10.19927/j.cnki.syyt.2022.10.011
基于AST分析与Fuzzing的反射型XSS漏洞识别模型
针对Web应用中反射型XSS检测效率较低、误报率较高的问题,提出一种基于AST分析和Fuzzing的反射型XSS漏洞识别模型.通过发送探针载荷请求目标Web页面,根据AST语法树解析结果,初步判定该Web页面存在反射型XSS漏洞的可能性.再根据探针载荷回显位置确认该页面中可疑XSS注入点,选择对应的逃逸技术和逃逸行为生成初始攻击载荷.将初始攻击载荷与绕过规则库相结合,生成攻击向量库,对可疑注入点进行Fuzzing,以确认是否存在反射型XSS漏洞.实验结果表明,相较于Burp Suite和AWVS,在相同漏洞环境中,此模型检测时平均请求次数较少.在保证较低误报率的同时,有较高的检测效率.
漏洞检测、反射型XSS漏洞、AST分析、模糊测试、攻击载荷
41
TP393.08(计算技术、计算机技术)
西藏自治区自然科学基金项目;西藏民族大学项目;西藏民族大学项目
2023-01-16(万方平台首次上网日期,不代表论文的发表时间)
共5页
49-53