Web應用程序漏洞檢測系統設計

陳春玲，張 凡，余 瀚

(南京郵電大學 計算機學院，江蘇 南京 210003)

Web應用程序漏洞檢測系統設計

陳春玲，張 凡，余 瀚

(南京郵電大學 計算機學院，江蘇 南京 210003)

隨著Web技術的普及，Web漏洞對網絡安全的威脅越來越大。由于很多網站對用戶的輸入輸出內容過濾不嚴，導致各大網站中普遍存在跨站腳本漏洞，而現有的Web漏洞檢測方案及工具存在著效率低、漏檢率高、誤報率高等缺陷。為解決上述問題，設計并實現了一種Web應用中的跨站腳本漏洞檢測系統。該系統在現有Web漏洞檢測工具的基礎上，添加了模擬用戶登陸功能和驗證碼識別功能，解決了檢測期間需要輸入驗證碼或用戶登陸后才可向服務器提交數據的問題，并根據現有Web漏洞檢測工具的不足,對系統的網絡爬蟲、漏洞檢測模塊進行改進，同時根據XSS Filter過濾規則，構造出更多能夠繞過XSS Filter的測試用例。實驗結果表明，所構建的系統具有低漏檢率、低誤報率和較高的效率。

跨站腳本漏洞；Web應用；漏洞檢測；網絡爬蟲

0 引 言

隨著網絡的運用越來越廣泛,Web技術在人們生活的各個領域被廣泛利用，它使人們獲取信息更加快速、全面、便捷，使人們的生活更加舒適方便。然而它給人們的生活帶來便利的同時，卻存在著許多弊端，各種網絡犯罪事件不斷發生。因為目前眾多網站中存在各種各樣的Web應用漏洞，給了攻擊者可趁之機。在眾多Web漏洞中，跨站腳本漏洞(Cross Site Script，XSS)是Web應用中最為普遍的漏洞之一，近年來，有跨站腳本攻擊的安全事件層出不窮?！?br>