-
题名面向规则缺陷的浏览器XSS过滤器测试方法
- 1
-
-
作者
桂智杰
舒辉
-
机构
中国人民解放军信息工程大学网络空间安全学院
数学工程与先进计算国家重点实验室
-
出处
《网络与信息安全学报》
2018年第11期69-77,共9页
-
文摘
为了缓解跨站脚本(XSS,cross-sitescripting)攻击,现代浏览器使用XSS过滤器进行防御,现有方法很难有效对浏览器XSS过滤器的安全性进行测试与评估。规则缺陷是浏览器XSS过滤器实现过程中的缺陷和安全问题。面向浏览器XSS过滤器规则缺陷,给出其形式化定义,设计测试样例和场景生成算法。为了定量测试与评估不同浏览器XSS过滤器的过滤水平,结合过滤成功率、误报率、输入损耗计算过滤能力。基于所提方法,设计原型系统对几种主流浏览器XSS过滤器进行自动化测试,得到了不同浏览器的XSS过滤能力。经过实际测试,该系统具备发现未公开漏洞的能力。
-
关键词
跨站脚本攻击
浏览器XSS过滤器
规则缺陷
过滤能力
-
Keywords
cross-site scripting attack
browser XSS filter
rule-defect
filtering capabilitiy
-
分类号
TP309
[自动化与计算机技术—计算机系统结构]
-