CN108830083B - 一种基于输出点语境的xss漏洞检测参数自动生成方法 - Google Patents

一种基于输出点语境的xss漏洞检测参数自动生成方法 Download PDF

Info

Publication number
CN108830083B
CN108830083B CN201810509022.9A CN201810509022A CN108830083B CN 108830083 B CN108830083 B CN 108830083B CN 201810509022 A CN201810509022 A CN 201810509022A CN 108830083 B CN108830083 B CN 108830083B
Authority
CN
China
Prior art keywords
xss
vulnerability detection
xss vulnerability
detection parameters
attributes
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201810509022.9A
Other languages
English (en)
Other versions
CN108830083A (zh
Inventor
黄杰
殷青
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Southeast University
Original Assignee
Southeast University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Southeast University filed Critical Southeast University
Priority to CN201810509022.9A priority Critical patent/CN108830083B/zh
Publication of CN108830083A publication Critical patent/CN108830083A/zh
Application granted granted Critical
Publication of CN108830083B publication Critical patent/CN108830083B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/033Test or assess software

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Stored Programmes (AREA)

Abstract

本发明公开了一种基于输出点语境的XSS漏洞检测参数自动生成方法。该方法基于输出点语境对XSS漏洞检测参数建模,设计了XSS漏洞检测参数组成因子,并定义算子表达式形式化描述XSS漏洞检测参数的模型,设计了基于算子表达式的XSS漏洞检测参数自动生成方法。本发明的XSS漏洞检测参数自动生成方法不仅能够快速自动生成符合输出点语境的XSS漏洞检测参数,而且具备扩展性,可用于XSS漏洞检测参数自动生成领域。

Description

一种基于输出点语境的XSS漏洞检测参数自动生成方法
技术领域
本发明属于漏洞检测和测试数据自动生成技术领域,尤其涉及一种基于输出点语境的XSS漏洞检测参数自动生成方法。
背景技术
随着Internet技术的飞速发展与广泛普及,随之而来的各种Web安全问题也日益突出,其中,跨站脚本(XSS:Cross Site Scripting)漏洞具有易利用、广泛存在和强破坏性的特点,已成为目前Web应用中最普遍的Web漏洞之一。XSS的实质是HTML与JavaScript的注入,攻击者通过该漏洞往Web页面里插入恶意的HTML代码,当用户浏览该页面时,嵌入在其中的HTML代码就会被执行,达到恶意攻击的目的。如何准确检测出Web应用中潜在的XSS漏洞,及时做出处理,防御XSS攻击,对于保障Web应用的安全具有十分重大的意义。
根据检测过程中是否需要源码,XSS检测技术主要分为白盒测试和黑盒测试。白盒测试需要Web应用的源码,并且检测结果需要大量的人工分析,耗时耗力。相比而言,不需要源码的黑盒测试有较大优势,黑盒测试具备较高的漏洞检测覆盖率,不需要人工分析,被广泛应用于Web应用的漏洞检测中。XSS黑盒测试技术中,XSS漏洞检测参数的质量决定着XSS检测效果,人工生成XSS漏洞检测参数的方法,无论从检测覆盖面还是检测效率方面,都无法满足越来越复杂的Web应用漏洞检测需求。不符合输出点语境的XSS漏洞检测参数造成XSS漏洞检测参数的冗余,降低XSS检测效率;种类单一,检测覆盖面不全的XSS漏洞检测参数易造成XSS检测的漏报。因此,自动构造符合输出点语境、检测覆盖面广的XSS漏洞检测参数有助于有效地检测出Web应用中的潜在XSS漏洞。
发明内容
发明目的:针对现有技术存在的问题,本发明提出一种自动构造符合输出点语境的XSS漏洞检测参数生成方法,该方法对输出点位置进行划分,自动构造符合不同输出点语境的XSS漏洞检测参数。该方法实现了XSS漏洞检测参数生成的自动化,在XSS检测中根据输出点位置选取对应类别的XSS漏洞检测参数,从而避免了XSS检测中不符合输出点语境的XSS漏洞检测参数造成的冗余。
技术方案:为实现本发明的目的,本发明所采用的技术方案是:一种基于输出点语境的XSS漏洞检测参数自动生成方法,包含以下步骤:
(1)根据XSS漏洞检测参数组成规律,定义XSS漏洞检测参数组成因子;
(2)定义描述XSS漏洞检测参数组成模型的组成因子算子及运算规律;
(3)利用步骤(2)定义的组成因子算子,设计不同输出点语境下的XSS漏洞检测参数组成的算子表达式;
(4)根据步骤(3)设计的算子表达式,实例化XSS漏洞检测参数,生成实际的XSS漏洞检测参数。
其中,步骤(1)所定义的XSS漏洞检测参数组成因子,其包括:
(1.1)特殊属性:指HTML中属性值能够使用javascript伪协议和data伪协议的属性;
(1.2)标签:指HTML中能够包含特殊属性的标签;
(1.3)伪协议:指HTML中特殊属性通过伪协议加载攻击代码;
(1.4)攻击代码:指不同攻击目的的JavaScript代码;
(1.5)事件:指HTML中的事件驱动属性;
(1.6)闭合字符:闭合字符通过闭合标签、属性或原JavaScript逻辑,改变原有HTML的DOM结构,使XSS漏洞检测参数符合输出点语境,致使浏览器成功执行其中的攻击代码。
其中,步骤(2)中所定义的组成因子算子及运算规律为:
(2.1)定义Si表示选取i类组成因子;定义SP表示选取伪协议,定义SC表示选取攻击代码,定义SA表示选取特殊属性,定义SE表示选取事件,定义ST表示选取标签,定义SR_TAG表示选取闭合标签的闭合字符,定义SR_ATTR表示选取闭合属性的闭合字符,定义SR_JS表示选取闭合原JavaScript逻辑的闭合字符;
(2.2)运算规律:定义|为算子间的或操作,S1|S2={x|x∈S1∪x∈S2},表示两种集合中的元素各选其一;定义·为算子间的复合运算符,S1·S2表示算子S1处理算子S2代表的输入集合,生成新的表达式;定义Si(m)表示选取i类组成因子集合中的组成因子参数m;复合运算符·的运算顺序为从右至左,即S1·S2·S3=S1·(S2·S3),并且括号的优先级最高。
其中,将XSS漏洞检测参数的输出点语境分为六类:
(1)A1:普通文本节点之间;
(2)A2:带转义功能的标签之间,即HTML中的RCDATA元素之间;
(3)A3:script标签之中,即JavaScript之中;
(4)B1:非特殊属性之中;
(5)B2:特殊属性之中;
(6)B3:事件之中。
其中,步骤(3)中,所设计的不同输出点语境下的XSS漏洞检测参数组成的算子表达式如(3.1)至(3.6)所示,其中XSSA1、XSSA2、XSSA3、XSSB1、XSSB2、XSSB3分别表示适用于A1、A2、A3、B1、B2、B3类输出点语境的XSS漏洞检测参数组成:
(3.1)XSSA1=ST(script)·SC|ST·SA·SP·SC|ST·SE·SC
(3.2)XSSA2=SR_TAG·XSSA1
(3.3)XSSA3=SR_JS·SC
(3.4)XSSB1=SR_ATTR·SA·SP·SC|SR_ATTR·SE·SC|SR_ATTR·SR_TAG·XSSA1
(3.5)XSSB2=SP·SC
(3.6)XSSB3=SC
其中,步骤(4)所述的实例化XSS漏洞检测参数的方法:
(4.1)建立步骤(1)所定义的各组成因子资源库,存储各组成因子的备选参数;
(4.2)根据(4.1)中建立的组成因子库中的备选参数,设计有限的标签-属性二维表,规范组成因子中的标签与属性的匹配关系,其中属性包括特殊属性与事件驱动属性;
(4.3)设计组成因子构造函数;
(4.4)根据步骤(3)所定义的不同输出点语境下的XSS漏洞检测参数组成的算子表达式,通过嵌套调用组成因子构造函数,得到各类XSS漏洞检测参数的生成函数;
(4.5)遍历各组成因子资源库,读取标签-属性二维表选择匹配的标签与属性,利用XSS漏洞检测参数的生成函数,生成XSS漏洞检测参数,即为获得的XSS漏洞检测参数。
有益效果:与现有技术相比,本发明的技术方案具有以下的有益技术效果:
本发明提出一种基于输出点语境的XSS漏洞检测参数自动生成方法,其考虑了不同输出点语境下的XSS漏洞检测参数的构造,生成的XSS漏洞检测参数覆盖面广,针对性强,可有效减少无效XSS漏洞检测参数的检测。并且该方法具备扩展性,当HTML中有新的标签、属性或事件产生时,只需往对应库中添加字段,并更新标签-属性二维表即可,能快速生成大量有效的XSS漏洞检测参数,弥补了人工生成XSS漏洞检测参数效率低下的不足。
附图说明
图1为本发明XSS漏洞检测参数生成流程图;
图2为本发明XSS漏洞检测参数实例化流程图;
图3为本发明输出点在标签之间的输出语境分析及XSS漏洞检测参数的分类图;
图4为本发明输出点在标签之内的输出语境分析及XSS漏洞检测参数的分类图。
具体实施方式
下面结合附图和实施例对本发明的技术方案作进一步的说明。
本发明的XSS漏洞检测参数实例化流程如图2所示,具体实施例如下:
XSS漏洞检测参数建模阶段:
(1)定义XSS漏洞检测参数组成因子;
定义的XSS漏洞检测参数组成因子具体如下:任意XSS漏洞检测参数都能拆分成本发明定义的组成因子,本发明定义的XSS漏洞检测参数组成因子具体包括:
(1.1)特殊属性:指HTML中属性值能够使用javascript伪协议和data伪协议的属性,如src、dynsrc、lowsrc、href、action等;
(1.2)标签:指HTML中能够包含特殊属性的标签,如<a><p><img>;
(1.3)伪协议:HTML中特殊属性通过伪协议加载攻击代码,如javascript,data;
(1.4)攻击代码:指不同攻击目的的JavaScript代码,如基于检测目的的弹窗类代码alert()、confirm()、prompt();
(1.5)事件:指HTML中的事件驱动属性,如onerror、onclick、onblur;
(1.6)闭合字符:闭合字符通过闭合标签、属性或原JavaScript逻辑,改变原有HTML的DOM结构,使XSS漏洞检测参数符合输出点语境,致使浏览器成功执行其中的攻击代码,不同输出语境中所需的闭合字符不同,如单引号、双引号、右尖括号>。
(2)定义组成因子算子及其运算规律;
定义的组成因子算子及其运算规律具体内容如下:
(2.1)定义Si表示选取i类组成因子;定义SP表示选取伪协议,定义SC表示选取攻击代码,定义SA表示选取特殊属性,定义SE表示选取事件,定义ST表示选取标签,定义SR_TAG表示选取闭合标签的闭合字符,定义SR_ATTR表示选取闭合属性的闭合字符,定义SR_JS表示选取闭合原JavaScript逻辑的闭合字符。
(2.2)运算规律:定义|为算子间的或操作,S1|S2={x|x∈S1∪x∈S2},表示两种集合中的元素各选其一;定义·为算子间的复合运算符。S1·S2表示算子S1处理算子S2代表的输入集合,生成新的表达式;定义Si(m)表示选取i类组成因子集合中的具体组成因子参数m;复合运算符·的运算顺序为从右至左,即S1·S2·S3=S1·(S2·S3);括号的优先级最高。
(3)设计不同输出点语境下的XSS漏洞检测参数组成的算子表达式;
不同输出点语境下的XSS漏洞检测参数组成的算子表达式的具体内容如下:
(3.1)根据XSS漏洞检测参数在HTML中的输出点位置,本发明将输出点语境分为六类:A1:普通文本节点之间;A2:带转义功能的标签之间,即HTML中的RCDATA元素之间;A3:script标签之中,即JavaScript之中;B1:非特殊属性之中;B2:特殊属性之中;B3:事件之中。
(3.2)利用组成因子算子,设计不同输出点语境的XSS漏洞检测参数的算子表达式,如图3,图4所示分别为输出点在标签之间和标签之内的输出语境分析及XSS漏洞检测参数分类。
①XSSA1=ST(script)·SC|ST·SA·SP·SC|ST·SE·SC:A1型XSS漏洞检测参数输出在普通文本节点之中时,无需添加闭合字符,当页面加载时,注入的XSS漏洞检测参数能够执行。表达式XSSA1表示A1型XSS漏洞检测参数有三种基本组成方式:script标签+XSS攻击代码、普通标签+特殊属性+伪协议+XSS攻击代码、普通标签+事件+XSS攻击代码。
②XSSA2=SR_TAG·XSSA1:A2型XSS漏洞检测参数输出在带转义功能的标签之间,即HTML中的RCDATA元素之间时,需要闭合掉该类标签,再添加攻击负载,即A2型XSS漏洞检测参数是在A1型XSS漏洞检测参数的基础上,添加闭合标签的字符。
③XSSA3=SR_JS·SC:A3型XSS漏洞检测参数输出在JavaScript中,表达式XSSA3表示A3类XSS漏洞检测参数的组成为闭合JavaScript代码的字符+攻击代码。
④XSSB1=SR_ATTR·SA·SP·SC|SR_ATTR·SE·SC|SR_ATTR·SR_TAG·XSSA1:B1型XSS漏洞检测参数输出在非特殊属性之中,表达式XSSB1表示B1型XSS漏洞检测参数的组成为B11型XSS漏洞检测参数:闭合属性字符+特殊属性+伪协议+XSS攻击代码、B12型XSS漏洞检测参数:闭合属性字符+事件+XSS攻击代码、B13型XSS漏洞检测参数:闭合属性字符+闭合标签字符+A1型XSS漏洞检测参数。
⑤XSSB2=SP·SC:B2型XSS漏洞检测参数输出在特殊属性之中,表达式XSSB2表示B2型XSS漏洞检测参数的组成为伪协议+攻击代码。
⑥XSSB3=SC:B3型XSS漏洞检测参数输出在事件之中,表达式XSSB3表示B3型XSS漏洞检测参数的组成为攻击代码。
XSS漏洞检测参数实例化阶段:
XSS漏洞检测参数实例化流程如图2所示。
(1)建立组成因子资源库
HTML中可作为XSS漏洞检测参数组成因子的标签、属性、伪协议、攻击代码众多,限于篇幅,此处选取部分标签、属性、伪协议和攻击代码建立组成因子资源库如表1-5所示,实际使用时可在各个组成因子库中添加更多内容,以产生数量更多,种类更加丰富XSS漏洞检测参数。
表1标签库
Figure BDA0001672446210000051
表2属性库
Figure BDA0001672446210000061
表3事件库
Figure BDA0001672446210000062
表4伪协议库
Figure BDA0001672446210000063
表5攻击代码库
Figure BDA0001672446210000064
(2)设计标签-属性二维表
由于HTML中标签和属性的个数是有限的,二者之间的匹配关系也是有限的,根据标签库和属性库的内容,设计标签-属性二维表描述各个标签和属性之间的匹配关系。例如当标签库全部标签为:img,iframe,link,a,meta,属性库全部内容为:src,href,content,onerror,onclick时,则标签-属性表如表6所示,其中√号表示该行的标签与该列的属性是匹配的,没有√号则表示该行标签与该列属性不匹配。
表6标签-属性表
Figure BDA0001672446210000065
(3)设计组成因子构造函数
XSS漏洞检测参数实例化阶段步骤3中的组成因子构造函数如表7所示。
表7组成因子构造函数
Figure BDA0001672446210000071
Figure BDA0001672446210000081
(4)基于算子表达式,设计不同输出点语境的XSS漏洞检测参数生成函数。
XSS漏洞检测参数生成函数设计方法为基于算子表达式,利用表7的组成因子构造函数,通过函数嵌套调用,得到各类XSS漏洞检测参数的生成函数。以A1型XSS漏洞检测参数的生成函数构造为例,嵌套调用表7中的组成因子构造函数,可得A1型XSS漏洞检测参数生成函数如表8所示。
表8基于算子表达式设计A1型XSS漏洞检测参数生成函数
Figure BDA0001672446210000082
(5)利用XSS漏洞检测参数的生成函数,生成XSS漏洞检测参数。
生成XSS漏洞检测参数方法为根据XSS漏洞检测参数的生成函数,确定所需遍历的组成因子资源库,当XSS漏洞检测参数生成函数包含标签和属性的组合时,则遍历标签-属性二维表,选择符合匹配关系的组合。
例如表8中利用A1型XSS漏洞检测参数生成函数TF(tag,AF(attr,PF(pro,CF(c_ID))),”,”)生成XSS漏洞检测参数的伪代码如表9所示。
表9基于算子表达式ST·SA·SP·SC的XSS攻击向量生成
Figure BDA0001672446210000091
例如,当tag为’img’,attr为’src’,pro为’javascript’,c_ID所代表的攻击代码为‘confirm(2)’时,构造的XSS攻击向量为:
<img src=javascript:confirm(2)/>
同理,可得其他类型XSS漏洞检测参数的生成函数,各类别XSS漏洞检测参数生成函数如表10所示。使用此方法遍历各组成因子库能够生成大量XSS漏洞检测参数,如表11所示为本文生成的各类型XSS漏洞检测参数的部分展示。
表10基于算子表达式的各类别XSS漏洞检测参数生成函数
Figure BDA0001672446210000092
Figure BDA0001672446210000101
注:A1_XSS表示A1型XSS漏洞检测参数
表11各类型XSS漏洞检测参数
Figure BDA0001672446210000102

Claims (2)

1.一种基于输出点语境的XSS漏洞检测参数自动生成方法,其特征在于,包含以下步骤:
(1)根据XSS漏洞检测参数组成规律,定义XSS漏洞检测参数组成因子;所定义的XSS漏洞检测参数组成因子包括:
(1.1)特殊属性:指HTML中属性值能够使用javascript伪协议和data伪协议的属性;
(1.2)标签:指HTML中能够包含特殊属性的标签;
(1.3)伪协议:指HTML中特殊属性通过伪协议加载攻击代码;
(1.4)攻击代码:指不同攻击目的的JavaScript代码;
(1.5)事件:指HTML中的事件驱动属性;
(1.6)闭合字符:闭合字符通过闭合标签、属性或原JavaScript逻辑,改变原有HTML的DOM结构,使XSS漏洞检测参数符合输出点语境,致使浏览器成功执行其中的攻击代码;
(2)定义描述XSS漏洞检测参数组成模型的组成因子算子及运算规律;所定义的组成因子算子及运算规律为:
(2.1)定义Si表示选取i类组成因子;定义SP表示选取伪协议,定义SC表示选取攻击代码,定义SA表示选取特殊属性,定义SE表示选取事件,定义ST表示选取标签,定义SR_TAG表示选取闭合标签的闭合字符,定义SR_ATTR表示选取闭合属性的闭合字符,定义SR_JS表示选取闭合原JavaScript逻辑的闭合字符;
(2.2)运算规律:定义|为算子间的或操作,S1|S2={x|x∈S1∪x∈S2},表示两种集合中的元素各选其一;定义·为算子间的复合运算符,S1·S2表示算子S1处理算子S2代表的输入集合,生成新的表达式;定义Si(m)表示选取i类组成因子集合中的组成因子参数m;复合运算符·的运算顺序为从右至左,即S1·S2·S3=S1·(S2·S3),并且括号的优先级最高;
(3)利用步骤(2)定义的组成因子算子,设计不同输出点语境下的XSS漏洞检测参数组成的算子表达式;所设计的不同输出点语境下的XSS漏洞检测参数组成的算子表达式如(3.1)至(3.6)所示,其中XSSA1、XSSA2、XSSA3、XSSB1、XSSB2、XSSB3分别表示适用于A1、A2、A3、B1、B2、B3类输出点语境的XSS漏洞检测参数组成:
(3.1)XSSA1=ST(script)·SC|ST·SA·SP·SC|ST·SE·SC
(3.2)XSSA2=SR_TAG·XSSA1
(3.3)XSSA3=SR_JS·SC
(3.4)XSSB1=SR_ATTR·SA·SP·SC|SR_ATTR·SE·SC|SR_ATTR·SR_TAG·XSSA1
(3.5)XSSB2=SP·SC
(3.6)XSSB3=SC
将XSS漏洞检测参数的输出点语境分为六类:
A1:普通文本节点之间;
A2:带转义功能的标签之间,即HTML中的RCDATA元素之间;
A3:script标签之中,即JavaScript之中;
B1:非特殊属性之中;
B2:特殊属性之中;
B3:事件之中;
(4)根据步骤(3)设计的算子表达式,实例化XSS漏洞检测参数,生成实际的XSS漏洞检测参数。
2.根据权利要求1所述的一种基于输出点语境的XSS漏洞检测参数自动生成方法,其特征在于,步骤(4)所述的实例化XSS漏洞检测参数的方法:
(4.1)建立步骤(1)所定义的各组成因子的资源库,存储各组成因子的备选参数;
(4.2)根据(4.1)中建立的组成因子库中的备选参数,设计有限的标签-属性二维表,规范组成因子中的标签与属性的匹配关系,其中属性包括特殊属性与事件驱动属性;
(4.3)设计组成因子构造函数;
(4.4)根据步骤(3)所定义的不同输出点语境下的XSS漏洞检测参数组成的算子表达式,通过嵌套调用组成因子构造函数,得到各类XSS漏洞检测参数的生成函数;
(4.5)遍历各组成因子资源库,读取标签-属性二维表选择匹配的标签与属性,利用XSS漏洞检测参数的生成函数,生成XSS漏洞检测参数,即为获得的XSS漏洞检测参数。
CN201810509022.9A 2018-05-24 2018-05-24 一种基于输出点语境的xss漏洞检测参数自动生成方法 Active CN108830083B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810509022.9A CN108830083B (zh) 2018-05-24 2018-05-24 一种基于输出点语境的xss漏洞检测参数自动生成方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810509022.9A CN108830083B (zh) 2018-05-24 2018-05-24 一种基于输出点语境的xss漏洞检测参数自动生成方法

Publications (2)

Publication Number Publication Date
CN108830083A CN108830083A (zh) 2018-11-16
CN108830083B true CN108830083B (zh) 2022-04-12

Family

ID=64145271

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810509022.9A Active CN108830083B (zh) 2018-05-24 2018-05-24 一种基于输出点语境的xss漏洞检测参数自动生成方法

Country Status (1)

Country Link
CN (1) CN108830083B (zh)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109933788B (zh) * 2019-02-14 2023-05-23 北京百度网讯科技有限公司 类型确定方法、装置、设备和介质
CN109933980A (zh) * 2019-02-28 2019-06-25 北京长亭科技有限公司 一种漏洞扫描方法、装置和电子设备
CN112287349A (zh) * 2019-07-25 2021-01-29 腾讯科技(深圳)有限公司 安全漏洞检测方法及服务端
CN111797407B (zh) * 2020-09-08 2021-05-07 江苏开博科技有限公司 一种基于深度学习模型优化的xss漏洞检测方法
CN112364353B (zh) * 2020-11-03 2021-07-30 深圳开源互联网安全技术有限公司 一种基于nodejs express应用的xss漏洞检测方法及装置
CN114297079B (zh) * 2021-12-30 2024-04-02 北京工业大学 基于时间卷积网络的xss模糊测试用例生成方法

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101894237B (zh) * 2010-08-03 2012-05-30 南开大学 应用遗传算法自动生成xss跨站点脚本漏洞检测参数的方法
CN106603572B (zh) * 2017-01-16 2020-07-14 深圳市九州安域科技有限公司 一种基于探针的漏洞检测方法及其装置

Also Published As

Publication number Publication date
CN108830083A (zh) 2018-11-16

Similar Documents

Publication Publication Date Title
CN108830083B (zh) 一种基于输出点语境的xss漏洞检测参数自动生成方法
WO2021061226A1 (en) Uniform resource locator security analysis using malice patterns
CN105677654B (zh) 广告过滤方法及装置
WO2019075390A1 (en) BOX BLACK MATCHING MOTOR
US10055590B2 (en) Rule matching in the presence of languages with no types or as an adjunct to current analyses for security vulnerability analysis
US11212297B2 (en) Access classification device, access classification method, and recording medium
CN109145235B (zh) 用于解析网页的方法、装置及电子设备
CN109033764A (zh) 反混淆处理方法及终端、计算机设备
CN108830082B (zh) 一种基于输出点位置的xss漏洞检测参数自动选取方法
Bello et al. Towards a taint mode for cloud computing web applications
CN103577188B (zh) 防御跨站脚本攻击的方法及装置
CN113849817A (zh) 一种JavaScript原型链污染漏洞的检测方法及装置
US9471713B2 (en) Handling complex regex patterns storage-efficiently using the local result processor
CN115688108B (zh) 一种webshell静态检测方法及系统
CN111355709A (zh) 数据验证方法、装置、电子设备及计算机可读存储介质
CN110647749A (zh) 一种二阶sql注入攻击防御的方法
Jin et al. A Security Study about Electron Applications and a Programming Methodology to Tame DOM Functionalities.
Tan et al. ColdPress: An extensible malware analysis platform for threat intelligence
US9164869B2 (en) Scalable and precise string analysis using index-sensitive static string abstractions
US11568130B1 (en) Discovering contextualized placeholder variables in template code
Izmaylova et al. M3: an open model for measuring code artifacts
Yuan et al. Research and implementation of security vulnerability detection in application system of WEB static source code analysis based on JAVA
CN110674355B (zh) 描述数据标注任务的dsl应用系统及其方法
Dahse Static detection of complex vulnerabilities in modern PHP applications
EP4184356A1 (en) Webpage integrity monitoring

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant