融合LSTM目录获取的Web漏洞检测方案

信息安全研究 ›› 2024, Vol. 10 ›› Issue (9): 824-.

融合LSTM目录获取的Web漏洞检测方案

黄长江1冯景瑜1王侃2安宇航1翟天旭1苏恒涛1

1(西安邮电大学网络空间安全学院西安710121)
2(空军工程大学教研保障中心西安710051)

出版日期:2024-09-25 发布日期:2024-09-29
通讯作者: 黄长江硕士研究生.主要研究方向为Web漏洞挖掘、访问控制. 970039157@qq.com
作者简介:黄长江硕士研究生.主要研究方向为Web漏洞挖掘、访问控制. 970039157@qq.com 冯景瑜博士，教授.主要研究方向为工业互联网安全、零信任内网安全、漏洞挖掘. fengjy@xupt.edu.cn 王侃硕士，工程师.主要研究方向为网络安全. 124543383@qq.com 安宇航硕士研究生.主要研究方向为工业互联网安全、Web漏洞挖掘. 867112452@qq.com 翟天旭硕士研究生.主要研究方向为零信任内网安全、工业互联网安全. 2456348544@qq.com 苏恒涛主要研究方向为Web漏洞挖掘、网络安全. 358099831@qq.com

A Web Vulnerability Detection Solution Integrating LSTM for Directory Acquisition

Huang Changjiang1, Feng Jingyu1, Wang Kan2, An Yuhang1, Zhai Tianxu1, and Su Hengtao1#br#

1(School of Cyberspace Security, Xi’an University of Posts and Telecommunications, Xi’an 710121)
2(Teaching and Research Support Center, Air Force Engineering University, Xi’an 710051)

Online:2024-09-25 Published:2024-09-29

摘要/Abstract

摘要： 针对当前漏洞检测方案在目录获取能力和漏洞检测范围的不足，提出了融合长短时记忆网络(LSTM)目录获取的Web漏洞检测方案，集成Arjun参数爆破高效获取基础目录路径，提出融合LSTM的目录获取方案，生成模糊目录路径，构造总体目录路径池，穿透隐藏目录，达到在短时间内获取更多有效目录路径数的目的.为解决当前漏洞检测方案难以覆盖非典型Web漏洞这一问题，将已提出的方案实现为一款自动化通用漏洞检测及验证工具，适用于典型及非典型漏洞，赋予其目录获取、漏洞检测及绕过Cookie，IP封锁等功能.实验仿真结果表明，该方案比典型目录爆破工具能够获取更多的有效目录路径，具备出色的目录获取能力，能以高效率、低误报率检测和覆盖更多类型的Web漏洞.

关键词: Web安全, 漏洞检测, 长短时记忆网络, 黑盒测试, 自动化工具

Abstract: Addressing the limitations of current vulnerability detection methods in directory acquisition capabilities and detection coverage, this paper proposes a Web vulnerability detection scheme that integrates LSTM (Long ShortTerm Memory) for directory acquisition. The proposed solution incorporates Arjun for efficient parameter bruteforcing technique to obtain basic directory paths and introduces an LSTMbased approach to generate fuzzy directory paths, constructing a comprehensive directory path pool that penetrates hidden directories and quickly acquires a larger number of valid directory paths. To overcome the challenge of detecting atypical Web vulnerabilities, the proposed solution has been implemented as an automated, universal vulnerability detection and verification tool. This tool is suitable for both typical and atypical vulnerabilities and is equipped with capabilities for directory acquisition, vulnerability detection, and bypassing techniques for cookies and IP blocking. Experimental results demonstrate that this solution outperforms typical directory bruteforcing tools by acquiring more valid directory paths, exhibiting excellent directory acquisition capabilities, and effectively detecting and covering a wider range of Web vulnerabilities with high efficiency and a low false positive rate.

Key words: Web security, vulnerability detection, LSTM, black box testing, automated tools

中图分类号:

TP393.0

黄长江, 冯景瑜, 王侃, 安宇航, 翟天旭, 苏恒涛, . 融合LSTM目录获取的Web漏洞检测方案[J]. 信息安全研究, 2024, 10(9): 824-.

参考文献

［1］Jovanovic N, Kruegel C, Kirda E. Pixy: A static analysis tool for detecting Web application vulnerabilities［C］ Proc of 2006 IEEE Symp on Security and Privacy (S&P’06). Piscataway, NJ: IEEE, 2006［2］Wassermann G, Su Z. Static detection of crosssite scripting vulnerabilities［C］ Proc of the 30th Int Conf on Software Engineering (ICSE’08). New York: ACM, 2008: 171180［3］付昌兰, 张贺, 李凤龙, 等. 一种基于威胁模型的安全测试用例生成框架和工具［JOL］. 软件学报, 2023 ［20240513］. https:jos.org.cnjosarticleabstract6793［4］胡志伟. Web应用安全漏洞扫描系统的设计与实现［D］. 北京: 北京邮电大学, 2013［5］廖微. 智能微电网中具有可扩展性的Web漏洞扫描工具研究与实现［J］. 信息安全研究, 2022, 8(12): 11981208［6］Howard G M, Gutierrez C N, Arshad F A, et al. pSigene: Webcrawling to generalize SQL injection signatures［C］ Proc of the 44th Annual IEEEIFIP Int Conf on Dependable Systems and Networks. Piscataway, NJ: IEEE, 2014: 4556［7］Zou D, Wang S, Xu S, et al, VulDeePecker: A deep learningbased system for multiclass vulnerability detection［J］. IEEE Trans on Dependable and Secure Computing, 2021 18(5): 22242236［8］Rathore S, Sharma P K, Park J H. XSSClassifier: An efficient XSS attack detection approachbased on machine learning classifier on SNSs［J］. Journal of Information Processing Systems, 2017, 13(4): 10141028［9］王丹, 赵文兵, 丁治明. Web应用常见注入式安全漏洞检测关键技术综述［J］. 北京工业大学学报, 2016, 42(12): 18221832［10］Kyaw A K, Sioquim F, Joseph J. Dictionary attack on Wordpress: Security and forensic analysis［C］ Proc of the 2nd Int Conf on Information Security and Cyber Forensics (InfoSec). Piscataway, NJ: IEEE, 2015: 158164［11］周中华, 张惠然, 谢江. 基于Python的新浪微博数据爬虫［J］. 计算机应用, 2014, 34(11): 31313134［12］Aggarwal V, Kaur D, Mittal S, et al. A comparative study of directory fuzzing tools［C］ Proc of 2023 Int Conf on Circuit Power and Computing Technologies (ICCPCT). 2023: 13681374

[1]	潘琪亮, 李明, 皮振中, 黄利文, 方中奎, . 基于DeepSpeed框架构建信息安全领域通用人工智能模型的探索[J]. 信息安全研究, 2024, 10(E1): 155-.
[2]	李健俊, 汪华文, 董惠良, 陈翔, . 消费行为数据采集平台的安全保障与预测模型研究[J]. 信息安全研究, 2024, 10(7): 649-.
[3]	陈洪森, 方勇, 郝城凌, 杨运涛, 张棋, . 基于小样本学习的源码漏洞检测[J]. 信息安全研究, 2024, 10(5): 440-.
[4]	罗乐琦, 张艳硕, 王志强, 文津, 薛培阳, . 基于BERT模型的源代码漏洞检测技术研究[J]. 信息安全研究, 2024, 10(4): 294-.
[5]	邱勤, 夏羿, 王国宇, 申屠欣欣, 马禹昇, 郑国忠, 王雪珊, . 基于SBOM的软件供应链安全关键技术的研究[J]. 信息安全研究, 2023, 9(E2): 66-.
[6]	闫一非, 文斌, 张逢, . 基于图神经网络的智能合约源码漏洞检测[J]. 信息安全研究, 2023, 9(E1): 55-.
[7]	王安琪, 杨蓓, 张建辉, 王瑞民, . SQL注入攻击检测与防御技术研究综述[J]. 信息安全研究, 2023, 9(5): 412-.
[8]	张明明, 刘凯, 李贤慧, 许梦晗, 顾颖程, 张见豪, 程环宇, . 基于深度学习的恶意行为检测与识别模型研究[J]. 信息安全研究, 2023, 9(12): 1152-.
[9]	王旭阳, 秦玉海, 任思远, . 基于机器学习的Android混合应用代码注入攻击漏洞检测[J]. 信息安全研究, 2023, 9(10): 940-.
[10]	周建华, 李丰, 湛蓝蓝, 杜跃进, 霍玮, . 一种基于无害处理识别的嵌入式设备漏洞检测方法[J]. 信息安全研究, 2023, 9(10): 954-.
[11]	贺文轩, 王颉, 王晓龙, 万振华, . 开源软件风险下的金融行业软件供应链安全解决方案[J]. 信息安全研究, 2022, 8(E1): 23-.
[12]	刘宇航, 刘军杰, 文伟平. 基于符号执行的代币买卖漏洞和权限转移漏洞的检测验证方法[J]. 信息安全研究, 2022, 8(7): 632-.
[13]	冯美琪, 韩杰, 李建欣. 基于攻击特征的Apache Shiro反序列化攻击检测模型[J]. 信息安全研究, 2022, 8(7): 656-.
[14]	颜天佑, 卢灏, . 基于端口扫描的变电站主机漏洞检测系统[J]. 信息安全研究, 2022, 8(2): 182-.
[15]	李涛, 田迎军, 葛阳晨, 田源, 李剑, . 物联网固件漏洞安全检测综述[J]. 信息安全研究, 2022, 8(12): 1146-.