本發(fā)明涉及計算機測試
技術(shù)領域：
：，具體地，涉及一種自動生成存儲型xss攻擊向量的測試方法。
背景技術(shù)：
：：xss是web應用程序中最普遍的一類漏洞。根據(jù)不同的形成原因，xss可以分為三類：反射型、存儲型和dom型，其中存儲型xss危害性最為嚴重。針對存儲型xss的特點及其觸發(fā)方式，設計并實現(xiàn)了一款自動化生成存儲型xss攻擊向量的工具。使用該工具對國內(nèi)兩個大型視頻分享網(wǎng)站的日志發(fā)布系統(tǒng)進行測試，發(fā)現(xiàn)了6類導致存儲型xss漏洞的攻擊向量。目前，采用的存儲型xss攻擊向量的測試方法測試存在步驟繁瑣、自動化程度低和有效性差的缺陷。技術(shù)實現(xiàn)要素：本發(fā)明的目的在于，針對上述問題，提出一種自動生成存儲型xss攻擊向量的測試方法，以實現(xiàn)步驟簡單、自動化程度高和有效性好的優(yōu)點。為實現(xiàn)上述目的，本發(fā)明采用的技術(shù)方案是：一種自動生成存儲型xss攻擊向量的測試方法，主要包括：步驟1：將生成的測試用攻擊向量，存儲在一個.txt文件中，每個攻擊向量為一行；步驟2：webfuzz分行讀取.txt文件，并自動發(fā)送給web應用程序；步驟3：web應用程序相應并返回結(jié)果。進一步地，所述測試用攻擊向量的生成方法包括使用<script>、使用事件、使用url偽協(xié)議、使用css、使用expression。進一步地，所述測試用攻擊向量的變異方法包括使用大小寫、使用嵌套、插入混淆字符、使用html編碼。進一步地，所述測試的測試者通過任意增減html元素標簽和事件來獲得自己需要的攻擊向量集。進一步地，所述webfuzz為一個開源的web漏洞檢測工具，使用c#編寫，可以自動連續(xù)發(fā)送自定義的http請求，將webfuzz進行改進，修復了webfuzz在對攻擊向量連續(xù)進行post提交時content-length字段無法變動的缺陷。本發(fā)明的一種自動生成存儲型xss攻擊向量的測試方法，主要包括：步驟1：將生成的測試用攻擊向量，存儲在一個.txt文件中，每個攻擊向量為一行；步驟2：webfuzz分行讀取.txt文件，并自動發(fā)送給web應用程序；步驟3：web應用程序相應并返回結(jié)果，實現(xiàn)步驟簡單、自動化程度高和有效性好的優(yōu)點。附圖說明附圖用來提供對本發(fā)明的進一步理解，并且構(gòu)成說明書的一部分，與本發(fā)明的實施例一起用于解釋本發(fā)明，并不構(gòu)成對本發(fā)明的限制。在附圖中：圖1為本發(fā)明所述一種自動生成存儲型xss攻擊向量的測試方法的測試步驟圖。具體實施方式以下結(jié)合附圖對本發(fā)明的優(yōu)選實施例進行說明，應當理解，此處所描述的優(yōu)選實施例僅用于說明和解釋本發(fā)明，并不用于限定本發(fā)明。由圖1可知，一種自動生成存儲型xss攻擊向量的測試方法，主要包括：步驟1：將生成的測試用攻擊向量，存儲在一個.txt文件中，每個攻擊向量為一行；步驟2：webfuzz分行讀取.txt文件，并自動發(fā)送給web應用程序；步驟3：web應用程序相應并返回結(jié)果。測試用攻擊向量的生成方法包括使用<script>、使用事件、使用url偽協(xié)議、使用css、使用expression。測試用攻擊向量的變異方法包括使用大小寫、使用嵌套、插入混淆字符、使用html編碼。測試的測試者通過任意增減html元素標簽和事件來獲得自己需要的攻擊向量集。webfuzz為一個開源的web漏洞檢測工具，使用c#編寫，可以自動連續(xù)發(fā)送自定義的http請求，將webfuzz進行改進，修復了webfuzz在對攻擊向量連續(xù)進行post提交時content-length字段無法變動的缺陷。我們使用上述測試方法生成了364個攻擊向量，并利用這些攻擊向量分別對這些web應用程序進行了測試，其中在2個web應用程序中發(fā)現(xiàn)了存儲型xss漏洞，共有12個攻擊向量成功注入到了日志頁面中。下面列出了一些成功的攻擊向量：<imgstyle="xss:expression(alert('xss'))"><imgsrc="#"onmousemove="alert('xss')"><inputonerror="alert('xss')"src="#"type="image"><tableonmousemove="alert('xss')"border="1"><tr><th>xss</th></tr></table><imgsrc="javascript:alert('xss');">從測試中，我們可以看出這些web應用程序都對用戶輸入html格式的內(nèi)容做了過濾、凈化等防范措施。但其中有些做的不夠，如對expression未作防范，以及一些html事件調(diào)用處理的不夠。經(jīng)過測試后，這些都可以有針對性的進行改進。具體分析結(jié)果見表1。表1漏洞結(jié)果詳細說明如果攻擊者利用這些漏洞在頁面注入惡意代碼，那么所有訪問這些頁面的用戶都可能遭受攻擊。攻擊者可以劫持用戶正在進行的會話，而這可能會威脅到用戶敏感信息的泄露或財產(chǎn)的安全。攻擊者還可以利用這些漏洞掛上木馬或者發(fā)動蠕蟲攻擊，造成更大的社會危害。至少可以達到以下有益效果：本發(fā)明的一種自動生成存儲型xss攻擊向量的測試方法，主要包括：步驟1：將生成的測試用攻擊向量，存儲在一個.txt文件中，每個攻擊向量為一行；步驟2：webfuzz分行讀取.txt文件，并自動發(fā)送給web應用程序；步驟3：web應用程序相應并返回結(jié)果，實現(xiàn)步驟簡單、自動化程度高和有效性好的優(yōu)點。最后應說明的是：以上所述僅為本發(fā)明的優(yōu)選實施例而已，并不用于限制本發(fā)明，盡管參照前述實施例對本發(fā)明進行了詳細的說明，對于本領域的技術(shù)人員來說，其依然可以對前述各實施例所記載的技術(shù)方案進行修改，或者對其中部分技術(shù)特征進行等同替換。凡在本發(fā)明的精神和原則之內(nèi)，所作的任何修改、等同替換、改進等，均應包含在本發(fā)明的保護范圍之內(nèi)。技術(shù)特征：技術(shù)總結(jié)本發(fā)明公開了一種自動生成存儲型XSS攻擊向量的測試方法，主要包括：步驟1：將生成的測試用攻擊向量，存儲在一個.txt文件中，每個攻擊向量為一行；步驟2：WebFuzz分行讀取.txt文件，并自動發(fā)送給Web應用程序；步驟3：Web應用程序相應并返回結(jié)果。本發(fā)明的一種自動生成存儲型XSS攻擊向量的測試方法，可以實現(xiàn)步驟簡單、自動化程度高和有效性好的優(yōu)點。技術(shù)研發(fā)人員：李煒;何劍受保護的技術(shù)使用者：廣西科技大學技術(shù)研發(fā)日：2017.03.15技術(shù)公布日：2017.08.29