公开(公告)号：CN109886018B

公开(公告)日：2021-01-05

申请号：CN201910071167.X

申请日：2019-01-25

Applicant: 北京工业大学

Inventor： 王丹 ,  秦亚芬 ,  赵文兵 ,  杜金莲 ,  付利华 ,  杜晓琳 ,  苏航

IPC: G06F21/55 ,  G06F21/56 ,  G06F21/57 ,  G06N3/12

Abstract: 本发明涉及一种基于遗传算法的存储型XSS攻击向量优化方法。本方法涉及了遗传算法过程中的编码、适应度函数设计、选择、交叉、变异。首先采用OWASP中收录的存储型的跨站脚本攻击向量作为基本攻击向量库，结合漏洞的相关特征，采用机器学习中常用的数据编码方式——one‑hot编码作为遗传算法中染色体的编码方式。设计遗传算法的适应度函数时将多路径覆盖率的因素考虑进去。其次，针对one‑hot编码方式，设计了单点交叉和变异操作。本发明总体使用python语言开发，具有可移植性强、运算速度快等优点，对存储型跨站脚本漏洞的研究具有重要意义。

公开(公告)号：CN109995771A

公开(公告)日：2019-07-09

申请号：CN201910208409.5

申请日：2019-03-19

Applicant: 北京工业大学

Inventor： 王丹 ,  秦亚芬 ,  林九川

IPC: H04L29/06 ,  H04L29/08

Abstract: 本发明涉及一种存储型XSS漏洞检测系统，该系统包括网络爬虫与注入点分析、攻击向量生成、漏洞检测三个模块。通过对网站爬取链接，解析并分析每一个网页，查找网页中的form表单。同时，对表单提交正常的探子，用于确定注入点的输出页面与位置。然后利用遗传算法生成适合本网站的攻击向量。最后在漏洞检测模块，根据前两个模块记录的注入点信息与攻击向量，实现模拟攻击，然后在其展示页面判断是否含有该攻击向量，并判断该攻击向量是否执行成功。若攻击向量执行成功，则表示存在漏洞。该发明针对存储型XSS漏洞进行了深入研究，并实现了检测系统，对XSS漏洞的检测具有很好的实用意义。

公开(公告)号：CN109886018A

公开(公告)日：2019-06-14

申请号：CN201910071167.X

申请日：2019-01-25

Applicant: 北京工业大学

Inventor： 王丹 ,  秦亚芬 ,  赵文兵 ,  杜金莲 ,  付利华 ,  杜晓琳 ,  苏航

IPC: G06F21/55 ,  G06F21/56 ,  G06F21/57 ,  G06N3/12

Abstract: 本发明涉及一种基于遗传算法的存储型XSS攻击向量优化方法。本方法涉及了遗传算法过程中的编码、适应度函数设计、选择、交叉、变异。首先采用OWASP中收录的存储型的跨站脚本攻击向量作为基本攻击向量库，结合漏洞的相关特征，采用机器学习中常用的数据编码方式——one-hot编码作为遗传算法中染色体的编码方式。设计遗传算法的适应度函数时将多路径覆盖率的因素考虑进去。其次，针对one-hot编码方式，设计了单点交叉和变异操作。本发明总体使用python语言开发，具有可移植性强、运算速度快等优点，对存储型跨站脚本漏洞的研究具有重要意义。