1、 毕业设计(论文) 题目名称:基于模糊测试的漏洞发现 跨站脚本模糊测试 基于模糊测试的漏洞发现 跨站脚本模糊测试 Vulnerability Discovery based on fuzz testing XSS fuzz testing 2011 年 06 月 I 中文摘要 跨站脚本漏洞是 Web 应用程序中最常见的一种漏洞,广泛存在于 Web 应用程序和服 务器中,很多计算机病毒、蠕虫等都是利用了跨站脚本,其危害性甚大。怎样发掘 Web 应 用程序中跨站脚本漏洞,成了 Web 应用程序开发人员关注的重要问题。本文以 Web 应用 程序跨站脚本为研究对象,研究 Web 应用程序跨站脚本漏洞模
2、糊测试技术。论文包括以下 研究工作。 首先,分析跨站脚本漏洞成因,重点研究了 HTML,JavaScript。触发跨站脚本的原因 分为以下两种:通过闭合标签触发跨站脚本,通过标签属性传递值触发跨站脚本。跨站脚 本分为两种类型:反射型跨站脚本和持久型跨站脚本。然后,使用源代码分析方法发掘跨 站脚本。在分析跨站脚本成因时,提出了利用源代码挖掘跨站脚本的方法。用这种方法挖 掘跨站脚本是最基础的一种挖掘方法,用分析源代码的方法寻找到若干跨站脚本漏洞。再 者,重点分析了模糊测试原理,提出了模糊测试功能需求分析和框架设计,研究了实现模 糊测试技术的核心算法。研究了模糊测试技术挖掘跨站脚本漏洞的方法技巧,总
3、结了关键 步骤,使用模糊器挖掘若干未知漏洞。最后应用模糊测试技术,发掘未知跨站脚本漏洞, 并做收集记录添加在附录 C 中。 本文研究意义为: 能迅速挖掘跨站脚本漏洞, 能有效测试 Web 应用程序中的跨站脚本。 这为继续研究模糊测试 Web 应用程序提供了基础,为构建 Web 应用程序模糊测试系统探 索了思路。 关键词: Web 应用程序; 跨站脚本; 模糊测试技术; 模糊器; WebFuzz Abstract Cross-site scripting vulnerability is the most common web applications and servers vulnerabi
4、lity, which widely exists in the internet. Many computer viruses and worms are based on cross-site scripts. And the cross-site scripts harm is very serious. So how to explore cross-site scripting vulnerabilities has been the web application developers important concern. The main work what I have don
5、e in this paper is the following research: First, what I have done is analyzing the causes of cross-site scripting vulnerability. For this, I mainly focus on the HTML, JavaScript knowledge. And as a result, I divide the reasons into the following two situations: triggered by closing tags, or trigger
6、ed by passing tags property value. And also I find that cross-site scripting vulnerability can be divided into two types: Reflected XSS and Stored XSS. Second, what I have done is using the source code analysis method to explore cross-site scripting vulnerabilities. When I analyze the causes of cross-site scripting vulnerability, I propose how to use source code method to explore cross-site scripting. It is the most basic method to explore XSS by this way. I have found a number of
