基于爬虫的XSS漏洞检测工具设计与实现

当前Web技术发展迅速,与其相关的安全问题也层出不穷。其中XSS攻击方式因具有隐蔽性而带来极大的隐私安全隐患。而目前国内对于XSS漏洞检测的研究较少,仍存在如XSS漏洞自动化检测准确率低等问题。因此,本文提出了一种基于爬虫的检测方案。通过模拟用户行为挖掘web隐藏页面,分析页面结构,更加充分地提取页面注入点。针对存储型XSS漏洞在检测过程中,输出数据不一定在响应页面的情况,提出了一种探子向量测试方法,对页面的注入点与输出点进行对应。同时,基于对现有的XSS攻击方式与变异方法的总结,设计并实现了一个XSS漏洞检测工具,即XSS-finder。最终实验证明,该检测工具的准确率可达82%,与同类工具相比更高。

一种隐蔽的Botnet命令控制信息传送方法

命令控制信息的安全传送是僵尸网络(Botnet)正常发挥作用的关键所在。针对Botnet命令控制信息的隐蔽传送问题,文章提出一种基于Web页面信息隐藏的命令控制信息传送方法,可分为命令控制信息转换、嵌入、发送与恢复等部分,并对每部分进行了较为详细的描述。