CN105631340B - 一种xss漏洞检测的方法及装置 - Google Patents
一种xss漏洞检测的方法及装置 Download PDFInfo
- Publication number
- CN105631340B CN105631340B CN201510956670.5A CN201510956670A CN105631340B CN 105631340 B CN105631340 B CN 105631340B CN 201510956670 A CN201510956670 A CN 201510956670A CN 105631340 B CN105631340 B CN 105631340B
- Authority
- CN
- China
- Prior art keywords
- payload
- tag types
- target labels
- hole detection
- label
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明实施例公开了一种XSS漏洞检测的方法,包括:将预存的payload库中包含的各个payload按照不同的标签类型进行分类;当检测到漏洞检测点输入检测信息时,根据所述检测信息确定待检测的目标标签类型;从所述payload库中分类得到的多个标签类型的payload中查找所述目标标签类型对应的payload,采用所述目标标签类型对应的payload进行所述漏洞检测点的跨站脚本攻击XSS漏洞检测。本发明实施例还公开了一种XSS漏洞检测的装置。采用本发明实施例,具有可减少XSS漏洞检测的工作量,提高XSS漏洞检测的效率的优点。
Description
技术领域
本发明涉及网络安全领域,尤其涉及一种XSS漏洞检测方法及装置。
背景技术
跨站脚本攻击(Cross Site Scripting,简称XSS。原本应当是CSS,为了区别于层叠样式表(Cascading Style Sheet,CSS),故称XSS)是一种常见的网页漏洞,一般是由于服务端对提交参数校验不严格导致用户(包括攻击者)输入的数据变成了网页链接中的代码,更改了原本的链接使得网页信息或用户信息被盗取,形成网页漏洞。比如,现有一段输入框的超级文本标记语言(Hyper Text Markup Language tag,HTML)代码为<input type=“text”name=“helloworld”value=“xxx”>,其中value的值“xxx”是由用户提交的后服务端写入的。由于服务端校验不严格,若用户输入的不是“xxx”,而是“/><script>altert(‘xxxx’)</script>”,此时服务端直接将此字符串插入到框中,会造成<input>标签被提前闭合,<script>部分被当成html代码进行解析,形成漏洞。
现有的XSS漏洞的扫描方法一般是通过对提交参数注入大量的已知的payload(有效载荷)期望造成标签闭合,比如插入“/>”等常见的攻击代码。然而,很多时候由于payload与具体的标签相关,当payload库中的payload数量较大时,现有漏洞检测方式需要针对每个payload进行漏洞检测,即,无法对payload进行分类筛选,无法预先剔除无效的payload,漏洞检测的工作量大,检测效率低。
发明内容
本发明实施例提供一种XSS漏洞检测的方法及装置,可减少XSS漏洞检测的工作量,提高XSS漏洞检测的效率。
本发明实施例提供了一种XSS漏洞检测的方法,其可包括:
将预存的payload库中包含的各个payload按照不同的标签类型进行分类,所述payload库中包含多个标签类型的payload,每个标签类型包含多个payload;
当检测到漏洞检测点输入检测信息时,根据所述检测信息确定待检测的目标标签类型;
从所述payload库中分类得到的多个标签类型的payload中查找所述目标标签类型对应的payload,采用所述目标标签类型对应的payload进行所述漏洞检测点的XSS漏洞检测。
其中,所述将预存的payload库中包含的各个payload按照不同的标签类型进行分类,包括:
将所述payload库中包含的多个payload按照其用以攻击的超级文本标记语言HTML标签类型确定各个所述payload对应的标签类型,并按照所述标签类型将各个所述payload进行分类以得到多组不同标签类型的payload。
其中,所述根据所述检测信息确定待检测的目标标签类型,包括:
对所述检测信息进行解析,从所述检测信息中获取标签类型的标识信息,根据所述标签类型的标识信息确定目标标签类型。
其中,所述检测信息包括:网页链接地址,或者HTML文件;
所述标签类型的标识信息包括:标签对的开始标签符和结束标签符,或者单个标签的标签符。
其中,所述采用所述目标标签类型对应的payload进行所述漏洞检测点的XSS漏洞检测,包括:
采用所述目标标签类型的payload对所述漏洞检测点中包含的所述目标标签类型的标签进行攻击,以判断是否存在所述目标标签类型对应的漏洞。
本发明实施例还提供了一种XSS漏洞检测的装置,其可包括:
分类模块,用于将预存的payload库中包含的各个payload按照不同的标签类型进行分类,所述payload库中包含多个标签类型的payload,每个标签类型包含多个payload;
获取模块,用于当检测到漏洞检测点输入检测信息时,根据所述检测信息确定待检测的目标标签类型;
检测模块,用于从所述payload库中由所述分类模块分类得到的多个标签类型的payload中查找所述目标标签类型对应的payload,采用所述目标标签类型对应的payload进行所述漏洞检测点的XSS漏洞检测。
其中,所述分类模块具体用于:
将所述payload库中包含的多个payload按照其用以攻击的超级文本标记语言HTML标签类型确定各个所述payload对应的标签类型,并按照所述标签类型将各个所述payload进行分类以得到多组不同标签类型的payload。
其中,所述获取模块具体用于:
对所述检测信息进行解析,从所述检测信息中获取标签类型的标识信息,根据所述标签类型的标识信息确定目标标签类型。
其中,所述检测信息包括:网页链接地址,或者HTML文件;
所述标签类型的标识信息包括:标签对的开始标签符和结束标签符,或者单个标签的标签符。
其中,所述检测模块具体用于:
采用所述目标标签类型的payload对所述漏洞检测点中包含的所述目标标签类型的标签进行攻击,以判断是否存在所述目标标签类型对应的漏洞。
实施本发明实施例,具有如下有益效果:
本发明实施例可首先将预存的payload库中包含的各个payload按照不同的标签类型进行分类,以得到多组不同标签类型的payload,其中每个标签类型可包含多个payload。当检测到漏洞检测点输入检测信息触发漏洞检测时,可根据检测信息确定待检测的目标标签类型,再从上述多个标签类型的payload中查找上述目标标签类型对应的payload,进而可采用目标标签类型对应的payload进行上述漏洞检测点的XSS漏洞检测。本发明实施例通过将payload库中的payload进行分类再针对漏洞检测点的检测信息对应的目标标签类型,通过标签类型的匹配从上述payload库中加载上述目标标签类型对应的payload,采用上述目标标签类型对应的payload进行漏洞检测,无需将payload库中包含的payload都用来做漏洞检测,增强了漏洞检测的payload攻击的针对性,提高了payload攻击的有效性,可减少XSS漏洞检测的工作量,提高XSS漏洞检测的效率。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的XSS漏洞检测的方法的第一实施例流程示意图;
图2是本发明实施例提供的XSS漏洞检测的方法的第二实施例流程示意图;
图3是本发明实施例提供的XSS漏洞检测的装置的实施例结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
具体实现中,本发明实施例中所描述的标签具体可HTML标签,HTML标签是HTML语言中最基本的单位,HTML标签是HTML(标准通用标记语言下的一个应用)最重要的组成部分。HTML标签可包括如下几个特点:
1、由尖括号包围的关键字,例如<html>;
2、HTML标签可以成对出现,例如<html>和</html>,其中,标签对中的第一个标签是开始标签,第二个标签是结束标签。开始标签也被称为开放标签,结束标签页被称为闭合标签;
3、HTML标签也可以单独出现,例如,<img src=“xxx.jpg”/>等;
4、HTML标签中成对出现的标签,其内容在两个标签中间(即在开始标签和结束标签中间),如<h1>标题</h1>;单独出现的标签,则在标签属性中赋值,如<input type=“text”value=“按钮”/>。
上述HTML的特点仅是举例,而非穷举,包含但不限于上述几个特点,在此不做限制。
具体实现中,本发明实施例中所描述的payload成为有效负载,为病毒代码中用于实现有害或者恶性的动作功能的部分代码。Payload可以实现任何运行在受害者环境中的程序所做的事情,并且能够执行的动作可包含:破坏文件、删除文件、向病毒的作者或者任意的接受者发送敏感信息以及提供通向被感染计算机的后门等。上述payload能够执行的动作仅是举例,而非穷举,包含但不限于上述动作,在此不做限制。下面将结合图1和图3,对本发明实施例提供的XSS漏洞检测的方法及装置进行描述。
参见图1,是本发明实施例提供的XSS漏洞检测的方法的第一实施例流程示意图。本发明实施例中所描述的方法,包括步骤:
S101,将预存的payload库中包含的各个payload按照不同的标签类型进行分类。
具体实现中,本发明实施例中所描述的XSS漏洞检测的方法的执行主体可为手机、电脑或者网络服务器等终端,在此不做限制。下面将简单以终端为执行主体进行说明。
在一些可行的实施方式中,终端可预先存储一个payload库,其中,上述payload库中包含多个payload,每个payload可用于对一种标签进行攻击以进行漏洞检测。终端可首先根据payload库中各个payload用于进行漏洞攻击所对应的标签类型进行分类,将上述payload库中包含的多个payload进行分类得到多个标签类型的payload组。其中,每个标签类型的payload组包含多个payload。例如,针对<p>标签,选用<p>类的payload(假设payload1和payload2)进行攻击才能取得效果,因此可将payload1和payload2均确定为标签类型为<p>的payload,进而可将payload1和payload2分类至同一个标签类型的payload组。若上述payload1和payload2分别用于攻击不同类型的标签,则可将其分类至各自对应的标签类型的payload组中。
S102,当检测到漏洞检测点输入检测信息时,根据所述检测信息确定待检测的目标标签类型。
在一些可行的实施方式中,终端将payload库中的各个payload进行分类得到多个标签类型对应的payload组之后,当终端触发漏洞检测流程时,则可根据待检测的标签类型(即目标标签类型)从多个payload组中查找相应标签的payload组进行漏洞检测。具体实现中,当终端检测到漏洞检测点输入了检测信息时,可对上述检测信息进行解析从中获取漏洞检测点要检测的标签类型的标识信息,根据上述标识信息确定待检测的目标标签类型,即漏洞检测点要检测的标签类型。
S103,从所述payload库中分类得到的多个标签类型的payload中查找所述目标标签类型对应的payload,采用所述目标标签类型对应的payload进行所述漏洞检测点的XSS漏洞检测。
在一些可行的实施方式中,终端确定了待检测的目标标签类型之后,可从上述payload库中查找用于攻击上述目标标签类型的标签的payload组,进而可使用上述payload组中包含的payload进行漏洞检测。具体实现中,终端可根据上述payload库中各个payload的分类结果,从上述payload库中分类得到的多个标签类型的payload(其中一个标签类型可对应一个payload组,每个payload组可包含多个payload)中查找上述目标标签类型对应的payload。即,终端可从上述多个标签类型对应的多个payload组中查找得到目标标签类型对应的payload组,进而可从payload库中加载上述payload组中包含的多个payload。进一步的,终端可采用上述从payload库中加载的上述目标标签类型对应payload对漏洞检测点进行XSS漏洞检测。即,对于漏洞检测点的XSS漏洞检测,终端无需将payload库中包含的所有payload都用来做该检测点的XSS漏洞检测,只需要选择检测点所要检测的目标标签类型对应的payload对上述目标标签类型对应的标签进行漏洞检测,可减少漏洞检测的工作量。
在本发明实施例中,终端可首先将预存的payload库中包含的各个payload按照不同的标签类型进行分类,以得到多组不同标签类型的payload,其中每个标签类型可包含多个payload。当终端检测到漏洞检测点输入检测信息触发漏洞检测时,可根据检测信息确定待检测的目标标签类型,再从上述多个标签类型的payload中查找上述目标标签类型对应的payload,进而可采用目标标签类型对应的payload进行上述漏洞检测点的XSS漏洞检测。本发明实施例通过将payload库中的payload进行分类再针对漏洞检测点的检测信息对应的目标标签类型,通过标签类型的匹配从上述payload库中加载上述目标标签类型对应的payload,采用上述目标标签类型对应的payload进行漏洞检测,无需将payload库中包含的payload都用来做漏洞检测,增强了漏洞检测的payload攻击的针对性,提高了payload攻击的有效性,可减少XSS漏洞检测的工作量,提高XSS漏洞检测的效率。
参见图2,是本发明实施例提供的XSS漏洞检测的方法的第二实施例流程示意图。本发明实施例中所描述的方法,包括步骤:
S201,将预存的payload库中包含的各个payload按照不同的标签类型进行分类。
具体实现中,终端将预存的payload库中包含的payload按照不同的标签类型进行分类的具体实现过程可参见上述第一实施例中的步骤S101所描述的实现方式,在此不再赘述。
进一步的,在一些可行的实施方式中,终端对payload库中包含的多个payload进行分类时,可将上述payload库中包含的多个payload按照其用以攻击的HTML标签类型确定各个payload对应的标签类型,并按照上述标签类型将各个payload进行分类以得到多组不同标签类型的payload。例如,针对HTML标签中的<p>标签,只有选择<p>类的payload(例如payload1)进行攻击才有效,即payload用以攻击的HTML标签类型为<p>类,终端可将payload分类为<p>类标签类型对应的payload(可简称<p>类payload)。
S202,当检测到漏洞检测点输入检测信息时,对所述检测信息进行解析,从所述检测信息中获取标签类型的标识信息,根据所述标签类型的标识信息确定目标标签类型。
具体实现中,上述根据检测信息确定待检测的目标标签类型的具体实现过程可参见上述第一实施例中的步骤S102所描述的实现方式,在此不再赘述。
进一步的,在一些可行的实施方式中,本发明实施例中所描述的检测点输入的检测信息可包括:网络链接地址或者HTML文件。其中,上述标签类型的标识信息可包括:标签对的开始标签符和结束标签符,或者单个标签的标签符等,在此不做限制。例如,标签对<html>和</html>,其中开始标签符为<html>,结束标签符为</html>,或者单个标签<imgsrc=“xxx.jpg”/>,其中,单个标签的标签符为“<img”和“/>”。具体实现中,终端可从上述检测信息中获取上述标签类型的标识信息,进而可根据上述标签类型的标识信息确定目标标签类型。
S203,从所述payload库中分类得到的多个标签类型的payload中查找所述目标标签类型对应的payload。
在一些可行的实施方式中,终端从payload库中查找目标标签类型对应的payload的具体实现过程可参见上述第一实施例中的步骤S103所描述的实现方式,在此不再赘述。
204,采用所述目标标签类型的payload对所述漏洞检测点中包含的所述目标标签类型的标签进行攻击。
在一些可行的实施方式中,终端从payload库中查找得到目标标签类型对应的payload之后,可采用上述目标标签类型的payload对漏洞检测点中包含的目标标签类型的标签进行攻击,通过上述目标标签类型对应的多个payload对相应的标签进行攻击,以判断是否存储上目标标签类型对应的漏洞。
在本发明实施例中,终端可首先根据payload库中包含的各个payload用以攻击的HTML标签类型确定各个payload对应的标签类型,按照不同的标签类型进行分类,以得到多组不同标签类型的payload,其中每个标签类型可包含多个payload。当终端检测到漏洞检测点网页链接地址或者HTML文件等检测信息触发漏洞检测时,可根据上述网页链接地址或者HTML文件等检测信息确定待检测的目标标签类型,再从上述多个标签类型的payload中查找上述目标标签类型对应的payload,进而可采用目标标签类型对应的payload进行上述漏洞检测点的XSS漏洞检测。终端可根据payload用以攻击的HTML标签的类型等特征将payload库中的payload进行分类,增强了payload分类的针对性和payload与其用于攻击的HTML标签的相关性。终端针对漏洞检测点的检测信息对应的目标标签类型,通过标签类型的匹配从上述payload库中加载上述目标标签类型对应的payload,采用上述目标标签类型对应的payload进行漏洞检测,无需将payload库中包含的payload都用来做漏洞检测,增强了漏洞检测的payload攻击的针对性,提高了payload攻击的有效性,可减少XSS漏洞检测的工作量,提高XSS漏洞检测的效率。
参见图3,是本发明实施例提供的XSS漏洞检测的装置的实施例结构示意图。本发明实施例中所描述的装置,包括:
分类模块10,用于将预存的payload库中包含的各个payload按照不同的标签类型进行分类,所述payload库中包含多个标签类型的payload,每个标签类型包含多个payload。
获取模块20,用于当检测到漏洞检测点输入检测信息时,根据所述检测信息确定待检测的目标标签类型。
检测模块30,用于从所述payload库中由所述分类模块分类得到的多个标签类型的payload中查找所述目标标签类型对应的payload,采用所述目标标签类型对应的payload进行所述漏洞检测点的跨站脚本攻击XSS漏洞检测。
在一些可行的实施方式中,上述分类模块10具体用于:
将预存的payload库中包含的多个payload按照其用以攻击的超级文本标记语言HTML标签类型确定各个所述payload对应的标签类型,并按照所述标签类型将各个所述payload进行分类以得到多组不同标签类型的payload。
在一些可行的实施方式中,上述获取模块20具体用于:
对所述检测信息进行解析,从所述检测信息中获取标签类型的标识信息,根据所述标签类型的标识信息确定目标标签类型。
在一些可行的实施方式中,上述检测信息包括:网页链接地址,或者HTML文件;
上述标签类型的标识信息包括:标签对的开始标签符和结束标签符,或者单个标签的标签符。
在一些可行的实施方式中,上述检测模块30具体用于:
采用所述目标标签类型的payload对所述漏洞检测点中包含的所述目标标签类型的标签进行攻击,以判断是否存在所述目标标签类型对应的漏洞。
具体实现中,本发明实施例中所描述的XSS漏洞检测的装置可为手机、电脑或者网络服务器等终端,在此不做限制。下面将简单以终端为执行主体进行说明,终端可通过其内置的各个模块(包括分类模块10、获取模块20和检测模块30)执行上述本发明实施例提供的XSS漏洞检测的方法中各个步骤所描述的实现方式。
在一些可行的实施方式中,终端可预先存储一个payload库,其中,上述payload库中包含多个payload,每个payload可用于对一种标签进行攻击以进行漏洞检测。分类模块10可首先根据payload库中各个payload用于进行漏洞攻击所对应的标签类型进行分类,将上述payload库中包含的多个payload进行分类得到多个标签类型的payload组。其中,每个标签类型的payload组包含多个payload。例如,针对<p>标签,选用<p>类的payload(假设payload1和payload2)进行攻击才能取得效果,分类模块10可将payload1和payload2均确定为标签类型为<p>的payload,进而可将payload1和payload2分类至同一个标签类型的payload组。若上述payload1和payload2分别用于攻击不同类型的标签,分类模块10则可将其分类至各自对应的标签类型的payload组中。
进一步的,在一些可行的实施方式中,分类模块10对payload库中包含的多个payload进行分类时,可将上述payload库中包含的多个payload按照其用以攻击的HTML标签类型确定各个payload对应的标签类型,并按照上述标签类型将各个payload进行分类以得到多组不同标签类型的payload。例如,针对HTML标签中的<p>标签,只有选择<p>类的payload(例如payload1)进行攻击才有效,即payload用以攻击的HTML标签类型为<p>类,分类模块10可将payload分类为<p>类标签类型对应的payload(可简称<p>类payload)。
在一些可行的实施方式中,分类模块10将payload库中的各个payload进行分类得到多个标签类型对应的payload组之后,当终端触发漏洞检测流程时,则可根据待检测的标签类型(即目标标签类型)从多个payload组中查找相应标签的payload组进行漏洞检测。具体实现中,当获取模块20检测到漏洞检测点输入了检测信息时,可对上述检测信息进行解析从中获取漏洞检测点要检测的标签类型的标识信息,根据上述标识信息确定待检测的目标标签类型,即漏洞检测点要检测的标签类型。
进一步的,在一些可行的实施方式中,本发明实施例中所描述的检测点输入的检测信息可包括:网络链接地址或者HTML文件。其中,上述标签类型的标识信息可包括:标签对的开始标签符和结束标签符,或者单个标签的标签符等,在此不做限制。例如,标签对<html>和</html>,其中开始标签符为<html>,结束标签符为</html>,或者单个标签<imgsrc=“xxx.jpg”/>,其中,单个标签的标签符为“<img”和“/>”。具体实现中,获取模块20可从上述检测信息中获取上述标签类型的标识信息,进而可根据上述标签类型的标识信息确定目标标签类型。
在一些可行的实施方式中,获取模块20确定了待检测的目标标签类型之后,检测模块30可从上述payload库中查找用于攻击上述目标标签类型的标签的payload组,进而可使用上述payload组中包含的payload进行漏洞检测。具体实现中,检测模块30可根据上述payload库中各个payload的分类结果,从上述payload库中分类得到的多个标签类型的payload(其中一个标签类型可对应一个payload组,每个payload组可包含多个payload)中查找上述目标标签类型对应的payload。即,检测模块30可从上述多个标签类型对应的多个payload组中查找得到目标标签类型对应的payload组,进而可从payload库中加载上述payload组中包含的多个payload。进一步的,检测模块30可采用上述从payload库中加载的上述目标标签类型对应payload对漏洞检测点进行XSS漏洞检测。即,对于漏洞检测点的XSS漏洞检测,检测模块30无需将payload库中包含的所有payload都用来做该检测点的XSS漏洞检测,只需要选择检测点所要检测的目标标签类型对应的payload对上述目标标签类型对应的标签进行漏洞检测,可减少漏洞检测的工作量。
在本发明实施例中,终端可首先根据payload库中包含的各个payload用以攻击的HTML标签类型确定各个payload对应的标签类型,按照不同的标签类型进行分类,以得到多组不同标签类型的payload,其中每个标签类型可包含多个payload。当终端检测到漏洞检测点网页链接地址或者HTML文件等检测信息触发漏洞检测时,可根据上述网页链接地址或者HTML文件等检测信息确定待检测的目标标签类型,再从上述多个标签类型的payload中查找上述目标标签类型对应的payload,进而可采用目标标签类型对应的payload进行上述漏洞检测点的XSS漏洞检测。终端可根据payload用以攻击的HTML标签的类型等特征将payload库中的payload进行分类,增强了payload分类的针对性和payload与其用于攻击的HTML标签的相关性。终端针对漏洞检测点的检测信息对应的目标标签类型,通过标签类型的匹配从上述payload库中加载上述目标标签类型对应的payload,采用上述目标标签类型对应的payload进行漏洞检测,无需将payload库中包含的payload都用来做漏洞检测,增强了漏洞检测的payload攻击的针对性,提高了payload攻击的有效性,可减少XSS漏洞检测的工作量,提高XSS漏洞检测的效率。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外,在不相互矛盾的情况下,本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本发明的描述中,“多个”的含义是至少两个,例如两个,三个等,除非另有明确具体的限定。
流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为,表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分,并且本发明的优选实施方式的范围包括另外的实现,其中可以不按所示出或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本发明的实施例所属技术领域的技术人员所理解。
在流程图中表示或在此以其他方式描述的逻辑和/或步骤,例如,可以被认为是用于实现逻辑功能的可执行指令的定序列表,可以具体实现在任何计算机可读介质中,以供指令执行系统、装置或设备(如基于计算机的系统、包括处理器的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统)使用,或结合这些指令执行系统、装置或设备而使用。就本说明书而言,"计算机可读介质"可以是任何可以包含、存储、通信、传播或传输程序以供指令执行系统、装置或设备或结合这些指令执行系统、装置或设备而使用的装置。计算机可读介质的更具体的示例(非穷尽性列表)包括以下:具有一个或多个布线的电连接部(电子装置),便携式计算机盘盒(磁装置),随机存取存储器(RAM),只读存储器(ROM),可擦除可编辑只读存储器(EPROM或闪速存储器),光纤装置,以及便携式光盘只读存储器(CDROM)。另外,计算机可读介质甚至可以是可在其上打印所述程序的纸或其他合适的介质,因为可以例如通过对纸或其他介质进行光学扫描,接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得所述程序,然后将其存储在计算机存储器中。
应当理解,本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,该程序在执行时,包括方法实施例的步骤之一或其组合。
此外,在本发明各个实施例中的各功能单元可以集成在一个处理模块中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。
上述提到的存储介质可以是只读存储器,磁盘或光盘等。尽管上面已经示出和描述了本发明的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本发明的限制,本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random AccessMemory,RAM)等。
以上所揭露的仅为本发明较佳实施例而已,当然不能以此来限定本发明之权利范围,因此依本发明权利要求所作的等同变化,仍属本发明所涵盖的范围。
Claims (4)
1.一种XSS漏洞检测的方法,其特征在于,包括:
将预存的payload库中包含的多个payload按照其用以攻击的超级文本标记语言HTML标签类型确定各个所述payload对应的标签类型,并按照所述标签类型将各个所述payload进行分类以得到多组不同标签类型的payload,所述payload库中包含多个标签类型的payload,每个标签类型包含多个payload,其中,所述payload库中包含的各payload为病毒代码中用于实现有害或者恶性的动作功能的部分代码;
当检测到漏洞检测点输入检测信息时,根据所述检测信息确定待检测的目标标签类型;
从所述payload库中分类得到的多个标签类型的payload中查找所述目标标签类型对应的payload,采用所述目标标签类型对应的payload进行所述漏洞检测点的跨站脚本攻击XSS漏洞检测;
其中,所述根据所述检测信息确定待检测的目标标签类型,包括:
对所述检测信息进行解析,从所述检测信息中获取标签类型的标识信息,根据所述标签类型的标识信息确定目标标签类型,所述检测信息为网页链接地址,或者超级文本标记语言HTML文件,所述标签类型的标识信息包括:标签对的开始标签符和结束标签符,或者单个标签的标签符。
2.如权利要求1所述的方法,其特征在于,所述采用所述目标标签类型对应的payload进行所述漏洞检测点的XSS漏洞检测,包括:
采用所述目标标签类型的payload对所述漏洞检测点中包含的所述目标标签类型的标签进行攻击,以判断是否存在所述目标标签类型对应的漏洞。
3.一种XSS漏洞检测的装置,其特征在于,包括:
分类模块,用于将预存的payload库中包含的多个payload按照其用以攻击的超级文本标记语言HTML标签类型确定各个所述payload对应的标签类型,并按照所述标签类型将各个所述payload进行分类以得到多组不同标签类型的payload,所述payload库中包含多个标签类型的payload,每个标签类型包含多个payload,其中,所述payload库中包含的各payload为病毒代码中用于实现有害或者恶性的动作功能的部分代码;
获取模块,用于当检测到漏洞检测点输入检测信息时,根据所述检测信息确定待检测的目标标签类型;
检测模块,用于从所述payload库中由所述分类模块分类得到的多个标签类型的payload中查找所述目标标签类型对应的payload,采用所述目标标签类型对应的payload进行所述漏洞检测点的跨站脚本攻击XSS漏洞检测;
其中,所述获取模块具体用于:
对所述检测信息进行解析,从所述检测信息中获取标签类型的标识信息,根据所述标签类型的标识信息确定目标标签类型,所述检测信息为网页链接地址,或者超级文本标记语言HTML文件,所述标签类型的标识信息包括:标签对的开始标签符和结束标签符,或者单个标签的标签符。
4.如权利要求3所述的装置,其特征在于,所述检测模块具体用于:
采用所述目标标签类型的payload对所述漏洞检测点中包含的所述目标标签类型的标签进行攻击,以判断是否存在所述目标标签类型对应的漏洞。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510956670.5A CN105631340B (zh) | 2015-12-17 | 2015-12-17 | 一种xss漏洞检测的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510956670.5A CN105631340B (zh) | 2015-12-17 | 2015-12-17 | 一种xss漏洞检测的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105631340A CN105631340A (zh) | 2016-06-01 |
| CN105631340B true CN105631340B (zh) | 2019-01-18 |
Family
ID=56046261
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510956670.5A Active CN105631340B (zh) | 2015-12-17 | 2015-12-17 | 一种xss漏洞检测的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105631340B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108664793B (zh) * | 2017-03-30 | 2021-10-22 | 腾讯科技(深圳)有限公司 | 一种检测漏洞的方法和装置 |
| CN109492403B (zh) * | 2018-10-26 | 2021-04-02 | 北京车和家信息技术有限公司 | 一种漏洞检测方法及装置 |
| CN111488577B (zh) * | 2019-01-29 | 2023-05-26 | 北京金睛云华科技有限公司 | 一种基于人工智能的模型建立方法和风险评估方法及装置 |
| CN111191244A (zh) * | 2019-12-11 | 2020-05-22 | 杭州孝道科技有限公司 | 一种漏洞修复方法 |
| CN114610885B (zh) * | 2022-03-09 | 2022-11-08 | 江南大学 | 一种文本分类后门攻击方法、系统及设备 |
| CN116451228B (zh) * | 2023-04-23 | 2023-10-17 | 北京安普诺信息技术有限公司 | 动态污点追踪方法、装置及相关在线污点传播分析系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103617390A (zh) * | 2013-11-06 | 2014-03-05 | 北京奇虎科技有限公司 | 一种恶意网页判断方法、装置和系统 |
| CN103685189A (zh) * | 2012-09-17 | 2014-03-26 | 百度在线网络技术(北京)有限公司 | 网站安全评估方法及系统 |
| CN104794396A (zh) * | 2014-01-16 | 2015-07-22 | 腾讯科技(深圳)有限公司 | 跨站式脚本漏洞检测方法及装置 |
-
2015
- 2015-12-17 CN CN201510956670.5A patent/CN105631340B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103685189A (zh) * | 2012-09-17 | 2014-03-26 | 百度在线网络技术(北京)有限公司 | 网站安全评估方法及系统 |
| CN103617390A (zh) * | 2013-11-06 | 2014-03-05 | 北京奇虎科技有限公司 | 一种恶意网页判断方法、装置和系统 |
| CN104794396A (zh) * | 2014-01-16 | 2015-07-22 | 腾讯科技(深圳)有限公司 | 跨站式脚本漏洞检测方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105631340A (zh) | 2016-06-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105631340B (zh) | 一种xss漏洞检测的方法及装置 | |
| CN105956180B (zh) | 一种敏感词过滤方法 | |
| Gupta et al. | PHP-sensor: a prototype method to discover workflow violation and XSS vulnerabilities in PHP web applications | |
| CN106326742B (zh) | 确定修改的网页的系统和方法 | |
| US9509714B2 (en) | Web page and web browser protection against malicious injections | |
| CN104881608B (zh) | 一种基于模拟浏览器行为的xss漏洞检测方法 | |
| US9984171B2 (en) | Systems and methods for detecting false code | |
| CN103559235B (zh) | 一种在线社交网络恶意网页检测识别方法 | |
| CN104881607B (zh) | 一种基于模拟浏览器行为的xss漏洞检测系统 | |
| US20120174229A1 (en) | Runtime Enforcement Of Security Checks | |
| CN108804925A (zh) | 用于检测恶意代码的方法和系统 | |
| CN103679053B (zh) | 一种网页篡改的检测方法及装置 | |
| CN109104421B (zh) | 一种网站内容篡改检测方法、装置、设备及可读存储介质 | |
| CN105653949B (zh) | 一种恶意程序检测方法及装置 | |
| CN108769070A (zh) | 一种越权漏洞检测方法及装置 | |
| WO2015188604A1 (zh) | 钓鱼网页的检测方法和装置 | |
| CN107506649A (zh) | 一种html网页的漏洞检测方法、装置及电子设备 | |
| CN103617390A (zh) | 一种恶意网页判断方法、装置和系统 | |
| CN105471821B (zh) | 一种基于浏览器的信息处理方法及装置 | |
| KR101481910B1 (ko) | 웹 페이지의 비정상 정보 탐지 장치 및 방법 | |
| KR101639869B1 (ko) | 악성코드 유포 네트워크 탐지 프로그램 | |
| Dhivya et al. | Evaluation of web security mechanisms using vulnerability & Sql attack injection | |
| CN108804916A (zh) | 恶意文件的检测方法、装置、电子设备及存储介质 | |
| CN107222494A (zh) | 一种sql注入攻击防御组件及方法 | |
| Heiderich et al. | Scriptless attacks: Stealing more pie without touching the sill |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20181205 Address after: Room 105-53811, No. 6 Baohua Road, Hengqin New District, Zhuhai City, Guangdong Province Applicant after: Zhuhai Leopard Technology Co.,Ltd. Address before: 519070, six level 601F, 10 main building, science and technology road, Tangjia Bay Town, Zhuhai, Guangdong. Applicant before: Zhuhai Juntian Electronic Technology Co.,Ltd. Applicant before: BEIJING KINGSOFT INTERNET SECURITY SOFTWARE Co.,Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |