最近决定,精读论文后写一下读后感或概述之类的东西,像CSDN里的那样写点东西。感觉单独发在文章里有点乱,就单独开一个Page写。
List:
jÄk: Using Dynamic Analysis to Crawland Test Modern Web Applications
本文提出了一种基于客户端JavaScript程序动态分析的Web应用开发新技术。我们使用动态分析来Hook JavaScript API,这使我们能够检测事件的注册、网络通信API的使用以及动态生成的URL或用户表单。然后,我们建议使用导航图来执行进一步的爬行。基于这一新的爬行技术,我们提出了一种Web应用扫描器jÄk。我们在13个web应用程序上将jÄk与现有的四个web应用程序扫描器进行了比较。实验表明,我们的方法可以探测到比现有方法大86%的Web应用面。
Enemy of the state: A state-aware black-box web vulnerability scanner
我们提出了一种从外部推断Web应用程序内部状态机的新方法,即通过在Web应用程序中导航,观察输出的差异,并增量地生成表示Web应用程序状态的模型。我们利用推断出的状态机来驱动黑盒Web应用漏洞扫描器。我们的扫描器遍历Web应用程序的状态机,以查找和Fuzz用户输入向量,并发现安全漏洞。
Next