期刊文献+
任意字段
题名或关键词
题名
关键词
文摘
作者
第一作者
机构
刊名
分类号
参考文献
作者简介
基金资助
栏目信息

基于静态分析和动态检测的XSS漏洞发现 被引量:12

Finding XSS Vulnerabilities Based on Static Analysis and Dynamic Testing
下载PDF
导出
摘要 Web应用程序数量多、应用广泛,然而它们却存在各种能被利用的安全漏洞,这当中跨站脚本(XSS)的比例是最大的。因此为了更好地检测Web应用中的XSS漏洞,提出了一种结合污染传播模型的代码静态分析及净化单元动态检测的方法,其中包括XSS漏洞所对应的源规则、净化规则和接收规则的定义及净化单元动态检测算法的描述。分析表明,该方法能有效地发现Web应用中的XSS漏洞。 Web applications have a variety of security vulnerabilities which can be exploited when large number of Web applications are widely used. Among these security vulnerabilities, the ratio of cross-site scripting (XSS) is the best. Therefore, in order to detect XSS vulnerabilities in Web applications more effectively, this paper presented a method that combines the static code analysis based on Tainted mode model with the sanitizing unit dynamic testing which includes the definition of the source rules, the sanitizing rules and the receiving rules of XSS vulnerabilities and the description of the dynamic detection algorithm for sanitizing unit. Analysis shows that this method can effectively find XSS vulnerabilities in Web applications.
作者 潘古兵 周彦晖
机构地区 西南大学计算机与信息科学学院 重庆信安网络安全等级测评有限公司
出处 《计算机科学》 CSCD 北大核心 2012年第B06期51-53,85,共4页 Computer Science
关键词 XSS漏洞 污染传播模型 净化单元 静态分析 动态检测 XSS vulnerability Tainted mode model Sanitizing unit Static analysis Dynamic testing
分类号 TP393 [自动化与计算机技术—计算机应用技术]
  • 相关文献

参考文献10

  • 1石华耀,等.黑客攻防技术宝典[M].北京:人民邮电出版社,2009. 被引量:1
  • 2Open Web Application Security Project. Testing Guide 2008 V3. 0. 被引量:1
  • 3Open Web Application Security Project. A guide to building secure Web applications. 被引量:1
  • 4董启雄,韩平,程永敬,等.安全编程:代码静态分析[M].北京:机械工业出版社,2008. 被引量:1
  • 5Petukhov A, Kozlov D. Detecting Security Vulnerabilities in Web Applications Using Dynamic Analysis with Penetration Testing [J]. OWASP Application Security Conference, 2008(3). 被引量:1
  • 6朱辉,沈明星,李善平.Web应用中代码注入漏洞的测试方法[J].计算机工程,2010,36(10):173-175. 被引量:9
  • 7Livshits B, Lain M S. Finding Security Vulnerabilities in Java Applications with Static Analysis[C]//Proceedings of the 14th conference on USENIX Security Symposium(SSYM' 05). Volume 14. 被引量:1
  • 8Ragle D. Introduction to Perl's Taint Mode[EB/OL]. http:// www. webreference. com/programming/perl/taint. 被引量:1
  • 9Wassermann G, Su Zhen-dong. Static Detection of Cross-Site Scripting Vulnerabilities [C]// Software Engineering, ACM/ IEEE 30th International Conference on, ICSE '08. 2008. 被引量:1
  • 10Open Sourced HTML filtering utility for Java[EB/OL]. http://xss-html-filter. sourceforge.net/. 被引量:1

二级参考文献4

共引文献8

同被引文献59

  • 1夏一民,罗军,张民选.基于静态分析的安全漏洞检测技术研究[J].计算机科学,2006,33(10):279-282. 被引量:29
  • 2OWASP[EB/OL].(2013-12-10).https://www.OWASP.org/index.php/. 被引量:1
  • 3XSS攻击技术详解[EB/OL].(2013-12-11).http://www.blogjava.net/qileilove/archive/2013/12/11/407435.html. 被引量:1
  • 4XSSer 1.5发布,XSS漏洞渗透测试工具[EB/OL].(2011-02-27).http://www.oschina.net/news/15819/XSSer-1-5-released. 被引量:1
  • 5浦石.Web安全渗透测试研究[D].西安:西安电子科技大学,2010. 被引量:2
  • 6Owasp.Top 10-2013[EB/OL].https://www.owasp.org/index.php/Top_10_2013-Top_10. 被引量:1
  • 7Jovanovic N,Kruegel C,Kirda E.Pixy:A static analysis tool for detecting Web application vulnerabilities[C]//2006 IEEE Symposium on Security and Privacy,2006:6. 被引量:1
  • 8Yichen Xie,Alex Aiken.Static Detection of Security Vulnerabilities in Scripting Languages[C]//Proc.15th Usenix Security Symp.(UsenixSS 06),Usenix,2006:179-192. 被引量:1
  • 9Monica S Lam,Michael Martin,Benjamin Livshits,et al.Securing Web Applications with Static and Dynamic Information Flow Tracking[C]//Proc.2008 ACM SIGPLAN symposium on Partial Evaluation and Semantics-Based Program Manipulation(PEPM 08),ACM,2008:3-12. 被引量:1
  • 10Gary Wassermann,Su Zhendong.Static Detection of Cross-Site Scripting Vulnerabilities[C]//Proc.30th Int’l Conf.Software Eng.(ICSE08),ACM,2008:171-180. 被引量:1

引证文献12

二级引证文献52

计算机科学
2012年 第B06期

相关作者

内容加载中请稍等...

相关机构

内容加载中请稍等...

相关主题

内容加载中请稍等...

浏览历史

内容加载中请稍等...
;
使用帮助 返回顶部