基于網(wǎng)絡(luò)爬蟲的跨站腳本漏洞動(dòng)態(tài)檢測(cè)技術(shù)研究.pdf

1、XSS攻擊是當(dāng)前針對(duì)Web應(yīng)用層的攻擊中最常見的一種攻擊方式,攻擊者在遠(yuǎn)程Web頁面里注入惡意腳本代碼,當(dāng)信任該服務(wù)器的用戶瀏覽該Web頁面時(shí),嵌入其中的腳本代碼就會(huì)在用戶不知情的情況下在客戶端瀏覽器上自動(dòng)執(zhí)行,從而達(dá)到攻擊者的特殊目的。
　　 本論文首先介紹了XSS攻擊所涉及到的HTTP和HTML相關(guān)知識(shí)、XSS攻擊的基本原理、分類方式以及危害。然后闡述了XSS攻擊的防范及檢測(cè)方法,并總結(jié)了現(xiàn)有檢測(cè)方法的優(yōu)點(diǎn)和不足。接下來介紹

2、了一種基于單線程網(wǎng)絡(luò)爬蟲和數(shù)據(jù)庫的XSS漏洞動(dòng)態(tài)檢測(cè)方案,以此作為基本方案,分析了它的基本原理和各個(gè)模塊存在的缺陷。為了彌補(bǔ)基本方案的不足,提高其檢測(cè)速度和準(zhǔn)確性,本文提出一種基于多線程網(wǎng)絡(luò)爬蟲和攻擊代碼自動(dòng)生成器的改進(jìn)方案。該改進(jìn)方案把單線程網(wǎng)絡(luò)爬蟲改進(jìn)為多線程網(wǎng)絡(luò)爬蟲,有效減少爬蟲模塊的時(shí)間開銷；放棄了數(shù)據(jù)庫的使用,改成了能根據(jù)注入點(diǎn)前后內(nèi)容自動(dòng)生成攻擊代碼的攻擊代碼自動(dòng)生成器,這樣針對(duì)每個(gè)注入點(diǎn)就能生成更有針對(duì)性的攻擊代碼,提高了