论文研究基于动态污点传播模型的DOMXSS漏洞检测.pdf

由于存在恶意代码不回显等特点，DOMXSS漏洞（DOM型跨站脚本漏洞）隐蔽性较强，利用传统的特征匹配的方法无法检测。分析DOMXSS漏洞的形成原理，提出一种基于动态污点传播模型的DOMXSS漏洞检测算法，重点研究污点引入和污点检查，利用混合驱动爬虫实现自动化检测，采用函数劫持等方法检测污点数据的执行，并设计实现了原型系统DOM-XSScaner。在实验环境中与现有工具进行对比实验，实验数据显示原型系统提高了检测未过滤DOMXSS漏洞的准确率、召回率和效率，证明提出的算法能对DOMXSS漏洞进行有效检测。