuzzing模块使用攻击向量对注入点进行模拟攻击,并对攻击结果进行动态判定。Report模块收集结果信息,总和汇总成漏洞报告。系统采用java语言开发,具有可移植性强、可维护性好等特点,对XSS漏洞扫描甚至网站抓取的研究具有重要价值。
关键词:
通讯作者信息:
电子邮件地址:
