CN104794396B - 跨站式脚本漏洞检测方法及装置 - Google Patents
跨站式脚本漏洞检测方法及装置 Download PDFInfo
- Publication number
- CN104794396B CN104794396B CN201410019958.5A CN201410019958A CN104794396B CN 104794396 B CN104794396 B CN 104794396B CN 201410019958 A CN201410019958 A CN 201410019958A CN 104794396 B CN104794396 B CN 104794396B
- Authority
- CN
- China
- Prior art keywords
- url
- test case
- parameter
- type
- web page
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Information Transfer Between Computers (AREA)
Abstract
本发明公开了一种跨站式脚本漏洞检测方法及装置,属于网络安全领域。所述方法包括:利用预定的探测参数修改URL中的参数值,将携带有该URL的请求发送至服务器;当接收到的该URL的网页内容中存在该探测参数时,则获取探测参数在网页内容中的位置;根据位置处的标签属性确定需要的测试用例的类型;根据类型下的测试用例对原始的URL进行XSS漏洞的检测。本发明通过在探测出URL具有存在XSS漏洞的可能性时,确定出对XSS漏洞进行检测时需要的测试用例的类型,根据该类型下的测试用例对URL进行XSS漏洞的检测;解决了现有技术中对URL进行XSS漏洞检测时,检测效率非常低的问题;达到了很大程度上提高检测的效率的效果。
Description
技术领域
本发明涉及网络安全领域,特别涉及一种跨站式脚本漏洞检测方法及装置。
背景技术
跨站式脚本(Cross-Site Scripting,通常简称为XSS)漏洞是指攻击者在统一资源定位符(Uniform Resource Locator,URL)中插入恶意代码,由于网络服务器没有过滤URL中的这些恶意代码,因此导致URL所对应的网页内容中具有恶意代码,从而导致这些恶意代码被执行,达到攻击正常用户的目的。因此很有必要对URL进行XSS漏洞的检测。
在对URL进行XSS漏洞检测时,首先对该URL进行探测,当探测出该URL很可能存在XSS漏洞时,则依次利用各个测试用例对该URL进行XSS漏洞检测,即将选取的一个测试用例添加至该URL中,并将携带有该URL的请求发送给服务器,接收服务器针对该请求返回的网页内容,检测该网页内容中是否存在与该测试用例对应的匹配值,若存在,则表明该URL存在XSS漏洞,否则,使用下一个测试用例继续对该URL进行XSS漏洞检测的步骤。
在实现本发明的过程中,发明人发现现有技术至少存在以下问题:在探测到URL可能会存在XSS漏洞时,需要依次通过测试用例对该URL进行XSS漏洞的检测,直到确定出该URL存在XSS漏洞,或者使用完所有测试用例确定出该URL不存在XSS漏洞为止,检测效率非常低。
发明内容
为了解决现有技术中对URL进行XSS漏洞检测时,检测效率非常低的问题,本发明实施例提供了一种跨站式脚本漏洞检测方法及装置。所述技术方案如下:
第一方面,提供了一种跨站式脚本漏洞检测方法,所述方法包括:
利用预定的探测参数修改统一资源定位URL中的参数值,向服务器发送用于获取参数值被所述探测参数修改后的所述URL的网页内容的请求,以便所述服务器根据所述URL返回与所述URL相关的网页内容;
当接收到的所述服务器返回的所述网页内容中存在所述探测参数时,则获取所述探测参数在所述网页内容中的位置;
根据所述位置处的标签属性确定需要的测试用例的类型;
根据所述类型下的测试用例对原始的所述URL进行跨站式脚本漏洞的检测。
第二方面,提供了一种跨站式脚本漏洞检测装置,所述装置包括:
参数修改模块,用于利用预定的探测参数修改统一资源定位URL中的参数值,向服务器发送用于获取参数值被所述探测参数修改后的所述URL的网页内容的请求,以便所述服务器根据所述URL返回与所述URL相关的网页内容;
位置获取模块,用于当接收到的所述服务器返回的所述网页内容中存在所述探测参数时,则获取所述探测参数在所述网页内容中的位置;
类型确定模块,用于根据所述位置获取模块获取的所述位置处的标签属性确定需要的测试用例的类型;
漏洞检测模块,用于根据所述类型确定模块确定的所述类型下的测试用例对原始的所述URL进行跨站式脚本漏洞的检测。
本发明实施例提供的技术方案带来的有益效果是:
通过在探测出URL具有存在XSS漏洞的可能性时,确定出对XSS漏洞进行检测时需要的测试用例的类型,根据该类型下的测试用例对URL进行XSS漏洞的检测;解决了现有技术中对URL进行XSS漏洞检测时,检测效率非常低的问题;由于可以确定出URL中可能存在的XSS漏洞的类型,因此仅需要选取可以检测到该类型XSS漏洞的测试用例即可实现对URL中XSS漏洞的检测,极大地降低了测试用例的个数,达到了很大程度上提高检测的效率的效果。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明部分实施例中提供的跨站式脚本漏洞检测方法所涉及的实施环境示意图;
图2是本发明一个实施例中提供的跨站式脚本漏洞检测方法的方法流程图;
图3是本发明另一个实施例中提供的跨站式脚本漏洞检测方法的方法流程图;
图4是本发明部分实施例中提供的确定测试用例的类型的流程图;
图5是本发明一个实施例中提供的跨站式脚本漏洞检测装置的结构示意图;
图6是本发明另一个实施例中提供的跨站式脚本漏洞检测装置的结构示意图;
图7是本发明一部分实施例中提供的终端的结构方框图;
图8是本发明另一部分实施例中提供的终端的结构方框图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。为了便于说明,文中在部分描述中将“跨站式脚本漏洞”描述为“XSS漏洞”。
请参见图1所示,其示出了本发明部分实施例中提供的跨站式脚本漏洞检测方法所涉及的实施环境示意图,该实施环境可以包括终端120和服务器140,终端120可以通过有线网络方式或无线网络方式与服务器140连接。
终端120中通常可以安装有浏览器,终端120可以将携带有URL的HTTP(HyperTextTransfer Protocol,超文本传输协议)请求发送至服务器140。终端120可以包括智能手机、台式电脑、平板电脑、智能电视、电子书阅读器、MP3播放器(Moving Picture ExpertsGroup Audio Layer III,动态影像专家压缩标准音频层面3)、MP4(Moving PictureExperts Group Audio Layer IV,动态影像专家压缩标准音频层面4)播放器、膝上型便携计算机和台式计算机等等。
服务器140可以对终端120发送的HTTP请求进行解析,并将解析后得到的URL的网页内容返回给终端120。服务器140可以是一台服务器,或者由若干台服务器组成的服务器集群,或者是一个云计算服务中心。
请参见图2所示,其示出了本发明一个实施例中提供的跨站式脚本漏洞检测方法的方法流程图,该跨站式脚本漏洞检测方法主要以应用于图1所示的实施环境中的终端120中进行举例说明。该跨站式脚本漏洞检测方法可以包括:
201,利用预定的探测参数修改统一资源定位URL中的参数值,向服务器发送用于获取参数值被探测参数修改后的URL的网页内容的请求,以便服务器根据该请求返回与URL相关的网页内容;
202,当接收到的服务器返回的网页内容中存在探测参数时,则获取探测参数在网页内容中的位置;
203,根据位置处的标签属性确定需要的测试用例的类型;
204,根据类型下的测试用例对原始的URL进行跨站式脚本漏洞的检测。
综上所述,本发明实施例中提供的跨站式脚本漏洞检测方法,通过在探测出URL具有存在跨站式脚本XSS漏洞的可能性时,确定出对XSS漏洞进行检测时需要的测试用例的类型,根据该类型下的测试用例对URL进行XSS漏洞的检测;解决了现有技术中对URL进行XSS漏洞检测时,检测效率非常低的问题;由于可以确定出URL中可能存在的XSS漏洞的类型,因此仅需要选取可以检测到该类型XSS漏洞的测试用例即可实现对URL中XSS漏洞的检测,极大地降低了测试用例的个数,达到了很大程度上提高检测的效率的效果,且由于可以探测参数所在的位置也就是非法代码所在的位置,因此根据该位置确定的检测用例能准确的判定出URL是否存在XSS漏洞,达到了可以提高检测的准确性的效果。
请参见图3所示,其示出了本发明另一个实施例中提供的跨站式脚本漏洞检测方法的方法流程图,该跨站式脚本漏洞检测方法主要以应用于图1所示的实施环境中的终端120中进行举例说明。该跨站式脚本漏洞检测方法可以包括:
301,利用预定的探测参数修改统一资源定位URL中的参数值,向服务器发送用于获取参数值被探测参数修改后的URL的网页内容的请求,以便服务器根据该请求返回与URL相关的网页内容;
这里的探测参数是预先设定的,该探测参数可以是字符串,为了能够实现探测的目的,探测参数通常与原始的URL所对应的网页内容的代码中的字符串不同,也即在原始的URL所对应的网页内容的代码中查找不到与该探测参数相同的字符串。
在实际应用中,在检测该URL是否具有XSS漏洞的风险时,可以利用预定的探测参数修改URL中的参数值,具体可以为:利用该预定的探测参数替换URL中的参数值或将该预定的探测参数添加至该URL中参数值的后面。
举例来讲,存在一个URL为:http://moll.baotao.com/name=hekou,如果预定的探测参数为“tancecanshu”,则将该探测参数添加至该URL中参数name所对应的参数值“hekou”的后面,则加载后的URL可以为:http://moll.baotao.com/name=hekoutancecanshu,而如果利用该探测参数替换该URL中参数name所对应的参数值“hekou”,则加载后的URL可以为:http://moll.baotao.com/name=tancecanshu。
当携带有参数值被探测参数修改后的URL的http请求发送给服务器之后,服务器则会对在接收到该HTTP请求之后对该URL进行解析,并返回与参数值被探测参数修改后的该URL对应的网页内容。
302,检测接收到的服务器返回的网页内容中是否存在探测参数,当接收到的服务器返回的网页内容中存在探测参数时,则执行步骤303,当接收到的服务器返回的网页内容中不存在探测参数时,则执行步骤310;
当接收到的服务器返回的网页内容的代码中存在该探测参数,则表明该URL存在XSS漏洞的可能性。也就是说,当服务器返回的URL的网页内容中存在该探测参数,则表明如果非法代码也进行了与探测参数相同的加载处理时,服务器返回的网页内容中也会同样出现该非法代码,也即该URL存在可被非法代码注入的XSS漏洞接口。
而当接收到的服务器返回的网页内容的代码中不存在该探测参数,则表明该URL不存在XSS漏洞的可能性。也就是说,当服务器返回的URL的网页内容中不存在该探测参数,表明服务器对参数值进行了过滤处理,也即即使非法代码也进行了与探测参数相同的加载处理,服务器返回的网页内容中也同样不会出现该非法代码,也即该URL不存在可被非法代码注入的XSS漏洞接口。
303,获取探测参数在网页内容中的位置;
当接收到的服务器返回的网页内容中存在探测参数时,则可以获取探测参数在网页内容的代码中的位置。
304,根据预定的标签属性和需要的测试用例的类型的对应关系,确定该位置处的标签属性所对应的测试用例的类型;
由于网页内容的代码中的位置通常是与标签相关的,比如该探测参数可以位于某个标签的内容或位于某个标签的外部,而不同的标签通常对应不同的测试用例的类型。由于探测参数出现的位置也就是非法代码在攻击时将会出现的位置,因此如果需要对非法代码进行检测,需要与探测参数出现的位置对应的类型下的检测用例检测该位置处的非法代码。
在实际应用中,预定的标签属性和需要的测试用例的类型存在对应关系,可以根据这些对应关系确定该位置处的标签属性所对应的测试用例的类型,具体可以参见图4所示,其示出了本发明部分实施例中提供的确定测试用例的类型的流程图,取探测参数为Xsscode,则确定测试用例的类型的过程可以包括:
41,判断Xsscode是否出现在<script>Xsscode</script>;
42,若判断结果为Xsscode出现在<script>Xsscode</script>,则判断Xsscode是否出现在Xsscode’;
43,若判断结果为Xsscode出现在Xsscode’,则判定需要的测试用例的类型为TS_APOS_SCRIP;
44,若判断结果为Xsscode未出现在Xsscode’,则判断Xsscode是否出现在Xsscode’’;
45,若判断结果为Xsscode出现在Xsscode’’,则判定需要的测试用例的类型为TS_QUOT_SCRIP;
46,若判断结果为Xsscode未出现在Xsscode’’,则判定需要的测试用例的类型为TS_TEXT;
47,若判断结果为Xsscode未出现在<script>Xsscode</script>,则判断Xsscode是否出现在<tagattr=“Xsscode”><;
48,若判断结果为Xsscode出现在<tag attr=“Xsscode”><,则判定需要的测试用例的类型为TS_QUOT_VALUE;
49,若判断结果为Xsscode未出现在<tag attr=“Xsscode”><,则判断Xsscode是否出现在<tag attr=Xsscode><;
410,若判断结果为Xsscode出现在<tag attr=Xsscode><,则判定需要的测试用例的类型为TS_APOS_VALUE;
411,若判断结果为Xsscode未出现在<tag attr=Xsscode><,则判断Xsscode是否出现在<![CDATA[Xsscode]]><;
412,若判断结果为Xsscode出现在<![CDATA[Xsscode]]><,则判定需要的测试用例的类型为TS_CDATA_XML;
413,若判断结果为Xsscode未出现在<![CDATA[Xsscode]]><,则判断Xsscode是否出现在<tag src=‘Xsscode’>或<tag href=‘Xsscode’>;
414,若判断结果为Xsscode出现在<tag src=‘Xsscode’>或<taghref=‘Xsscode’>,则判定需要的测试用例的类型为TS_LINK_VALUE。
305,依次选取类型下的测试用例;
在实际应用中,每种类型包括至少一个测试用例,也就是说测试用例是分类的,比如A类型下对应100个测试用例,B类型下对应200个测试用例,C类型下对应150个测试用例。每种类型下的测试用例的个数可以相同也可以不同,每种类型下的测试用例的个数通常是根据实际情况确定。
由于已经确定了选取的测试用例的类型,因此可以依次选取该类型的测试用例,通过选取的测试用例对该原始的URL进行测试,这里所说的原始的URL是指没有添加探测参数的URL,该原始的URL通常是用户输入或点击的链接地址,因此需要对该原始的URL进行XSS漏洞的检测。
306,利用选取的测试用例修改原始的URL中的参数值,向服务器发送用于获取参数值被测试用例修改后的URL的网页内容的请求,以便服务器根据该请求返回与URL相关的网页内容;
利用选取的测试用例修改原始的URL中的参数值,可以包括:利用选取的测试用例替换原始的URL中的参数值或将选取的测试用例添加至原始的URL中参数值的后面。
由于测试用例是用于测试相关位置非法代码的代码,因此需要将测试用例添加非法代码可能出现的位置附近,也即可以将测试用例添加在原始的URL中参数值的后面。
终端在通过测试用例修改原始的URL中的参数值之后,则可以向服务器发送HTTP请求,该HTTP请求中包含有参数值被测试用例修改后的URL,这样,服务器则会根据该HTTP请求返回该被测试用例修改后的URL的网页内容。
307,检测接收到的服务器返回的网页内容中是否存在与测试用例对应的匹配值,匹配值为预先设定的用于反映测试用例成功检测出URL存在跨站式脚本漏洞的值;
一般的,测试用例可以在网页内容中自动执行,以检测网页内容中的代码中是否存在能够用该测试用例检测出来的非法代码,如果存在,则会返回一个与该测试用例对应的匹配值,该匹配值即用于表示通过该测试用例已经成功检测出网页内容中存在非法代码,也即网页内容对应的URL中存在XSS漏洞。
通常来讲,不同的测试用例所对应的匹配值是不同的,也因此可以根据网页内容中是否存在测试用例所对应的匹配值,来判断该网页内容是否存在XSS漏洞。
308,若检测结果为接收到的服务器返回的网页内容中存在与测试用例对应的匹配值,则判定URL存在跨站式脚本漏洞,停止对类型下的剩余测试用例的选取;
309;若检测结果为接收到的服务器返回的网页内容中不存在与测试用例对应的匹配值,则进一步检测该类型下是否还存在剩余的测试用例,若检测结果为该类型下还存在剩余的测试用例,则继续进行步骤305,若检测结果为该类型下不存在剩余的测试用例,则执行步骤310;
也就是说,在选取的测试用例没有检测出XSS漏洞时,还需要继续选取同类型下的下一个测试用例进行XSS漏洞的测试,也即重新将选取的测试用例走步骤306至步骤308的流程,直到该类型下的所有测试用例均测试完,如果这些测试用例都没有确定出存在XSS漏洞时,则可以判定该URL不存在XSS漏洞。
310,判定该URL不存在跨站式脚本漏洞。
当根据步骤302检测出接收到的服务器返回的网页内容中不存在探测参数时,也即意味着该URL不存在可被非法代码注入的接口,因此可以直接判定该URL不存在XSS漏洞。
当根据探测参数确定检测时需要的检测用例的类型之后,如果该类型下的所有检测用例在步骤309中的检测结果均为接收到的服务器返回的网页内容中不存在与测试用例对应的匹配值,则可以判定该URL不存在跨站式脚本XSS漏洞。
综上所述,本发明实施例中提供的跨站式脚本漏洞检测方法,通过在探测出URL具有存在XSS漏洞的可能性时,确定出对XSS漏洞进行检测时需要的测试用例的类型,根据该类型下的测试用例对URL进行XSS漏洞的检测;解决了现有技术中对URL进行XSS漏洞检测时,检测效率非常低的问题;由于可以确定出URL中可能存在的XSS漏洞的类型,因此仅需要选取可以检测到该类型XSS漏洞的测试用例即可实现对URL中XSS漏洞的检测,极大地降低了测试用例的个数,达到了很大程度上提高检测的效率的效果,且由于可以探测参数所在的位置也就是非法代码所在的位置,因此根据该位置确定的检测用例能准确的判定出URL是否存在XSS漏洞,达到了可以提高检测的准确性的效果。
下述为本发明装置实施例,可以用于执行本发明方法实施例。对于本发明装置实施例中未披露的细节,请参照本发明方法实施例。
请参见图5所示,其示出了本发明一个实施例中提供的跨站式脚本漏洞检测装置的结构示意图,该跨站式脚本漏洞检测装置主要以应用于图1所示的实施环境中的终端120中进行举例说明。该跨站式脚本漏洞检测装置可以包括:参数加载模块502、位置获取模块504、类型确定模块506和漏洞检测模块508。
参数修改模块502,可以用于利用预定的探测参数修改统一资源定位URL中的参数值,向服务器发送用于获取参数值被探测参数修改后的URL的网页内容的请求,以便服务器根据该请求返回与URL相关的网页内容;
位置获取模块504,可以用于当接收到的服务器返回的网页内容中存在探测参数时,则获取探测参数在网页内容中的位置;
类型确定模块506,可以用于根据位置获取模块504获取的位置处的标签属性确定需要的测试用例的类型;
漏洞检测模块508,可以用于根据类型确定模块506确定的类型下的测试用例对原始的URL进行跨站式脚本漏洞的检测。
综上所述,本发明实施例中提供的跨站式脚本漏洞检测装置,通过在探测出URL具有存在跨站式脚本XSS漏洞的可能性时,确定出对XSS漏洞进行检测时需要的测试用例的类型,根据该类型下的测试用例对URL进行XSS漏洞的检测;解决了现有技术中对URL进行XSS漏洞检测时,检测效率非常低的问题;由于可以确定出URL中可能存在的XSS漏洞的类型,因此仅需要选取可以检测到该类型XSS漏洞的测试用例即可实现对URL中XSS漏洞的检测,极大地降低了测试用例的个数,达到了很大程度上提高检测的效率的效果,且由于可以探测参数所在的位置也就是非法代码所在的位置,因此根据该位置确定的检测用例能准确的判定出URL是否存在XSS漏洞,达到了可以提高检测的准确性的效果。
请参见图6所示,其示出了本发明一个实施例中提供的跨站式脚本漏洞检测装置的结构示意图,该跨站式脚本漏洞检测装置主要以应用于图1所示的实施环境中的终端120中进行举例说明。该跨站式脚本漏洞检测装置可以包括:参数加载模块602、位置获取模块604、类型确定模块606和漏洞检测模块608。
参数修改模块602,可以用于利用预定的探测参数修改统一资源定位URL中的参数值,向服务器发送用于获取参数值被探测参数修改后的URL的网页内容的请求,以便服务器根据该请求返回与URL相关的网页内容;
位置获取模块604,可以用于当接收到的服务器返回的网页内容中存在探测参数时,则获取探测参数在网页内容中的位置;
类型确定模块606,可以用于根据位置获取模块604获取的位置处的标签属性确定需要的测试用例的类型;
漏洞检测模块608,可以用于根据类型确定模块606确定的类型下的测试用例对原始的URL进行跨站式脚本漏洞的检测。
在本实施例中的第一种可能的实现方式中,
每种类型下对应至少一个测试用例,漏洞检测模块608可以包括:选取单元608a、检测单元608b和停止单元608c。
选取单元608a,可以用于依次选取类型下的测试用例;
检测单元608b,可以用于根据选取单元608a选取的测试用例对原始的URL进行跨站式脚本漏洞的检测;
停止单元608c,可以用于当检测单元608b检测到URL存在XSS漏洞时,则停止对类型下的剩余测试用例的选取。
在本实施例中的第二种可能的实现方式中,
检测单元608b可以包括:修改子单元608b1、检测子单元608b2和判定子单元608b3。
修改子单元608b1,可以用于利用选取的测试用例修改原始的URL中的参数值,向服务器发送用于获取参数值被测试用例修改后的URL的网页内容的请求,以便服务器根据该请求返回与URL相关的网页内容;
检测子单元608b2,可以用于检测接收到的服务器返回的网页内容中是否存在与测试用例对应的匹配值,匹配值为预先设定的用于反映测试用例成功检测出URL存在跨站式脚本漏洞的值;
判定子单元608b3,可以用于在检测子单元608b2的检测结果为接收到的服务器返回的网页内容中存在与测试用例对应的匹配值时,判定URL存在跨站式脚本漏洞。
在本实施例中的第三种可能的实现方式中,
类型确定模块606,还可以用于:
根据预定的标签属性和需要的测试用例的类型的对应关系,确定该位置处的标签属性所对应的测试用例的类型。
在本实施例中的第四种可能的实现方式中,
参数修改模块602,还可以用于:
利用预定的探测参数替换URL中的参数值或将预定的探测参数添加至URL中参数值的后面;
修改子单元608b1,还可以用于:
利用选取的测试用例替换原始的URL中的参数值或将选取的测试用例添加至原始的URL中参数值的后面。
综上所述,本发明实施例中提供的跨站式脚本漏洞检测装置,通过在探测出URL具有存在跨站式脚本XSS漏洞的可能性时,确定出对XSS漏洞进行检测时需要的测试用例的类型,根据该类型下的测试用例对URL进行XSS漏洞的检测;解决了现有技术中对URL进行XSS漏洞检测时,检测效率非常低的问题;由于可以确定出URL中可能存在的XSS漏洞的类型,因此仅需要选取可以检测到该类型XSS漏洞的测试用例即可实现对URL中XSS漏洞的检测,极大地降低了测试用例的个数,达到了很大程度上提高检测的效率的效果,且由于可以探测参数所在的位置也就是非法代码所在的位置,因此根据该位置确定的检测用例能准确的判定出URL是否存在XSS漏洞,达到了可以提高检测的准确性的效果。
需要说明的是:上述实施例中提供的跨站式脚本漏洞检测装置在对URL进行XSS漏洞检测时,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将终端的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。另外,上述实施例提供的跨站式脚本漏洞检测装置与跨站式脚本漏洞检测方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
请参见图7所示,其示出了本发明部分实施例中提供的终端的结构方框图。该终端700用于实施上述实施例提供的跨站式脚本漏洞检测方法。本发明中的终端700可以包括一个或多个如下组成部分:用于执行计算机程序指令以完成各种流程和方法的处理器,用于信息和存储程序指令随机接入存储器(RAM)和只读存储器(ROM),用于存储数据和信息的存储器,I/O设备,界面,天线等。具体来讲:
终端700可以包括RF(Radio Frequency,射频)电路710、存储器720、输入单元730、显示单元740、传感器750、音频电路760、WiFi(wireless fidelity,无线保真)模块770、处理器780、电源782、摄像头790等部件。本领域技术人员可以理解,图7中示出的终端结构并不构成对终端的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
下面结合图7对终端700的各个构成部件进行具体的介绍:
RF电路710可用于收发信息或通话过程中,信号的接收和发送,特别地,将基站的下行信息接收后,给处理器780处理;另外,将设计上行的数据发送给基站。通常,RF电路包括但不限于天线、至少一个放大器、收发信机、耦合器、LNA(Low Noise Amplifier,低噪声放大器)、双工器等。此外,RF电路710还可以通过无线通信与网络和其他设备通信。该无线通信可以使用任一通信标准或协议,包括但不限于GSM(Global System of Mobilecommunication,全球移动通讯系统)、GPRS(General Packet Radio Service,通用分组无线服务)、CDMA(Code Division Multiple Access,码分多址)、WCDMA(Wideband CodeDivision Multiple Access,宽带码分多址)、LTE(Long Term Evolution,长期演进)、电子邮件、SMS(Short Messaging Service,短消息服务)等。
存储器720可用于存储软件程序以及模块,处理器780通过运行存储在存储器720的软件程序以及模块,从而执行终端700的各种功能应用以及数据处理。存储器720可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等;存储数据区可存储根据终端700的使用所创建的数据(比如音频数据、电话本等)等。此外,存储器720可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。
输入单元730可用于接收输入的数字或字符信息,以及产生与终端700的用户设置以及功能控制有关的键信号输入。具体地,输入单元730可包括触控面板731以及其他输入设备732。触控面板731,也称为触摸屏,可收集用户在其上或附近的触摸操作(比如用户使用手指、触笔等任何适合的物体或附件在触控面板731上或在触控面板731附近的操作),并根据预先设定的程式驱动相应的连接装置。可选的,触控面板731可包括触摸检测装置和触摸控制器两个部分。其中,触摸检测装置检测用户的触摸方位,并检测触摸操作带来的信号,将信号传送给触摸控制器;触摸控制器从触摸检测装置上接收触摸信息,并将它转换成触点坐标,再送给处理器780,并能接收处理器780发来的命令并加以执行。此外,可以采用电阻式、电容式、红外线以及表面声波等多种类型实现触控面板731。除了触控面板731,输入单元730还可以包括其他输入设备732。具体地,其他输入设备732可以包括但不限于物理键盘、功能键(比如音量控制按键、开关按键等)、轨迹球、鼠标、操作杆等中的一种或多种。
显示单元740可用于显示由用户输入的信息或提供给用户的信息以及终端700的各种菜单。显示单元740可包括显示面板741,可选的,可以采用LCD(Liquid CrystalDisplay,液晶显示器)、OLED(Organic Light-Emitting Diode,有机发光二极管)等形式来配置显示面板741。进一步的,触控面板731可覆盖显示面板741,当触控面板731检测到在其上或附近的触摸操作后,传送给处理器780以确定触摸事件的类型,随后处理器780根据触摸事件的类型在显示面板741上提供相应的视觉输出。虽然在图7中,触控面板731与显示面板741是作为两个独立的部件来实现终端700的输入和输入功能,但是在某些实施例中,可以将触控面板731与显示面板741集成而实现终端700的输入和输出功能。
终端700还可包括至少一种传感器750,比如陀螺仪传感器、磁感应传感器、光传感器、运动传感器以及其他传感器。具体地,光传感器可包括环境光传感器及接近传感器,其中,环境光传感器可根据环境光线的明暗来调节显示面板741的亮度,接近传感器可在终端700移动到耳边时,关闭显示面板741和/或背光。作为运动传感器的一种,加速度传感器可检测各个方向上(一般为三轴)加速度的大小,静止时可检测出重力的大小及方向,可用于识别终端姿态的应用(比如横竖屏切换、相关游戏、磁力计姿态校准)、振动识别相关功能(比如计步器、敲击)等;至于终端700还可配置的气压计、湿度计、温度计、红外线传感器等其他传感器,在此不再赘述。
音频电路760、扬声器761,传声器762可提供用户与终端700之间的音频接口。音频电路760可将接收到的音频数据转换后的电信号,传输到扬声器761,由扬声器761转换为声音信号输出;另一方面,传声器762将收集的声音信号转换为电信号,由音频电路760接收后转换为音频数据,再将音频数据输出处理器780处理后,经RF电路710以发送给比如另一终端,或者将音频数据输出至存储器720以便进一步处理。
WiFi属于短距离无线传输技术,终端700通过WiFi模块770可以帮助用户收发电子邮件、浏览网页和访问流式媒体等,它为用户提供了无线的宽带互联网访问。虽然图7示出了WiFi模块770,但是可以理解的是,其并不属于终端700的必须构成,完全可以根据需要在不改变公开的本质的范围内而省略。
处理器780是终端700的控制中心,利用各种接口和线路连接整个终端的各个部分,通过运行或执行存储在存储器720内的软件程序和/或模块,以及调用存储在存储器720内的数据,执行终端700的各种功能和处理数据,从而对终端进行整体监控。可选的,处理器780可包括一个或多个处理单元;优选的,处理器780可集成应用处理器和调制解调处理器,其中,应用处理器主要处理操作系统、用户界面和应用程序等,调制解调处理器主要处理无线通信。可以理解的是,上述调制解调处理器也可以不集成到处理器780中。
终端700还包括给各个部件供电的电源782(比如电池),优选的,电源可以通过电源管理系统与处理器782逻辑相连,从而通过电源管理系统实现管理充电、放电、以及功耗管理等功能。
摄像头790一般由镜头、图像传感器、接口、数字信号处理器、CPU、显示屏幕等组成。其中,镜头固定在图像传感器的上方,可以通过手动调节镜头来改变聚焦;图像传感器相当于传统相机的“胶卷”,是摄像头采集图像的心脏;接口用于把摄像头利用排线、板对板连接器、弹簧式连接方式与终端主板连接,将采集的图像发送给该存储器720;数字信号处理器通过数学运算对采集的图像进行处理,将采集的模拟图像转换为数字图像并通过接口发送给存储器720。
尽管未示出,终端700还可以包括蓝牙模块等,在此不再赘述。
终端700除了包括一个或者多个处理器780,还包括有存储器,以及一个或者多个程序,其中一个或者多个程序存储于存储器中,并被配置成由一个或者多个处理器执行。上述一个或者多个程序具有如下功能:
利用预定的探测参数修改统一资源定位URL中的参数值,向服务器发送用于获取参数值被探测参数修改后的URL的网页内容的请求,以便服务器根据该请求返回与URL相关的网页内容;
当接收到的服务器返回的网页内容中存在探测参数时,则获取探测参数在网页内容中的位置;
根据位置处的标签属性确定需要的测试用例的类型;
根据类型下的测试用例对原始的URL进行跨站式脚本漏洞的检测。
在本实施例中的第一种可能的实现方式中,每种类型下对应至少一个测试用例,根据类型下的测试用例对原始的URL进行跨站式脚本漏洞的检测,包括:依次选取类型下的测试用例;
根据选取的测试用例对原始的URL进行跨站式脚本漏洞的检测;
当检测到URL存在跨站式脚本漏洞时,则停止对类型下的剩余测试用例的选取。
在本实施例中的第二种可能的实现方式中,根据选取的测试用例对原始的URL进行跨站式脚本漏洞的检测,包括:利用选取的测试用例修改原始的URL中的参数值,向服务器发送用于获取参数值被测试用例修改后的URL的网页内容的请求,以便服务器根据URL返回与URL相关的网页内容;
检测接收到的服务器返回的网页内容中是否存在与测试用例对应的匹配值,匹配值为预先设定的用于反映测试用例成功检测出URL存在跨站式脚本漏洞的值;
若检测结果为接收到的服务器返回的网页内容中存在与测试用例对应的匹配值,则判定URL存在跨站式脚本漏洞。
在本实施例中的第三种可能的实现方式中,根据所述位置处的标签属性确定需要的测试用例的类型,包括:
根据预定的标签属性和需要的测试用例的类型的对应关系,确定位置处的标签属性所对应的测试用例的类型。
在本实施例中的第四种可能的实现方式中,利用预定的探测参数修改统一资源定位URL中的参数值,包括:
利用预定的探测参数替换URL中的参数值或将预定的探测参数添加至URL中参数值的后面;
利用选取的测试用例修改原始的URL中的参数值,包括:
利用选取的测试用例替换原始的URL中的参数值或将选取的测试用例添加至原始的URL中参数值的后面。
综上所述,本发明实施例中提供的终端,通过在探测出URL具有存在跨站式脚本XSS漏洞的可能性时,确定出对XSS漏洞进行检测时需要的测试用例的类型,根据该类型下的测试用例对URL进行XSS漏洞的检测;解决了现有技术中对URL进行XSS漏洞检测时,检测效率非常低的问题;由于可以确定出URL中可能存在的XSS漏洞的类型,因此仅需要选取可以检测到该类型XSS漏洞的测试用例即可实现对URL中XSS漏洞的检测,极大地降低了测试用例的个数,达到了很大程度上提高检测的效率的效果,且由于可以探测参数所在的位置也就是非法代码所在的位置,因此根据该位置确定的检测用例能准确的判定出URL是否存在XSS漏洞,达到了可以提高检测的准确性的效果。
请参见图8所示,其示出了本发明另一部分实施例中提供的终端的示例性结构示意图。该终端800用于实施上述实施例提供的跨站式脚本漏洞检测方法。该终端800包括中央处理单元(CPU)1101、包括随机存取存储器(RAM)802和只读存储器(ROM)803的系统存储器804,以及连接系统存储器804和中央处理单元801的系统总线805。该服务器800还包括帮助计算机内的各个器件之间传输信息的基本输入/输出系统(I/O系统)806,和用于存储操作系统813、应用程序814和其他程序模块815的大容量存储设备807。
该基本输入/输出系统806包括有用于显示信息的显示器808和用于用户输入信息的诸如鼠标、键盘之类的输入设备809。其中该显示器808和输入设备809都通过连接到系统总线805的输入/输出控制器810连接到中央处理单元801。该基本输入/输出系统806还可以包括输入输出控制器810以用于接收和处理来自键盘、鼠标、或电子触控笔等多个其他设备的输入。类似地,输入输出控制器810还提供输出到显示屏、打印机或其他类型的输出设备。
该大容量存储设备807通过连接到系统总线805的大容量存储控制器(未示出)连接到中央处理单元801。该大容量存储设备807及其相关联的计算机可读介质为服务器800提供非易失性存储。也就是说,该大容量存储设备807可以包括诸如硬盘或者CD-ROM驱动器之类的计算机可读介质(未示出)。
不失一般性,该计算机可读介质可以包括计算机存储介质和通信介质。计算机存储介质包括以用于存储诸如计算机可读指令、数据结构、程序模块或其他数据等信息的任何方法或技术实现的易失性和非易失性、可移动和不可移动介质。计算机存储介质包括RAM、ROM、EPROM、EEPROM、闪存或其他固态存储其技术,CD-ROM、DVD或其他光学存储、磁带盒、磁带、磁盘存储或其他磁性存储设备。当然,本领域技术人员可知该计算机存储介质不局限于上述几种。上述的系统存储器804和大容量存储设备807可以统称为存储器。
根据本公开的各种实施例,该服务器800还可以通过诸如因特网等网络连接到网络上的远程计算机运行。也即服务器800可以通过连接在该系统总线805上的网络接口单元811连接到网络812,或者说,也可以使用网络接口单元811来连接到其他类型的网络或远程计算机系统(未示出)。
该存储器还包括一个或者一个以上的程序,该一个或者一个以上程序存储于存储器中,且经配置以由一个或者一个以上中央处理单元801执行。上述一个或者多个中央处理单元801具有如下功能:
利用预定的探测参数修改统一资源定位URL中的参数值,向服务器发送用于获取参数值被探测参数修改后的URL的网页内容的请求,以便服务器根据该请求返回与URL相关的网页内容;
当接收到的服务器返回的网页内容中存在探测参数时,则获取探测参数在网页内容中的位置;
根据位置处的标签属性确定需要的测试用例的类型;
根据类型下的测试用例对原始的URL进行跨站式脚本漏洞的检测。
在本实施例中的第一种可能的实现方式中,每种类型下对应至少一个测试用例,根据类型下的测试用例对原始的URL进行跨站式脚本漏洞的检测,包括:依次选取类型下的测试用例;
根据选取的测试用例对原始的URL进行跨站式脚本漏洞的检测;
当检测到URL存在跨站式脚本漏洞时,则停止对类型下的剩余测试用例的选取。
在本实施例中的第二种可能的实现方式中,根据选取的测试用例对原始的URL进行跨站式脚本漏洞的检测,包括:利用选取的测试用例修改原始的URL中的参数值,向服务器发送用于获取参数值被测试用例修改后的URL的网页内容的请求,以便服务器根据URL返回与URL相关的网页内容;
检测接收到的服务器返回的网页内容中是否存在与测试用例对应的匹配值,匹配值为预先设定的用于反映测试用例成功检测出URL存在跨站式脚本漏洞的值;
若检测结果为接收到的服务器返回的网页内容中存在与测试用例对应的匹配值,则判定URL存在跨站式脚本漏洞。
在本实施例中的第三种可能的实现方式中,根据所述位置处的标签属性确定需要的测试用例的类型,包括:
根据预定的标签属性和需要的测试用例的类型的对应关系,确定位置处的标签属性所对应的测试用例的类型。
在本实施例中的第四种可能的实现方式中,利用预定的探测参数修改统一资源定位URL中的参数值,包括:
利用预定的探测参数替换URL中的参数值或将预定的探测参数添加至URL中参数值的后面;
利用选取的测试用例修改原始的URL中的参数值,包括:
利用选取的测试用例替换原始的URL中的参数值或将选取的测试用例添加至原始的所述URL中参数值的后面。
综上所述,本发明实施例中提供的终端,通过在探测出URL具有存在跨站式脚本XSS漏洞的可能性时,确定出对XSS漏洞进行检测时需要的测试用例的类型,根据该类型下的测试用例对URL进行XSS漏洞的检测;解决了现有技术中对URL进行XSS漏洞检测时,检测效率非常低的问题;由于可以确定出URL中可能存在的XSS漏洞的类型,因此仅需要选取可以检测到该类型XSS漏洞的测试用例即可实现对URL中XSS漏洞的检测,极大地降低了测试用例的个数,达到了很大程度上提高检测的效率的效果,且由于可以探测参数所在的位置也就是非法代码所在的位置,因此根据该位置确定的检测用例能准确的判定出URL是否存在XSS漏洞,达到了可以提高检测的准确性的效果。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (6)
1.一种跨站式脚本漏洞检测方法,其特征在于,所述方法包括:
利用预定的探测参数修改统一资源定位符URL中的参数值,向服务器发送用于获取参数值被所述探测参数修改后的所述URL的网页内容的请求,以便所述服务器根据所述请求返回与所述URL相关的网页内容;
当接收到的所述服务器返回的所述网页内容中存在所述探测参数时,则获取所述探测参数在所述网页内容中的位置;
根据所述位置处的标签属性确定需要的测试用例的类型,每种类型下对应至少一个测试用例;
依次选取所述类型下的测试用例;
利用选取的所述测试用例修改原始的所述URL中的参数值,向所述服务器发送用于获取参数值被所述测试用例修改后的所述URL的网页内容的请求,以便所述服务器根据所述请求返回与所述URL相关的网页内容;
检测接收到的所述服务器返回的所述网页内容中是否存在与所述测试用例对应的匹配值,所述匹配值为预先设定的用于反映所述测试用例成功检测出所述URL存在跨站式脚本漏洞的值;
若检测结果为接收到的所述服务器返回的所述网页内容中存在与所述测试用例对应的所述匹配值,则判定所述URL存在跨站式脚本漏洞,并停止对所述类型下的剩余测试用例的选取。
2.根据权利要求1所述的方法,其特征在于,所述根据所述位置处的标签属性确定需要的测试用例的类型,包括:
根据预定的标签属性和需要的测试用例的类型的对应关系,确定所述位置处的标签属性所对应的测试用例的类型。
3.根据权利要求2所述的方法,其特征在于,所述利用预定的探测参数修改统一资源定位符URL中的参数值,包括:
利用所述预定的探测参数替换所述URL中的参数值或将所述预定的探测参数添加至所述URL中参数值的后面;
所述利用选取的所述测试用例修改原始的所述URL中的参数值,包括:
利用选取的所述测试用例替换原始的所述URL中的参数值或将选取的所述测试用例添加至原始的所述URL中参数值的后面。
4.一种跨站式脚本漏洞检测装置,其特征在于,所述装置包括:
参数修改模块,用于利用预定的探测参数修改统一资源定位符URL中的参数值,向服务器发送用于获取参数值被所述探测参数修改后的所述URL的网页内容的请求,以便所述服务器根据所述请求返回与所述URL相关的网页内容;
位置获取模块,用于当接收到的所述服务器返回的所述网页内容中存在所述探测参数时,则获取所述探测参数在所述网页内容中的位置;
类型确定模块,用于根据所述位置获取模块获取的所述位置处的标签属性确定需要的测试用例的类型,每种类型下对应至少一个测试用例;
漏洞检测模块,包括:
选取单元,用于依次选取所述类型下的测试用例;
检测单元,用于根据所述选取单元选取的所述测试用例对原始的所述URL进行跨站式脚本漏洞的检测;
停止单元,用于当所述检测单元检测到所述URL存在跨站式脚本漏洞时,则停止对所述类型下的剩余测试用例的选取;
所述检测单元,包括:
修改子单元,用于利用选取的所述测试用例修改原始的所述URL中参数值,向所述服务器发送用于获取参数值被所述测试用例修改后的所述URL的网页内容的请求,以便所述服务器根据所述URL返回与所述URL相关的网页内容;
检测子单元,用于检测接收到的所述服务器返回的所述网页内容中是否存在与所述测试用例对应的匹配值,所述匹配值为预先设定的用于反映所述测试用例成功检测出所述URL存在跨站式脚本漏洞的值;
判定子单元,用于在所述检测子单元的检测结果为接收到的所述服务器返回的所述网页内容中存在与所述测试用例对应的所述匹配值时,判定所述URL存在跨站式脚本漏洞。
5.根据权利要求4所述的装置,其特征在于,所述类型确定模块,还用于:
根据预定的标签属性和需要的测试用例的类型的对应关系,确定所述位置处的标签属性所对应的测试用例的类型。
6.根据权利要求5所述的装置,其特征在于,所述参数修改模块,还用于:
利用所述预定的探测参数替换所述URL中的参数值或将所述预定的探测参数添加至所述URL中参数值的后面;
所述修改子单元,还用于:
利用选取的所述测试用例替换原始的所述URL中的参数值或将选取的所述测试用例添加至原始的所述URL中参数值的后面。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410019958.5A CN104794396B (zh) | 2014-01-16 | 2014-01-16 | 跨站式脚本漏洞检测方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410019958.5A CN104794396B (zh) | 2014-01-16 | 2014-01-16 | 跨站式脚本漏洞检测方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN104794396A CN104794396A (zh) | 2015-07-22 |
CN104794396B true CN104794396B (zh) | 2018-06-19 |
Family
ID=53559185
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201410019958.5A Active CN104794396B (zh) | 2014-01-16 | 2014-01-16 | 跨站式脚本漏洞检测方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN104794396B (zh) |
Families Citing this family (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105631340B (zh) * | 2015-12-17 | 2019-01-18 | 珠海豹趣科技有限公司 | 一种xss漏洞检测的方法及装置 |
CN106603572B (zh) * | 2017-01-16 | 2020-07-14 | 深圳市九州安域科技有限公司 | 一种基于探针的漏洞检测方法及其装置 |
CN106909846B (zh) * | 2017-01-16 | 2020-04-24 | 安徽开源互联网安全技术有限公司 | 一种基于虚拟解析的漏洞检测方法及其装置 |
CN106897624A (zh) * | 2017-01-16 | 2017-06-27 | 深圳开源互联网安全技术有限公司 | 一种漏洞检测方法及其装置 |
CN108512818B (zh) * | 2017-02-28 | 2020-09-04 | 腾讯科技(深圳)有限公司 | 检测漏洞的方法及装置 |
CN108632219B (zh) * | 2017-03-21 | 2021-04-27 | 腾讯科技(深圳)有限公司 | 一种网站漏洞检测方法、检测服务器、系统及存储介质 |
CN108881101B (zh) * | 2017-05-08 | 2021-06-15 | 腾讯科技(深圳)有限公司 | 一种基于文档对象模型的跨站脚本漏洞防御方法、装置以及客户端 |
CN108830082B (zh) * | 2018-05-24 | 2022-05-10 | 东南大学 | 一种基于输出点位置的xss漏洞检测参数自动选取方法 |
CN109787995B (zh) * | 2019-02-18 | 2021-10-22 | 福建六壬网安股份有限公司 | 一种检测xss漏洞的方法及终端 |
CN110297764B (zh) * | 2019-05-30 | 2023-04-07 | 北京百度网讯科技有限公司 | 漏洞测试模型训练方法和装置 |
CN110309658B (zh) * | 2019-06-27 | 2021-02-05 | 暨南大学 | 一种基于强化学习的不安全xss防御系统识别方法 |
CN111615124B (zh) * | 2020-04-30 | 2023-04-14 | 北京宝兰德软件股份有限公司 | 一种服务探测方法、装置、电子设备及存储介质 |
CN111756771B (zh) * | 2020-07-21 | 2023-04-18 | 腾讯科技(深圳)有限公司 | 跨站脚本攻击的检测方法和装置 |
CN112632554A (zh) * | 2020-11-05 | 2021-04-09 | 杭州孝道科技有限公司 | 一种基于修改运行时payload技术的漏洞验证方法 |
CN112968900A (zh) * | 2021-02-26 | 2021-06-15 | 云账户技术(天津)有限公司 | 一种跨站脚本攻击漏洞检测方法、装置及存储介质 |
CN114969759B (zh) * | 2022-06-07 | 2024-04-05 | 中国软件评测中心(工业和信息化部软件与集成电路促进中心) | 工业机器人系统的资产安全评估方法、装置、终端及介质 |
CN117007897B (zh) * | 2023-10-07 | 2023-12-08 | 山西省安装集团股份有限公司 | 一种应用于电仪实验室的电气设备测试系统 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101902470A (zh) * | 2010-07-14 | 2010-12-01 | 南京大学 | 一种基于表单特征的Web安全漏洞动态检测方法 |
CN103095681A (zh) * | 2012-12-03 | 2013-05-08 | 微梦创科网络科技(中国)有限公司 | 一种检测漏洞的方法及装置 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6772083B2 (en) * | 2002-09-03 | 2004-08-03 | Sap Aktiengesellschaft | Computer program test configurations with data containers and test scripts |
-
2014
- 2014-01-16 CN CN201410019958.5A patent/CN104794396B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101902470A (zh) * | 2010-07-14 | 2010-12-01 | 南京大学 | 一种基于表单特征的Web安全漏洞动态检测方法 |
CN103095681A (zh) * | 2012-12-03 | 2013-05-08 | 微梦创科网络科技(中国)有限公司 | 一种检测漏洞的方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN104794396A (zh) | 2015-07-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104794396B (zh) | 跨站式脚本漏洞检测方法及装置 | |
CN103702297B (zh) | 短信增强方法、装置及系统 | |
CN104468464B (zh) | 验证方法、装置和系统 | |
CN103617165B (zh) | 一种加载图片的方法、装置及终端 | |
CN104468463B (zh) | 验证方法、装置和系统 | |
CN103279288B (zh) | 数据传输方法、装置和终端设备 | |
US20160241589A1 (en) | Method and apparatus for identifying malicious website | |
CN103677899B (zh) | 安装应用程序的方法及设备 | |
CN103678502B (zh) | 信息收藏方法和装置 | |
CN104468101A (zh) | 一种用户身份的验证方法、装置和验证服务系统 | |
CN108153778A (zh) | 网页保存方法、网页读取方法及装置 | |
CN104301315A (zh) | 一种限制信息访问的方法和装置 | |
CN103631625B (zh) | 一种数据获取的方法、用户端、服务器及系统 | |
CN106126174A (zh) | 一种场景音效的控制方法、及电子设备 | |
CN104751092B (zh) | 图形码处理方法及装置 | |
CN105306199A (zh) | 身份验证方法、装置及系统 | |
CN106547844A (zh) | 一种用户界面的处理方法和装置 | |
CN104699501B (zh) | 一种运行应用程序的方法及装置 | |
CN104216929A (zh) | 一种页面元素的拦截方法和装置 | |
CN109753425A (zh) | 弹窗处理方法及装置 | |
CN105959481A (zh) | 一种场景音效的控制方法、及电子设备 | |
CN103823851B (zh) | 网页显示方法和装置 | |
CN109491670A (zh) | 一种页面显示方法及终端设备 | |
CN108615158B (zh) | 风险检测方法、装置、移动终端和存储介质 | |
CN106155888A (zh) | 一种移动应用中网页加载性能的检测方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
TR01 | Transfer of patent right |
Effective date of registration: 20190729 Address after: Shenzhen Futian District City, Guangdong province 518000 Zhenxing Road, SEG Science Park 2 East Room 403 Co-patentee after: Tencent cloud computing (Beijing) limited liability company Patentee after: Tencent Technology (Shenzhen) Co., Ltd. Address before: Shenzhen Futian District City, Guangdong province 518000 Zhenxing Road, SEG Science Park 2 East Room 403 Patentee before: Tencent Technology (Shenzhen) Co., Ltd. |
|
TR01 | Transfer of patent right |