● 摘要
随着网络与信息技术的飞速发展和普及,Web安全问题日益严重。网络攻击、入侵等事件频繁发生,而其中有许多是由跨站脚本漏洞所导致的。对跨站脚本漏洞检测技术进行系统深入的研究,对于提高Web应用系统的安全性具有十分重要的意义。本文首先阐述了跨站脚本漏洞的原理,介绍了跨站脚本漏洞的分类,指出了跨站脚本漏洞的危害。接着对跨站脚本漏洞检测的研究现状进行了详细介绍,并阐明了现有技术的不足之处。本文重点研究和探讨了跨站脚本漏洞检测中涉及的关键技术,包括:网络爬虫与Web应用程序的动态交互、注入代码的构造、对Web应用程序客户端脚本的静态测试,并提出了切实可行的解决方案。本文对跨站脚本的渗透测试技术进行了优化,增强了网络爬虫与Web应用程序的互动能力;构造注入代码的多种变体以绕过过滤机制并强制执行;引入静态测试技术,对Web应用程序客户端脚本中的敏感操作函数参数的数据状态进行追踪分析,以实现对基于DOM的跨站脚本漏洞的检测。本文设计并实现了一个跨站脚本漏洞检测工具XSSBuster,能够自动检测Web应用程序中的跨站脚本漏洞。对XSSBuster进行的测试的结果表明:XSSBuster能够全面检测三种类型的跨站脚本漏洞;与目前主流的漏洞检测系统相比,XSSBuster能够检测出更多的跨站脚本漏洞,在性能方面也具有一定的优越性。