第二章 XSS相关技术研究
2.1XSS攻击技术分析
XSS是一种跨站点的脚本攻击,恶意攻击者提前将恶意脚本的代码私自的插入Web浏览的页面。当用户进行搜索内容的页面浏览时,提前嵌入在Web中的脚本代码就可以窥探用户的个人信息,以此来达到对用户进行恶意攻击,实现恶意攻击者的不法目的。 举个简单的例子是留言板[6]。 我们可以知道,留言板的常见任务之一是显示用户评论的内容。 正常情况下,用户留言的内容是用普通语言显示的,留言板,显示也没有问题。 但是,当我们问这个问题时,如果有人不遵守规则,请在消息中添加一行,消息接口随后变为页代码的形式,这里我们用DVWA为例子。如图2-1所示。
图2-1向“test”用户发送信息
我是一个名叫“test”的人,发了一段信息。
我们点击发送。如图2-2所示
图2-2控制台发出警告
第三章基于爬虫的XSS漏洞检测算法研究
3.1基于文本相似度算法的页面去重
企业比较和分析两个不同对象(商品,文本)之间的共性,这里的相似度可以作为估计抽象的百分比。在推荐系统工程中,计算结果的相似性是将一定量的信息推送给用户。这是所有类型的相似性,然后选择最高的项目。人们很容易判断对象的相似性,并且人们在他们的脑海中将具有重要的考虑。那么程序如何知道呢?如果是文本分析,将首先使用分词技术,然后删除不必要的词(模态词,连接词)。然后对词进行抽象加权,最后使用一些方法来计算整个词的相似度。如果有的话,那么可能首先需要清理数据,留下一个代表这些固定重量部件一部分的对象,并带有那些关键特征进行整体估算。
distance = numpy.linalg.norm(vec1 - vec2)//使用python计算欧几里得距离
similarity = 1.0/(1.0 + np.linalg.norm(dataA - dataB))//相似度
3.2基于正则匹配的漏洞注入点定位算法
在一个表单文本框中进行编写提交表单时,非常容易将文本中的字符当做script代码解析破译。这个漏洞完全可以用来进行对客户的攻击或者窃取用户cookie从而可以登录他人的账户,随心的进行不法的操作。那么我们首先在源头上就要做到帮助用户数据输入的信息进行校验,如果输入非法字符,就要进行提醒,下面是一个代码,使用正则表达式来过滤敏感字符。
s =KaTeX parse error: Expected 'EOF', got '#' at position 3: ("#̲problemKey").va…^&()=|{}‘:;’,\[\].<>~!@#¥……&()——|{}【】‘;:”“'。,、?]");
var rs = “”;
for (var i = 0; i < s.length; i++) {
rs = rs+s.substr(i, 1).replace(pattern, ‘’);
}
return rs;
第四章 XSS漏洞检测插件的实现与测评
4.1插件的实现
插件的实现与我的想象是有些许差别的,最开始我以为插件就是脚本,但是在查阅资料后对插件的有了更多的了解。这里我使用的是Firefox浏览器,这个浏览器十分方便,功能也很强大,在其扩展组件中,有个叫Greasemonkey俗称“油猴子”的扩展组件,安装之后就可以直接在Greasemonkey里面写你想使用的插件,也就是自定义插件。如图4-1所示。
图4-1代码编写示意图
值得提到的一点是,因为油猴子本身不会检测语法错误,所以我在初次油猴子中编写插件时,编写完成,插件没有错误,但是插件却一直无法运行,经过查阅资料才知道。如果需要引用外部文件或者是库,比如jQuery,这就需要在UserScript中使用@require。,所以导致我在这耗费了许多时间。整个插件分为四个部分,分别是基础参数,URL参数检测XSS,伪静态检测XSS和form表单检测XSS。
4.2插件的测试
在我使用维普查重网站的时候,有趣的一幕出现了。当时我并没有关闭检测插件,所以便出现了这一幕,如图4-2所示。维普查重的URL的参数orderid存在XSS漏洞。
图4-2维普查重检测结果
随后我在一个专门用于测试XSS漏洞的平台中,测试插件的检测准确度,如图4-3所示。不出意外的检测到了XSS漏洞。基本可以确定插件的检测功能的正常,且效率不低。
4.3本章小结
接口由插件公开,并被主程序所调用。在实际的所有的开发应用程序中,主程序是没有任何的公开接口的。调用该插件也是为了增加信息系统的灵活性。从结构化程序结构设计、面向对象方法到基于构件的软件产品开发,难度逐渐的增加,功能需求也是越来越强的,系统的灵活性能也就越来越好。根据要创建的插件系统,不同的企业开发人员可以选择合适的方法。作为一种特殊的插件组件,所有组件都具有优良的特性。这些特点使得开发、推广、应用变得更加有必要和实际的价值,可以使产品的开发基于插件技术,并通过不同规格的系列。插件的组合可以快速完成并且满足不同的客户需求,升级本地的修改插件[3]。
文章底部可以获取博主的联系方式,获取源码、查看详细的视频演示,或者了解其他版本的信息。
所有项目都经过了严格的测试和完善。对于本系统,我们提供全方位的支持,包括修改时间和标题,以及完整的安装、部署、运行和调试服务,确保系统能在你的电脑上顺利运行。
)
