[发明专利]一种基于遗传算法的存储型XSS漏洞检测系统在审
| 申请号: | 201910208409.5 | 申请日: | 2019-03-19 |
| 公开(公告)号: | CN109995771A | 公开(公告)日: | 2019-07-09 |
| 发明(设计)人: | 王丹;秦亚芬;林九川 | 申请(专利权)人: | 北京工业大学 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06;H04L29/08 |
| 代理公司: | 北京思海天达知识产权代理有限公司 11203 | 代理人: | 刘萍 |
| 地址: | 100124 *** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明涉及一种存储型XSS漏洞检测系统,该系统包括网络爬虫与注入点分析、攻击向量生成、漏洞检测三个模块。通过对网站爬取链接,解析并分析每一个网页,查找网页中的form表单。同时,对表单提交正常的探子,用于确定注入点的输出页面与位置。然后利用遗传算法生成适合本网站的攻击向量。最后在漏洞检测模块,根据前两个模块记录的注入点信息与攻击向量,实现模拟攻击,然后在其展示页面判断是否含有该攻击向量,并判断该攻击向量是否执行成功。若攻击向量执行成功,则表示存在漏洞。该发明针对存储型XSS漏洞进行了深入研究,并实现了检测系统,对XSS漏洞的检测具有很好的实用意义。 | ||
| 搜索关键词: | 向量 攻击 检测系统 存储型 注入点 遗传算法 网站 网页 漏洞检测模块 探子 漏洞检测 模块记录 输出页面 网络爬虫 向量生成 页面判断 链接 解析 分析 查找 成功 漏洞 检测 展示 研究 | ||
【主权项】:
1.一种基于遗传算法的存储型XSS漏洞检测系统分为三个模块:网络爬虫与注入点分析模块、攻击向量生成模块、漏洞检测模块;网络爬虫与注入点分析模块:该模块采用多线程技术提高爬虫速度,负责爬取网站链接并查找其中的注入点;采用广度优先爬虫算法搜寻链接,递归地将获取到的链接经过去重处理后,将同域名下的所有URL加入队列便于后期解析;对每一个HTML文档,定位form表单,获取注入点信息;为了便于后期漏洞的检测,提高检测速度,对于网页中的每一个注入点,首先提交“探子”确定注入点的输入点位置,避免漏洞检测时网页全篇扫描,提高了效率;(2)攻击向量生成模块:该模块采用遗传算法对收集到的基本攻击向量进行变形,得到适应目标网站的攻击向量,基本攻击向量库是指从OWASP中XSS Filter Evasion Cheat Sheet收集的攻击向量;首先将攻击向量特征形式化,然后基于one‑hot编码进行改进用于遗传算法的基因编码,完成遗传算法执行前的数据准备工作;(3)漏洞检测模块:该模块负责模拟攻击行为与并进行漏洞分析;随机从遗传算法产生的攻击向量中选择攻击向量,再使用selenium测试框架对注入点自动填充攻击向量,通过提交这些攻击向量对相关页面检测是否存在漏洞;首先利用爬虫与注入点分析模块得到注入点信息,直接对相关页面进行分析,定位到注入点后判定攻击向量是否存在;若存在则需要接着利用selenium.webdriver来确定攻击向量是否执行,若攻击向量执行则可以确定存在存储型XSS漏洞。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于北京工业大学,未经北京工业大学许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201910208409.5/,转载请声明来源钻瓜专利网。
