【文章內容簡介】 是相對較小的項目，由幾個人組成的小組甚至一名程序員來維護，未來的模糊測試將會有許多革新和發(fā)展，模糊測試還會發(fā)展到新的階段。這些年，模糊測試已經開始從學術研究 向商業(yè)應用方向發(fā)展，有越來越多的開發(fā)人員開始接受模糊測試技術。使用模糊測試技術，研究人員已經開發(fā)了不少的應用于 Web 應用程序漏洞的挖掘的模糊器，例如有 SPIKE 代理，WebScarab， SPI 模糊器， Codenomicon HTTP 測試工具， beSTORMOLU 等等，這李宗輝：基于模糊測試的漏洞發(fā)現(xiàn) 4 些都是優(yōu)秀的基于模糊測試技術的具有發(fā)掘 Web 應用程序和服務器漏洞功能的模糊器。 存在的問題 ： 但是這些工具大多是商業(yè)應用的測試工具，而本課文題在研究使用模糊測試技術發(fā)掘 Web 應用程序和服務器漏洞時，所涉及的模糊器 WebFuzz 是一款免費開源的專 門針對 Web 應用程序和服務器漏洞挖掘的工具。這款工具具有良好的可擴展性，它提供了一個可以而且應當被進一步創(chuàng)建的架構。其相關資料和源代碼可以在網站 中獲得。 應用領域 ： Web 應用程序和服務器的模糊測試器 WebFuzz 可應用于網站開發(fā)的安全測試和 Web 應用程序和服務器開發(fā)的安全測試。它用于發(fā)掘 Web 應用程序和服務器中的目錄遍歷漏洞，緩沖區(qū)溢出漏洞， SQL 注入漏洞， XSS 腳本漏洞等。 研究任務 本文的研究任務主要包括： Web 應用程序 跨站腳本 分析、 Web 應用程序漏洞挖掘模糊測試技 術研究、 跨站腳本 重現(xiàn)研究、 跨站腳本 探索挖掘研究四個部分。 研究任務表如下 表 11 所示： 表 11 研究任務表 腳本漏洞分析 WebFuzz 技術研究 腳本漏洞重現(xiàn) 腳本漏洞探索 腳本漏洞介紹 WebFuzz 介紹 熟悉 WebFuzz 探索未知漏洞 腳本漏洞觸發(fā)原理 WebFuzz 原理 重現(xiàn)漏洞 對比不同的技術 研究的技術路線如下 圖 12： 圖 1 2 擬采用的研究技術路線 中原工學院計算機學院畢業(yè)（設計）論文 5 跨站腳本 分析 ： 首先學習跨站腳本定義，明確跨站腳本分類，分析跨站腳本觸發(fā)原理。進而研究 跨站腳本 攻擊向量的 構造方法，以及變換形式。并在此基礎上進一步理解和總結跨站腳本 成因。 Web 模糊測試技術分析 ： 首先學習模糊測試技術的基本原理知識，在此基礎上研究本文提出的 Web 應用程序模糊器 —— WebFuzzer。分析本模糊器的工作原理，掌握本模糊器的使用方法。 跨站腳本 重現(xiàn)研究 ： 不斷總結發(fā)掘跨站腳本 的方法，更深理解其觸發(fā)原理。不斷掌握模糊器 WebFuzzer 的使用，構建發(fā)掘 Web 應用程序 跨站腳本 的發(fā)掘環(huán)境，并會利用 WebFuzzer 重現(xiàn)已知的漏洞。 跨站腳本 探索研究 ： 不斷總結 Web 應用程序跨站腳本 的形成原 理，掌握 Web應用程序模糊器 WebFuzzer 發(fā)掘跨站腳 洞的工作原理，總結和其他發(fā)掘工具相比時的優(yōu)勢。利用 WebFuzzer 探索發(fā)掘未知的跨站腳本。總結探索發(fā)現(xiàn)跨站腳本的過程，用合理的方法收集已發(fā)現(xiàn)的跨站腳本 。 論文結構 本次論文的文章架構如下：第 1 章，前言部分，總體上介紹研究 任務，說明項目 內容 ，介紹相關背景等；第 2 章 ，跨站腳本分析部分，本章深入分析 跨站腳本 成因及其他與跨站腳本 有關的知識；第 3 章 ， Web 模糊測試技術，本章 深入探討 Web模糊測試技術的原理，提出功能需求分析、和框架設計，深入分析模糊器設 計的核心函數算法 ；第 4 章，利用學到的知識對跨站腳本挖掘，這里用了源代碼分析的方法和模糊測試的方法；第 5 章對全文進行總結。 李宗輝：基于模糊測試的漏洞發(fā)現(xiàn) 6 第 2 章 跨站腳本 分析 來自 OWASP 的 20xx 年 Web 應用程序面臨的十大安全風險 報告顯示：跨站腳排名第二。而在以往的報告中，跨站腳本則一直穩(wěn)居第一。由此可見跨站腳本 在Web 應用程序中是很常見而且是危害很大的一類漏洞，本章 重點介紹這一類 Web 應用程序漏洞。從跨站腳本概述到成因，全面介紹跨站腳本 。 跨站腳本 概述 XSS 的全稱是 Cross Site Scripting，意思是 跨站腳本 .這第一個單詞是 Cross， 但因為 CSS 是層疊樣式表的縮寫（ Cascading Style Sheets）的縮寫，同時 Cross 發(fā)音和X 相似， 所以 為了避免混淆用 X 來代替縮寫成 XSS。 跨站點腳本（ XSS）是一個典型的 Web 應用程序計算機安全漏洞。允許攻擊者繞過客戶端的安全機制，可以使惡意攻擊者將客戶端腳本注入到其他用戶瀏覽的網頁里。截止到 20xx 年，賽門鐵克公司所記錄的安全記錄中有 80%為 跨站腳本 ，它的影響范圍可以從一個小小的滋擾到一個重大的安全風險。 OWASP 公布的 20xx 年和 20xx 年十大網絡安 全漏洞中，跨站腳本 都高居首位，最新公布的 20xx 年十大安全風險也為第二位 ，跨站腳本一直以來都是最常見的 安全漏洞。 跨站腳本 成因 超文本標記語言 a．超文本標記語言概述 要 了解 XSS 的觸發(fā) 原理 就先得從 HTML（超文本標記語言）開始 。 HTML（超文本標記語言） 是 描述網頁的一種語言。不是一種編程語言，而是一種標記語言，是由一套標記標簽組成的， HTML使用標記標簽來描述網頁。 HTML文檔包含 HTML標簽和純文本，是網頁的文字形式。 HTML 文檔 由 HTML 元素定義， HTML 元素是指從開始標簽到結束 標簽的所有代碼 。 HTML 元素以開始標簽開始以結束標簽終止，元素內容是開始標簽和結束標簽之間的內容 。 b．超文本標記語言標簽 HTML 標簽標記 HTML 文檔和 HTML 元素，瀏覽器通過這些標簽來識別文檔和元素的顯示格式。由開始標簽和結束標簽組成，開始標簽是被尖括號包圍的元素名，結束標簽是被尖括號包圍的斜杠和元素名。 某 寫 HTML 元素沒有結束標簽。 下中原工學院計算機學院畢業(yè)（設計）論文 7 面簡單介紹一下常用的 HTML 標簽。 HTML 文檔標簽 ： HTML 文檔是從 html標簽開始的，結束標簽為 /html。html 與 /html 之間的文本描述網 頁 。 HTML 文檔頭標簽 ： HTML 文檔頭標簽 head用于定義文檔的頭部 。 文檔的頭部描述了文檔的各種屬性和信息，包括文檔的標題、在 Web 中的位置以及和其他文檔的關系等。絕大多數文檔頭部包含的數據都不會真正作為內容顯示給讀者。 HTML 標題標簽 ： HTML 標題標簽 title 元素可定義文檔的標題。瀏覽器會以特殊的方式來使用標題，并且通常把它放置在瀏覽器窗口的標題欄或狀態(tài)欄上。同樣，當把文檔加入用戶的鏈接列表或者收藏夾或書簽列表時，標題將成為該文檔鏈接的默認名稱。 HTML 的主體標簽 ： HTML 文檔的主體 是由 body標簽進行定義的，和結束標簽分別為 body/body。 body 與 /body 之間的文本是可見的頁面內容 。 網頁中文章標題標簽 ： 網頁中文章的標題是用標簽 h1 h6定義的 。 h1 定義最大的標題。 h6 定義最小的標題。 c．超文本標記語言屬性 同時， HTML 標簽可以擁有屬性。屬性提供了有關 HTML 元素的更多的信息。屬性總是以名稱 /值對的形式出現(xiàn)。比如 name=value屬性總是在 HTML 元素的開始標簽中定義 。下面三個是標簽屬性舉例。 鏈接標簽的屬性 href指定鏈接地址 ： a href= is a link/a 標題標簽中的屬性 align 指定標題的對齊方式 。 主體標簽中的屬性 bgcolor 指定文檔的背景顏色 。 定義屬性時要注意：始終為屬性值加引號 ， 屬性值應該始終被包括在引號內。雙引號是最常用的，不過使用單引號也沒有問題。在某些 個別的情況下，比如屬性值本身就含有雙引號，那么您必須使用單引號。 d．超文本標記語言事件 HTML 事件 可以 觸發(fā)瀏覽器中的行為，比方說當用戶點擊某個 HTML 元素時啟動一段 JavaScript。 在現(xiàn)代瀏覽器中都內置有大量的事件處理器。這些處理器會監(jiān)視特定的條件或用戶行為，例如鼠標單擊或瀏覽器窗口中完成加載某個圖像。通過使用客戶端的 JavaScript，可以將某些特定的事件處理器作為屬性添加給特定的標簽，并可以在事件發(fā)生時執(zhí)行一個或多個 JavaScript 命令或函數。事件處理器的值是一個或一系列以分號隔開的 Javascript 表達式、方法和函數調用，并用引號引李宗輝：基于模糊測試的漏洞發(fā)現(xiàn) 8 起來。當事件發(fā)生時，瀏覽器會執(zhí)行這些代碼。例如，當您把鼠標移動到一個超鏈接時，會啟動一個 JavaScript 函數。支持 JavaScript 的瀏覽器支持 a 標簽中的一個特殊的 mouse over事件處理器 被稱為 onmouseover 來完成這項工作： a href=/ onmouseover=alert(39。Wele39。)。return false/a。 JavaScript a． JavaScript 概述 JavaScript 是一種基于對象和事件驅動并具有相對安全性的客戶端腳本語言。同時也是一種廣泛用于客戶端 Web 開發(fā)的腳本語言 ，常用來給 HTML 網頁添加動態(tài)功能，比如響應用戶的各種操作。 JavaScript 由數行可執(zhí)行計算機代碼組成。JavaScript 通常被直接嵌入 HTML 頁面。 JavaScript 是一種解釋性語言 ，這 就是說，代碼執(zhí)行不進行預編譯 。 b． JavaScript 功能 JavaScript 為 HTML 設計師提供了一種編程工 具。 JavaScript 是一種只擁有極其簡單的語法的腳本語言 ，可以 將短小的代碼片斷放入 HTML 頁面當中。 JavaScript 可以將動態(tài)的文本放入 HTML 頁面 ， 可以將 JavaScript 設置為當某事件發(fā)生時才會被執(zhí)行，例如頁面載入完成或者當用戶點擊某個 HTML 元素時。 JavaScript 可以讀寫 HTML 元素 。 JavaScript 可以讀取及改變 HTML 元素的內容。 JavaScript 可被用來驗證數據 ， 在數據被提交到服務器之前， JavaScript 可被用來驗證這些數據。JavaScript 可被用來檢測訪問者的瀏覽器 ， JavaScript 可被用來檢測訪問者的瀏覽器，并根據所檢測到的瀏覽器，為這個瀏覽器載入相應的頁面。 JavaScript 可被用來創(chuàng)建 cookies， JavaScript 可被用來存儲和取回位于訪問者的計算機中的信息。 c． JavaScript 標簽 HTML 的 script標簽用于把 Javascript 插入到 HTML 頁面當中 。 如果需要把一段 JavaScript 插入 HTML 頁面，需要使用 script 標簽（同時使用 type 屬性來定義腳本語言）。這樣， 就可以告訴瀏覽器 JavaScript 從何處開始，到何處結束。 d． JavaScript 放置 位置 JavaScript 放置 的位置。 你可以在文檔中放置任何數量的腳本，因此你既可以把腳本放置到 body，又可以放置到 head 部分。 當頁面載入時， 會執(zhí)行位于 body 部分的 JavaScript； 當被調用時，位于 head 部分的 JavaScript 才會被執(zhí)行 ， 也就是將腳本內容或者成為函數寫到 head 部分，在載入頁面的時候會先將腳本內容載入，然后中原工學院計算機學院畢業(yè)（設計）論文 9 再在后面的執(zhí)行過程中調用腳本內容 ， Body 部分的腳本內容會在載入頁面的時候就執(zhí)行 ； 還有一種是訪問外部腳本 ， 可以把 .js 文件放到網站目錄中通常存放腳本的子目錄中，這 樣更容易管理和維護。 e． JavaScript 語句 JavaScript 語句。 JavaScript 語句是發(fā)給瀏覽器的命令。這些命令的作用是告訴瀏覽器要做的事情。 下面主要列舉幾種常用語句： 聲明（創(chuàng)建） JavaScript 變量 ： 在 JavaScript 中創(chuàng)建變量經常被稱為“聲明”變量?？梢酝ㄟ^ var 語句來聲明 JavaScript 變量。 JavaScript 消息框 ： 可以在 JavaScript 中創(chuàng)建三種消息框：警告框、確認框、提示框。 警告框：警告框經常用于確保用戶可以得到某些信息。 當警告框出現(xiàn) 后，用戶需要點擊確定按鈕才能繼續(xù)進行操作。語法格式為： alert(文本 )。 確認框：確認框用于使用戶可以驗證或者接受某些信息。當確認框出現(xiàn)后，用戶需要點擊確定或者取消按鈕才能繼續(xù)進行操作。如果用戶點擊確認，那么返回值為 true。如果用戶點擊取消，那么返回值為 false。語法格式為： confirm(文本 )。 提示框：提示框經常用于提示用戶在進入頁面前輸入某個值。當提示框出現(xiàn)后，用戶需要輸入某個值，然后點擊確認或取消按鈕才能繼續(xù)操縱。如果用戶點擊確認，那么返回值為輸入的值。如果用戶點擊取消，那么返 回值為 null。 語法格式為：prompt(文本 ,默認值 )。 f