基于Fuzzing技術提升XSS漏洞防御水平的研究

2017-03-23 10:21:26許瑩瑩梁華慶王雪鳳

電子設計工程 2017年5期

關鍵詞：規則檢測

許瑩瑩，梁華慶，劉偉，王雪鳳

（1.中國石油大學（北京）地球物理與信息工程學院，北京102249；2.塔里木油田公司開發事業部，新疆庫爾勒841000）

基于Fuzzing技術提升XSS漏洞防御水平的研究

許瑩瑩1，梁華慶1，劉偉2，王雪鳳2

（1.中國石油大學（北京）地球物理與信息工程學院，北京102249；2.塔里木油田公司開發事業部，新疆庫爾勒841000）

面對高交互性、高復雜性的網絡操作過程，有效提升對XSS漏洞的檢測、防御能力有利于提高Web安全。本文提出了一種主動提升對XSS漏洞的檢測與防御能力的方法，該方法通過網絡爬蟲爬取Web交互頁面，結合XSS漏洞的特征，基于Fuzzing技術主動挖掘潛在漏洞，利用滲透工具模擬攻擊并捕獲網絡攻擊流量，提取攻擊特征，最終結合Snort防御告警主動提升Web安全。實驗測試表明，該方法可有效檢測XSS漏洞，結合對Snort規則庫的補充升級，能夠有效提升對XSS漏洞的防御能力。

Fuzzing技術；XSS漏洞；滲透攻擊；特征提取

隨著Web2.0應用的大規模普及化，其體現出高交互性高復雜性的特征[1]，這其中伴隨的Web安全問題也尤為突出，XSS漏洞在近年來的權威統計中持續占據較大份額。如何對其進行快速防御在業界始終是焦點。目前各大廠商通用的方法多是基于已公布的實際漏洞，在分析惡意流量的基礎上進行規則庫補充，實現對檢測防御產品的補充升級。但該方法防御時效性差，犧牲真實業務系統，并且真實攻擊流量轉換成可用規則的效率也無法保證，適用于安全檢測防御的初期階段。基于以上考慮，文中采用網絡爬蟲技術，結合Fuzzing技術，針對XSS漏洞設計測試樣例生成模板，通過在靶機Web應用上執行惡意測試樣例來主動挖掘潛在的XSS漏洞，通過對Snort規則庫的補充升級來實現更加積極、更為有效的防御。最終結合Metasploit滲透工具對文中方法的有效性進行驗證。

1 相關技術簡介

文中提出的方法主要用到了如下技術：網絡爬蟲，Fuzzing技術，Snort技術。網絡爬蟲是一種自動提取網頁的程序，通常被用于定向抓取相關網頁資源[2]。文中選用通用網絡爬蟲。針對一定的Web應用，抓取其所有的交互頁面進行存儲[3]，以供進一步處理。

Fuzzing技術是一種基于缺陷注入的自動化軟件測試技術。能夠非常有效地找出網頁瀏覽器的漏洞[4]。其核心思想是生成合適的測試用例并使用恰當的工具檢測。本文采用網絡型Fuzzer，根據XSS漏洞的特點，針對性地設計測試樣例，綜合考慮可執行性和執行效率。

Snort是一種輕量級網絡入侵檢測系統[5]。可提供對內部攻擊、外部攻擊和誤操作的實時保護。文中Snort工作在網絡入侵檢測模式下，通過配置使Snort加載規則庫，并允許加載本地規則，通過報文與規則匹配進行告警，并記錄日志，將告警情況實時顯示。

2 基于Fuzzing技術的XSS漏洞檢測

2.1 測試樣例生成

文中針對XSS漏洞的Fuzzing測試，其核心在于突破安全邊界[6]。由于目前絕大多數的Web產品針對XSS漏洞已經采取了相應的過濾措施，多是結合輸入過濾腳本對用戶提供的非法輸入進行過濾[7]。與此同時又有相當部分攻擊者在探索新的繞過過濾機制的方式。文中結合技術現狀，選取Htmlawed作為繞過對象。為了提升Fuzzing測試用例的有效性，文中以expression為例著重分析并編程生成相關的設計用例。首先，設計具有針對性的樣例模板，例如，常見的DIV CSS表達中：＜div style="width:expression（alert（xxx））；

這其中的expression（alert（xxx）就是需要重點關注的安全區域，這其中可能被插入注釋內容/**/和expression等內容，需要進行重點過濾。過濾過程先從過濾器對安全域的定位方式入手，過濾器會在div標簽內找到style屬性，之后在雙引號之間依據冒號來確定名稱和內容，按照其定位方式，我們選擇=":；做為安全域限定關鍵字。該Fuzzer的主要思想就是在一個模板有可能導致邊界混亂的地方添加元素實現一定的繞過。基于以上分析設計出如下模板：＜div id="xxx"style="width:expre/*xxx*/ssion（alert（9））；"＞

考慮到效率以及可識別性等問題，我們的模板選擇只進行了兩處元素的填充。

其次，選擇模板的填充元素。由于填充邊界元素或者filter過濾刪除一些東西之后導致邊界改變都有可能導致漏洞。我們選擇如下所示填充用例：＜、＞、＜/div＞//、=":；空格及onXXX （），不可視特殊字符&#XX、%XX、XX、、、、