摘要
针对现有动态检测跨站脚本方法中存在传统爬虫不能爬取由JavaScript异步加载的网页数据等问题,提出一种基于PhantomJS的网络爬虫的跨站脚本检测方法,更加全面地获取网站页面与漏洞注入点.通过综合考虑字符串长度、字符类型等因素对攻击向量进行了优化,以绕过服务端的过滤机制,并提出一种基于自动化攻击向量与合法向量生成算法,在攻击过程中动态生成攻击向量与合法向量,以提高挖掘漏洞的准确性.依据所提出的检测方法,实现了一款跨站脚本漏洞检测工具(PhantomJS-based XSS scanner,PXS),并通过实验结果验证了所提出的方法能够有效发掘漏洞.
NETL
NSTL
万方数据