CN108830082B - 一种基于输出点位置的xss漏洞检测参数自动选取方法 - Google Patents

Abstract

本发明公开了一种基于输出点位置的XSS漏洞检测参数自动选取方法，该方法对页面输出点位置进行分类，并根据输出点位置分类XSS跨站点脚本漏洞检测中的检测参数，利用XPath技术，设计路径表达式，识别输出点位置的类别，进而实现符合输出点位置的XSS检测参数的自动选取。该方法能够自动选取符合输出点语境的XSS漏洞检测参数，克服了XSS检测参数选取的盲目性，减少了待测XSS检测参数的冗余，有助于XSS检测的自动化，提高XSS检测效率。

Description

一种基于输出点位置的XSS漏洞检测参数自动选取方法

技术领域

本发明属于漏洞检测技术领域，具体涉及一种基于输出点位置的XSS漏洞检测参数自动选取方法。

背景技术

随着Internet技术的飞速发展与广泛普及，随之而来的各种Web安全问题也日益突出，其中，跨站脚本(XSS：Cross Site Scripting)漏洞具有易利用、广泛存在和强破坏性的特点，已成为目前Web应用中最普遍的Web漏洞之一。XSS 的实质是HTML与JavaScript的注入，攻击者通过该漏洞往Web页面里插入恶意的HTML代码，当用户浏览该页面时，嵌入在其中的HTML代码就会被执行，达到恶意攻击的目的。如何准确检测出Web应用中潜在的XSS漏洞，及时做出处理，防御XSS攻击，对于保障Web应用的安全具有十分重大的意义。

根据检测过程中是否需要源码，XSS检测技术主要分为白盒测试和黑盒测试。白盒测试需要Web应用的源码，并且检测结果需要大量的人工分析，耗时耗力。相比而言，不需要源码的黑盒测试有较大优势，黑盒测试具备较高的漏洞检测覆盖率，不需要人工分析，被广泛应用于Web应用的漏洞检测中。黑盒XSS检测技术通过向页面注入点注入XSS检测参数，分析页面响应判断XSS漏洞是否存在。为有效检测出Web应用中的潜在XSS漏洞，基于该技术的XSS自动化检测工具往往采用大量的XSS漏洞检测参数，依次遍历待测参数或者随机选取待测参数进行XSS检测，致使检测使用的XSS检测参数针对性不强，存在较多冗余，同时降低了XSS检测效率。

为提高XSS检测中所选XSS检测参数的针对性，较少冗余，本发明提出一种基于输出点位置的XSS检测参数自动选取方法，自动选取适用输出点语境的XSS 检测参数，提高选取XSS检测参数的针对性，缩小待测参数的规模。

发明内容

发明目的：针对以上现有技术存在的问题，本发明提出一种基于输出点位置的XSS检测参数自动选取方法，该方法采用XPath技术自动识别Web页面的输出点位置，实现自动选取符合输出点语境的XSS检测参数，从而提高了选取XSS 检测参数的针对性，缩小了待测参数的规模。

技术方案：为实现本发明的目的，本发明所采用的技术方案是：一种基于输出点位置的XSS漏洞检测参数自动选取方法，包含以下步骤：

(1)分类XSS检测参数在Web页面的输出点位置；

(2)根据输出点位置，设置适用的XSS漏洞检测参数结构；

(3)基于XSS漏洞检测参数结构，分类现有XSS漏洞检测参数，得到不同输出点位置适用的XSS漏洞检测参数；

(4)识别输出点位置类别；

(5)基于输出点位置类别自动选取XSS漏洞检测参数。

其中，进一步，在步骤(1)中，对XSS漏洞检测参数在Web页面的输出点位置进行分类，分为两类：A类表示输出点在标签之间，B类表示输出点在标签之内，进一步对A类和B类进行细分，划分为如下六类输出点位置：

(1.1)A1：普通文本标签之间；

(1.2)A2：带转义功能的标签之间，即HTML中的RCDATA元素之间；

(1.3)A3：script标签之中，即JavaScript之中；

(1.4)B1：非特殊属性之中；

(1.5)B2：特殊属性之中；

(1.6)B3：事件之中。

其中，进一步，在步骤(2)中，根据输出点位置，设置适用的XSS漏洞检测参数结构如下：

(2.1)A1：{script标签+攻击代码}或{标签+特殊属性+伪协议+攻击代码}或{标签+事件}；

(2.2)A2：{闭合标签+A1型XSS漏洞检测参数}；

(2.3)A3：{闭合JavaScript+JavaScript代码}；

(2.4)B1：{闭合属性+特殊属性+伪协议+攻击代码}或{闭合属性+事件+攻击

代码}或{闭合属性+闭合标签+A1型XSS漏洞检测参数}；

(2.5)B2：{伪协议+攻击代码}；

(2.6)B3：{攻击代码}。

其中，进一步，在步骤(4)中，识别输出点位置类别的方法如下：

(4.1)页面注入点注入一串伪随机的探测字符串，用target表示，通过设计 XPath查找target所在位置，判断输出点位置类别；

(4.2)首先进行A类位置识别：设计XPath：//*[contains(text(),target)]，查找页面源码中文本内容包含目标字符串targe的所有元素节点；设计XPath：//*[c ontains(text()[preceding-sibling::br],target)]，查找被<br>标签分割的文本内容中包含目标字符串targe的页面节点；进一步获取元素节点的标签名，当标签名为sc ript时，则输出点位置为A3；当标签名为自带转义功能的标签时，则输出点位置为A2；若以上两者都不是，则输出点位置为A1；

(4.3)继续进行B类位置识别：设计XPath：//*[contains(@*,target)]，查找页面源码中标签属性值包含target的页面节点，进一步获取页面节点的属性名，当属性名为特殊属性时，则输出点位置为B2；当属性名为事件时，则输出点位置为B3；若B1、B3都不是，则输出点位置为B1；

(4.4)当XPath既不能找到属性内容包含target的页面节点，也不能找到标签文本内容包含target的页面节点时，则该注入点不存在输出点。

其中，进一步，在步骤(5)中，基于输出点位置类别自动选取XSS漏洞检测参数方法如下：

(5.1)注入点注入探测字符串；

(5.2)使用步骤(4)设计的输出点位置识别方法，获取注入点全部的输出点位置，存储至列表outList中；

(5.3)判断列表outList是否为空，若列表outList为空，则该注入点不存在输出点，结束XSS漏洞检测参数的选取；否则，转步骤(5.4)；

(5.4)列表outList出列一个输出点位置；

(5.5)选取输出点位置对应的XSS漏洞检测参数，添加至待测XSS漏洞检测参数列表中；

(5.6)判断列表outList中的输出点位置是否都已处理，若存在未处理的输出点位置，则转步骤(5.4)；否则转步骤(5.7)；

(5.7)输出XSS漏洞检测参数列表。

有益效果：与现有技术相比，本发明具有以下有益效果：

在本发明中，将输出点位置与符合输出点语境的XSS检测参数一一对应，利用XPath技术实现输出点位置的自动识别，从而实现自动选取符合输出点语境的XSS检测参数，减少了待测XSS检测参数的规模，克服了XSS检测参数选取的盲目性，有助于XSS检测的自动化，提高检测效率。

附图说明

图1为本发明XSS流程图；

图2为本发明中输出点位置识别流程图；

图3为本发明中基于输出点位置的XSS漏洞检测参数选取流程图。

具体实施方式

下面结合附图和实施例对本发明的技术方案作进一步的说明。

本发明的整体流程如图1所示，具体实施例如下：

(1)分类XSS检测参数在Web页面的输出点位置

XSS漏洞检测参数在Web页面的输出点位置进行分类，可先分为两大类：A 类表示输出点在标签之间，B类表示输出点在标签之内，进一步对A类和B类进行细分，可划分为如下六类输出点位置：

(1.1)A1：普通文本标签之间

(1.2)A2：带转义功能的标签之间，即HTML中的RCDATA元素之间

这类标签即HTML中的RCDATA元素，常见标签： <textarea></textarea>，<title></title>，<iframe></iframe>，<noscript></noscript>， <xmp></xmp>，<plaintext></plaintext>，<math></math>，<style></style>。

(1.3)A3：script标签之中，即JavaScript之中

(1.4)B1：非特殊属性之中

非特殊属性指HTML中不能够使用javascript伪协议和data伪协议的属性，即非特殊属性为HTML中全部属性与特殊属性的差集。

(1.5)B2：特殊属性之中

特殊属性指HTML中属性值能够使用javascript伪协议和data伪协议的属性，通过特殊属性触发浏览器的JavaScript解析器，解析执行XSS漏洞检测参数中的 JavaScript攻击代码，实现XSS攻击。常用的特殊属性：src、dynsrc、lowsrc、 href、action、xlink:href、data、background、formaction。

(1.6)B3：事件之中

事件为HTML中标签的事件驱动属性，HTML中可通过事件驱动属性可执行JavaScript代码。常用的事件：onerror、onclick、onblur。

(2)根据输出点位置，设置适用的XSS漏洞检测参数结构；

根据(1)中对输出点位置的划分，符合对应类别输出点语境的XSS漏洞检测参数组成结构如下：

(2.1)A1：{script标签+攻击代码}或{标签+特殊属性+伪协议+攻击代码}或{标签+事件}输出在标签之间的非自带转义功能的标签时，可通过script标签、标签特殊性和标签事件三种方式触发浏览器的JavaScript解析，执行攻击代码。这类 XSS漏洞检测参数如<script>alert(‘xss’)</script>、<a href＝JavaScript:alert(‘xss’)> click</a>、<imgsrc＝#onerror＝alert(‘xss’)/>。

(2.1)A2：{闭合标签+A1型XSS漏洞检测参数}

输出在自带转义功能的标签之间时必须闭合该类标签，才能触发浏览器的JavaScript解析。当所需闭合标签为textarea时，一个A2型XSS漏洞检测参数的例子：</textarea><script>alert(‘xss’)</script><textarea>。

(2.2)A3：{闭合JavaScript字符+JavaScript代码}

当输出在JavaScript之中赋值语句右侧时，闭合前缀则为单引号或双引号，闭合后缀为JavaScript的注释符//，这类XSS漏洞检测参数如‘alert(17929)；//。

当输出在JavaScript函数的入口参数中时，闭合前缀为右括号和分号：)；，闭合后缀为注释符//，这类XSS漏洞检测参数如‘)；alert(17929))；//。

(2.3)B1：{闭合属性字符+特殊属性+伪协议+攻击代码}或{闭合属性字符+

事件+攻击代码}或{闭合属性字符+闭合标签+A1型XSS漏洞检测参数}

输出在非特殊属性之中时，则需闭合属性，再通过特殊属性、事件执行XSS 攻击，闭合属性的字符为单引号或双引号，这类XSS漏洞检测参数如‘src＝javascript:confirm(1)‘。或者再闭合标签通过标签执行XSS攻击。闭合标签的字符为右尖括号，这类XSS漏洞检测参数如：

“><img onmouseover＝’confirm(17929)’/><”。

(2.4)B2：{伪协议+攻击代码}

输出在特殊属性之中时，则直接通过为伪协议执行XSS攻击，这类XSS漏洞检测参数如：javascript:prompt(1)。

(2.5)B3：{攻击代码}

输出标签的事件之中时，则直接通过JavaScript代码执行XSS攻击，这类XSS 漏洞检测参数如：prompt(1)。

(3)基于各个类别的XSS漏洞检测参数结构，分类现有XSS漏洞检测参数，即得不同输出点位置适用的XSS漏洞检测参数；

如表1所示为不同输出点位置类别对应的XSS漏洞检测参数结构及其XSS漏洞检测参数的举例展示。

(4)识别输出点位置类别。

输出点位置类别识别方法流程如图2所示，具体描述如下：

(4.1)页面注入点注入一串伪随机的探测字符串，用target表示。

(4.2)设计XPath路径表达式：//*[contains(@*,target)]，查找页面源码中标签属性值包含target的页面节点，进一步获取页面节点的属性名，当属性名为特殊属性时，则输出点位置为B2；当属性名为事件时，则输出点位置为B3；若B1、 B3都不是，则输出点位置为B1。

(4.3)设计XPath路径表达式：//*[contains(text(),target)]，查找页面源码中查找文本内容包含目标字符的所有元素节点；设计XPath：//*[contains(text()[preceding-sibling::br],target)]，查找被<br>标签分割的文本内容中包含目标字符串的页面节点；进一步获取元素节点的标签名，当标签名为script时，则输出点位置为A3；当标签名为自带转义功能的标签时，则输出点位置为A2；若以上两者都不是，则输出点位置为A1。

(4.4)当XPath既不能找到属性内容包含target的页面节点，也不能找到标签文本内容包含target的页面节点时，则该注入点不存在输出点。

(5)基于输出点位置类别自动选取对应的XSS漏洞检测参数。

基于输出点位置类别自动选取XSS漏洞检测参数方法流程如图3所示，具体描述如下：

(5.1)注入点注入探测字符串。

(5.2)使用步骤3设计的输出点位置识别方法，获取注入点全部的输出点位置，存储至列表outList中。

(5.3)判断列表outList是否为空，若列表outList为空，则该注入点不存在输出点，结束XSS漏洞检测参数的选取；否则，转步骤(5.4)。

(5.4)列表outList出列一个输出点位置。

(5.5)选取输出点位置对应的XSS漏洞检测参数，添加至待测XSS漏洞检测参数列表中。

(5.6)判断列表outList中的输出点位置是否都已处理，若存在未处理的输出点位置，则转步骤(5.4)；否则转步骤(5.7)。

(5.7)输出XSS漏洞检测参数列表。

当识别出输出点位置类别为A1和B1时，若利用表1中的XSS漏洞检测参数进行XSS检测，则表1中A1和B1类XSS漏洞检测参数的总和为待测XSS漏洞检测参数。

表1输出点类别、XSS漏洞检测参数结构及其对应的XSS漏洞检测参数

Claims (2)

1.一种基于输出点位置的XSS漏洞检测参数自动选取方法，其特征在于，包含以下步骤：

(1)分类XSS漏洞检测参数在Web页面的输出点位置；在步骤(1)中，对XSS漏洞检测参数在Web页面的输出点位置进行分类，分为两类：A类表示输出点在标签之间，B类表示输出点在标签之内，进一步对A类和B类进行细分，划分为如下六类输出点位置：

(1.1)A1：普通文本标签之间；

(1.2)A2：带转义功能的标签之间，即HTML中的RCDATA元素之间；

(1.3)A3：script标签之中，即JavaScript之中；

(1.4)B1：非特殊属性之中；

(1.5)B2：特殊属性之中；

(1.6)B3：事件之中；

(2)根据输出点位置，设置适用的XSS漏洞检测参数结构；在步骤(2)中，根据输出点位置，设置适用的XSS漏洞检测参数结构如下：

(2.1)A1：{script标签+攻击代码}或{标签+特殊属性+伪协议+攻击代码}或{标签+事件}；

(2.2)A2：{闭合标签+A1型XSS漏洞检测参数}；

(2.3)A3：{闭合JavaScript+JavaScript代码}；

(2.4)B1：{闭合属性+特殊属性+伪协议+攻击代码}或{闭合属性+事件+攻击代码}或{闭合属性+闭合标签+A1型XSS漏洞检测参数}；

(2.5)B2：{伪协议+攻击代码}；

(2.6)B3：{攻击代码}；

(3)基于XSS漏洞检测参数结构，分类现有XSS漏洞检测参数，得到不同输出点位置适用的XSS漏洞检测参数；

(4)识别输出点位置类别；识别输出点位置类别的方法如下：

(4.1)页面注入点注入一串伪随机的探测字符串，用target表示，通过设计XPath查找target所在位置，判断输出点位置类别；

(4.2)首先进行A类位置识别：设计XPath：//*[contains(text(),target)]，查找页面源码中文本内容包含目标字符target的所有元素节点；设计XPath：//*[contains(text()[preceding-sibling::br],target)]，查找被<br>标签分割的文本内容中包含目标字符串target的页面节点；进一步获取元素节点的标签名，当标签名为script时，则输出点位置为A3；当标签名为自带转义功能的标签时，则输出点位置为A2；若以上两者都不是，则输出点位置为A1；

(4.3)继续进行B类位置识别：设计XPath：//*[contains(@*,target)]，查找页面源码中标签属性值包含target的页面节点，进一步获取页面节点的属性名，当属性名为特殊属性时，则输出点位置为B2；当属性名为事件时，则输出点位置为B3；若B1、B3都不是，则输出点位置为B1；

(4.4)当XPath既不能找到属性内容包含target的页面节点，也不能找到标签文本内容包含target的页面节点时，则该注入点不存在输出点；

(5)基于输出点位置类别自动选取适用的XSS漏洞检测参数。

2.根据权利要求1所述的一种基于输出点位置的XSS漏洞检测参数自动选取方法，其特征在于，在步骤(5)中，基于输出点位置类别自动选取XSS漏洞检测参数方法如下：

(5.1)注入点注入探测字符串；

(5.2)使用步骤(4)设计的输出点位置识别方法，获取注入点全部的输出点位置，存储至列表outList中；

(5.3)判断列表outList是否为空，若列表outList为空，则该注入点不存在输出点，结束XSS漏洞检测参数的选取；否则，转步骤(5.4)；

(5.4)列表outList出列一个输出点位置；

(5.5)选取输出点位置对应的XSS漏洞检测参数，添加至待测XSS漏洞检测参数列表中；

(5.6)判断列表outList中的输出点位置是否都已处理，若存在未处理的输出点位置，则转步骤(5.4)；否则转步骤(5.7)；

(5.7)输出XSS漏洞检测参数列表。

Images