CN110113311A - 跨站脚本攻击xss漏洞检测方法及装置 - Google Patents
跨站脚本攻击xss漏洞检测方法及装置 Download PDFInfo
- Publication number
- CN110113311A CN110113311A CN201910285146.8A CN201910285146A CN110113311A CN 110113311 A CN110113311 A CN 110113311A CN 201910285146 A CN201910285146 A CN 201910285146A CN 110113311 A CN110113311 A CN 110113311A
- Authority
- CN
- China
- Prior art keywords
- url
- xss
- detected
- payload
- detection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Abstract
本公开涉及一种跨站脚本攻击XSS漏洞检测方法及装置。所述方法应用于检测节点,包括:接收待检测统一资源定位符URL;获取待检测URL的请求方式以及待检测URL的类型;根据待检测URL的类型,使用探针构造第一URL;根据待检测URL的请求方式,利用第一URL进行XSS漏洞探测,确定未过滤的字符;根据未过滤的字符,向待检测URL中注入有效载荷payload,检测XSS漏洞。通过探针将待检测URL构造为第一URL进行XSS漏洞探测后,对探测的未过滤字符继续进行XSS漏洞检测,使得XSS漏洞的检测更有针对性,避免盲目注入payload,提高了XSS漏洞检测的效率。
Description
技术领域
本公开涉及网络安全领域,尤其涉及一种跨站脚本攻击XSS漏洞检测方法及装置。
背景技术
在当今信息时代,网络已经成为人们生活中必不可少的角色,web应用程序给人们的生活提供了巨大的便利,不管是衣、食、住、行,都可以通过网络满足。然而在便利的同时,也存在很多的威胁,其中最多且最常见的威胁便是来自跨站脚本攻击XSS(Cross SiteScripting)。其中,为了不和层叠样式表(Cascading Style Sheets,CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。
目前传统的工具在做XSS检测的时候,多存在检测策略简单、检测效率低、检测覆盖范围窄的问题,并且还存在误报和漏报率高的问题。
发明内容
有鉴于此,本公开提出了一种跨站脚本攻击XSS漏洞检测方法及装置。
根据本公开的一方面,提供了一种跨站脚本攻击XSS漏洞检测方法,所述方法应用于检测节点,包括:
接收待检测统一资源定位符URL;
获取所述待检测URL的请求方式以及所述待检测URL的类型;
根据所述待检测URL的类型,使用探针构造第一URL;
根据所述待检测URL的请求方式,利用所述第一URL进行XSS漏洞探测,确定未过滤的字符;
根据所述未过滤的字符,向待检测URL中注入有效载荷payload,检测XSS漏洞。
在一种可能的实现方式中,所述payload包括反射型payload和存储型payload。
在一种可能的实现方式中,所述反射型payload为用于改变所述待检测URL对应的页面中标签属性的代码;所述存储型payload为用于向XSS接收平台发送待检测URL存在XSS漏洞的代码;所述代码为JS代码或HTML代码。
在一种可能的实现方式中,根据所述未过滤的字符,向待检测URL中注入有效载荷payload,检测XSS漏洞,包括:根据所述未过滤的字符,在反射型payload中选择第一注入payload;
利用所述第一注入Payload替换所述待检测URL中的参数,构造第二URL;使用第二URL重新发起请求;
接收页面渲染完整的响应页面,分析所述响应页面中是否包含所述第一注入Payload来确定是否存在XSS漏洞。
在一种可能的实现方式中,根据所述未过滤的字符,向待检测URL中注入有效载荷payload,检测XSS漏洞,还包括:
根据所述未过滤的字符,在存储型payload中选择第二注入payload;
利用所述第二注入Payload替换所述待检测URL中的参数,构造第三URL;
利用第三URL发起请求以使第三URL的请求信息被保存到数据库;其中,所述第三URL的请求信息被保存到数据库用于当所述第三URL的请求信息被执行时,能够发送存在XSS漏洞至XSS接收平台。
在一种可能的实现方式中,所述XSS接收平台设置于总调度平台中,其中,总调度平台与所述检测节点分布式部署。
在一种可能的实现方式中,所述检测节点采用Docker容器技术。
在一种可能的实现方式中,每一个Docker容器包括XSS检测系统和XSS检测系统的副本,其中,所述XSS检测系统的副本用于在XSS检测系统崩溃时,代替XSS检测系统进行XSS漏洞检测。
在一种可能的实现方式中,分析所述响应页面中是否包含所述第一注入Payload来确定是否存在XSS漏洞,包括:
若分析所述响应页面中包含所述第一注入Payload,确定存在XSS漏洞;
若分析所述响应页面中不包含所述第一注入Payload,确定不存在XSS漏洞。
在一种可能的实现方式中,所述方法还包括:
获取待检测URL的标识符;
根据标识符,确定所述待检测URL是否被检测;
若所述待检测URL被检测,将检测结果发送至总调度平台;
若所述待检测URL未被检测,重新检测该待检测URL。
在一种可能的实现方式中,所述URL的类型包括动态URL或伪静态URL。
在一种可能的实现方式中,所述URL的请求方式包括get请求方式或post请求方式。
在一种可能的实现方式中,所述探针在所述第一URL对应的页面中是唯一的;其中,所述探针包括第一类字符和第二类字符,每一个第一类字符包括该第一类字符的一种或多种编码。
根据本公开的另一方面,提供了一种跨站脚本攻击XSS漏洞检测装置,所述装置应用于检测节点,包括:
接收模块,用于接收待检测统一资源定位符URL;
第一获取模块,用于获取所述待检测URL的请求方式以及所述待检测URL的类型;
第一URL构造模块,用于根据所述待检测URL的类型,使用探针构造第一URL;
探测模块,用于根据所述待检测URL的请求方式,利用所述第一URL进行XSS漏洞探测,确定未过滤的字符;
第一检测模块,用于根据所述未过滤的字符,向待检测URL中注入有效载荷payload,检测XSS漏洞。
在一种可能的实现方式中,所述payload包括反射型payload和存储型payload。
在一种可能的实现方式中,所述反射型payload为用于改变所述待检测URL对应的页面中标签属性的代码;所述存储型payload为用于向XSS接收平台发送待检测URL存在XSS漏洞的代码;所述代码为JS代码或HTML代码。
在一种可能的实现方式中,所述第一检测模块,包括:第一选择单元,用于根据所述未过滤的字符,在反射型payload中选择第一注入payload;
第二URL构造单元,用于利用所述第一注入Payload替换所述待检测URL中的参数,构造第二URL;使用第二URL重新发起请求;
第一检测单元,用于接收页面渲染完整的响应页面,分析所述响应页面中是否包含所述第一注入Payload来确定是否存在XSS漏洞。
在一种可能的实现方式中,所述第一检测模块,还包括:
第二选择单元,用于根据所述未过滤的字符,在存储型payload中选择第二注入payload;
第三URL构造单元,用于利用所述第二注入Payload替换所述待检测URL中的参数,构造第三URL;
第二检测单元,用于利用第三URL发起请求以使第三URL的请求信息被保存到数据库;其中,所述第三URL的请求信息被保存到数据库用于当所述第三URL的请求信息被执行时,能够发送存在XSS漏洞至XSS接收平台。
在一种可能的实现方式中,所述XSS接收平台设置于总调度平台中,其中,总调度平台与所述检测节点分布式部署。
在一种可能的实现方式中,所述检测节点采用Docker容器技术。
在一种可能的实现方式中,每一个Docker容器包括XSS检测系统和XSS检测系统的副本,其中,所述XSS检测系统的副本用于在XSS检测系统崩溃时,代替XSS检测系统进行XSS漏洞检测。
在一种可能的实现方式中,所述第一检测单元,包括:
第一检测子单元,用于若分析所述响应页面中包含所述第一注入Payload,确定存在XSS漏洞;
第二检测子单元,用于若分析所述响应页面中不包含所述第一注入Payload,确定不存在XSS漏洞。
在一种可能的实现方式中,所述装置还包括:
第二获取模块,用于获取待检测URL的标识符;
确定模块,用于根据标识符,确定所述待检测URL是否被检测;
发送模块,用于若所述待检测URL被检测,将检测结果发送至总调度平台;
第二检测模块,用于若所述待检测URL未被检测,重新检测该待检测URL。
在一种可能的实现方式中,所述URL的类型包括动态URL或伪静态URL。
在一种可能的实现方式中,所述URL的请求方式包括get请求方式或post请求方式。
在一种可能的实现方式中,所述探针在所述第一URL对应的页面中是唯一的;其中,所述探针包括第一类字符和第二类字符,每一个第一类字符包括该第一类字符的一种或多种编码。
根据本公开的另一方面,提供了一种跨站脚本攻击XSS漏洞检测装置,包括:处理器;用于存储处理器可执行指令的存储器;其中,所述处理器被配置为执行上述方法。
根据本公开的另一方面,提供了一种非易失性计算机可读存储介质,其上存储有计算机程序指令,其中,所述计算机程序指令被处理器执行时实现上述方法。
通过探针将待检测URL构造为第一URL进行XSS漏洞探测后,对探测的未过滤字符继续进行XSS漏洞检测,根据本公开实施例的跨站脚本攻击XSS漏洞检测方法及装置,通过探针的使用,使得XSS漏洞的检测更有针对性,避免盲目注入payload,提高了XSS漏洞检测的效率。
根据下面参考附图对示例性实施例的详细说明,本公开的其它特征及方面将变得清楚。
附图说明
包含在说明书中并且构成说明书的一部分的附图与说明书一起示出了本公开的示例性实施例、特征和方面,并且用于解释本公开的原理。
图1示出根据本公开一实施例的跨站脚本攻击XSS漏洞检测方法的流程图。
图2示出根据本公开一实施例的payload存储的示意图。
图3示出根据本公开一实施例的检测节点与总调度平台的部署示意图。
图4示出根据本公开一实施例的步骤S15的流程图。
图5示出根据本公开一实施例的步骤S15的流程图。
图6示出根据本公开一实施例的跨站脚本攻击XSS漏洞检测方法的流程图。
图7示出根据本公开一实施例的跨站脚本攻击XSS漏洞检测装置的框图。
图8示出根据本公开一实施例的第一检测模块15的框图。
图9示出根据本公开一实施例的第一检测模块15的框图。
图10示出根据本公开一实施例的跨站脚本攻击XSS漏洞检测装置的框图。
图11是根据一示例性实施例示出的用于跨站脚本攻击XSS漏洞检测装置800的框图。
图12是根据一示例性实施例示出的用于跨站脚本攻击XSS漏洞检测装置1900的框图。
具体实施方式
以下将参考附图详细说明本公开的各种示例性实施例、特征和方面。附图中相同的附图标记表示功能相同或相似的元件。尽管在附图中示出了实施例的各种方面,但是除非特别指出,不必按比例绘制附图。
在这里专用的词“示例性”意为“用作例子、实施例或说明性”。这里作为“示例性”所说明的任何实施例不必解释为优于或好于其它实施例。
另外,为了更好的说明本公开,在下文的具体实施方式中给出了众多的具体细节。本领域技术人员应当理解,没有某些具体细节,本公开同样可以实施。在一些实例中,对于本领域技术人员熟知的方法、手段、元件和电路未作详细描述,以便于凸显本公开的主旨。
图1示出根据本公开一实施例的跨站脚本攻击XSS漏洞检测方法的流程图。所述方法可以应用于检测节点,如图1所示,所述方法可以包括:
步骤S11,接收待检测统一资源定位符URL。
所述待检测统一资源定位符URL可以是指需要被检测是否存在XSS漏洞的URL。
在进行XSS漏洞检测时,所述检测节点可以从总调度平台接收待检测URL。其中,待检测URL可以为一个或多个。所述总调度平台可以如图3所示。所述总调度平台可以创建待检测URL队列,并向检测节点分发待检测URL。
步骤S12,获取所述待检测URL的请求方式以及所述待检测URL的类型。
所述待检测URL的请求方式可以包括get请求方式等;所述待检测URL的类型可以包括静态URL、动态URL等。
针对每一个待检测URL,所述检测节点可以获取待检测URL的请求方式以及所述待检测URL的类型。其中,所述待检测URL的请求方式以及所述待检测URL的类型可以是总调度平台在发送待检测URL时一并发送的。例如,待检测URL为http://test.com/a/b/c.html,总调度平台发送待检测URL至检测节点时,可以发送{“url”:”http://test.com/a/b/c.html”,”method”:”get”,”args”:[“b”,”c”],”type”:”fake_static”},检测节点可以获取该待检测URL的类型为伪静态fake_static,该待检测URL的请求方式为get请求方式。
其中,所述总调度平台可以利用现有爬虫工具获取待检测URL的请求方式以及所述待检测URL的类型,本公开对此不作限定。
步骤S13,根据所述待检测URL的类型,使用探针构造第一URL。
所述探针可以是多种字符的组合,例如“>123”或“=电脑”等,本公开对此不作限定,只要能够保证所述探针是第一URL对应的页面中的唯一标识(唯一字符组合)即可。
检测节点可以根据待检测URL的类型,使用探针构造第一URL,使得构造的第一URL的类型与待检测URL的类型相同。
在一个示例中,检测节点可以根据待检测URL的类型,使用探针修改待检测URL,构造第一URL。例如,待检测URL为http://test.com/a/b/c.html,检测节点可以使用探针“=”构造第一URL为:http://test.com/a/=电脑/c.html。
步骤S14,根据所述待检测URL的请求方式,利用所述第一URL进行XSS漏洞探测,确定未过滤的字符。
所述未过滤的字符可以是指请求的网站(站点)未过滤的字符,其中,所述未过滤的字符可以是网站没有过滤功能导致的,也可以是网站具有过滤功能但过滤不全面导致的。
检测节点可以根据待检测URL的请求方式,利用所述第一URL进行XSS漏洞探测,确定未过滤的字符。例如,待检测URL的请求方式为get请求方式,第一URL为:http://test.com/a/=电脑/c.html,检测节点可以利用第一URL以get请求方式向网络服务器(例如web服务器)进行请求,接收并分析返回的页面,如果返回的页面中包括“=电脑”,则可以确定“=”为未过滤的字符。
步骤S15,根据所述未过滤的字符,向待检测URL中注入有效载荷payload,检测XSS漏洞。
检测节点可以根据未过滤的字符,选择与未过滤的字符对应的payload注入待检测的URL。检测节点可以利用被注入后的待检测URL向网络服务器发起请求,通过分析返回的页面中是否存在被注入的payload,检测是否存在XSS漏洞,若返回的页面中存在被注入的payload,则检测存在XSS漏洞,若返回的页面中不存在被注入的payload,则检测不存在XSS漏洞。
其中,所述检测节点中可以预先保存不同字符与payload的对应关系,该对应关系可以是检测人员预先设置的,本公开对此不作限定。
通过探针将待检测URL构造为第一URL进行XSS漏洞探测后,对探测的未过滤字符继续进行XSS漏洞检测,根据本公开实施例的跨站脚本攻击XSS漏洞检测方法,通过探针的使用,使得XSS漏洞的检测更有针对性,避免盲目注入payload,提高了XSS漏洞检测的效率。
在一种可能的实现方式中,所述探针在所述第一URL对应的页面中是唯一的;其中,所述探针可以包括第一类字符和第二类字符,每一个第一类字符包括该第一类字符的一种或多种编码。
其中,所述第一类字符可以包括=、″、<、>等;所述第二类字符可以包括词语、字母等。检测节点可以选择探针用于构造第一URL,所选择的探针需要保证是第一URL请求页面中的唯一标识,即所述探针不能与第一URL请求页面中的内容相同。
需要说明的是,所述未过滤的字符可以是指未过滤的第一类字符。通过设置探针中的第一类字符包括该第一类字符的一种或多种编码,可以针对每一个字符进行全面检测是否存在XSS漏洞。
在一种可能的实现方式中,所述payload可以包括反射型payload和存储型payload。
检测节点可以预先存储反射型payload和存储型payload,例如以列表的形式存在,如图2所示,其中,反射型payload中包括不同字符对应的payload列表,存储型payload包括不同字符对应的payload列表。
本公开对于所述预先存储的反射型payload和存储型payload的获取方式不作限定,例如,可以是检测人员针对不同网络预先构造的。
通过对payload进行反射型和存储型分类,既可以针对反射型XSS漏洞进行检测,也可以针对存储型的XSS漏洞进行检测,并且可以避免大批量类型相同的payload直接注入,降低检测时间,提高检测效率。
在一种可能的实现方式中,所述URL的类型可以包括动态URL或伪静态URL。通过URL的类型可以包括动态URL或伪静态URL,使得XSS漏洞检测的范围更大。
在一种可能的实现方式中,所述URL的请求方式可以包括get请求方式或post请求方式,这使得本公开实施例的XSS漏洞检测可以对多种请求方式进行检测。本公开对URL的请求方式不作限定,例如,还可以包括head请求方式、put请求方式等。
在一种可能的实现方式中,所述反射型payload可以为用于改变所述待检测URL对应的页面中标签属性的代码;所述存储型payload可以为用于向XSS接收平台发送待检测URL存在XSS漏洞的代码;所述代码为JS(Java Script)代码或HTML代码。
以JS代码为例,若将反射型payload注入到待检测URL中,响应该待检测URL的页面中的标签属性会被改变。例如,反射型payload可以为用于改变head标签属性的JS代码(能够向head标签插入属性的JS代码),当该反射型payload注入到待检测URL后,用注入该反射型payload的待检测URL请求返回的页面中head标签的属性,与用所述待检测URL请求返回的页面中head标签的属性不同。其中,用注入该反射型payload的待检测URL请求返回的页面中head标签的属性被改变为所述反射型payload中设置的head标签的属性。
在检测存储型XSS漏洞时,可以将存储型payload注入到待检测URL中,当所述注入存储型payload待检测URL中的请求信息被执行,XSS接收平台便可以接收到待检测URL存在XSS漏洞的信息,可以确定该待检测URL存在存储型XSS漏洞。其中,所述XSS接收平台可以为一个预先搭建好的web站点。
所述注入存储型payload待检测URL中的请求信息被执行可以是通过触发被注入存储型payload的待检测URL而触发,也可以是通过点击与所述被注入存储型payload的待检测URL相应的URL而触发。举例来说,在一个提交评论的待检测URL中注入存储型payload,用户可以通过触发所述提交评论的页面或触发与所述提交评论的页面相应的查看评论页面,使得所述被注入存储型payload待检测URL中的请求信息被执行。
通过设置所述反射型payload和存储型payload为JS代码或HTML代码,保证了注入的payload能够被实际执行,则可以确定存在XSS漏洞,即使服务器后台做了防御的情况下,也不会发生XSS漏洞误报。
图3示出根据本公开一实施例的检测节点与总调度平台的部署示意图。如图3所示,在一种可能的实现方式中,所述XSS接收平台可以设置于总调度平台中,其中,总调度平台与所述检测节点可以分布式部署。
如图3所示,XSS接收平台可以设置于总调度平台(Master节点)中,所述总调度平台与所述检测节点(Node)可以分布式部署。
本公开实施例通过分布式部署总调度平台和检测节点,使得XSS漏洞检测更加稳定,效率更高。
需要说明是,如果检测节点很少,也可以将检测节点与总调度平台集成为一个设备。
图4示出根据本公开一实施例的步骤S15的流程图。如图4所示,在一种可能的实现方式中,所述步骤S15可以包括:
步骤S151,根据所述未过滤的字符,在反射型payload中选择第一注入payload。
检测节点可以根据所述未过滤的字符,在反射型payload中选择与所述未过滤的字符对应的第一注入payload,例如,未过滤的字符为“=”,如图2所示,检测节点可以从反射型中“=”对应的payload列表中选择第一注入payload。
步骤S152,利用所述第一注入Payload替换所述待检测URL中的参数,构造第二URL,并使用第二URL重新发起请求;
步骤S153,接收页面渲染完整的响应页面,分析所述响应页面中是否包含所述第一注入Payload来确定是否存在XSS漏洞。
检测节点可以利用所述第一注入Payload替换所述待检测URL中的参数,即利用所述第一注入Payload注入待检测URL中,构造第二URL,并使用第二URL重新发起请求,例如向web服务器发起请求。检测节点可以接收页面渲染完整的响应页面,通过分析所述响应页面中是否包含所述第一注入Payload,确定是否存在XSS漏洞。
通过对页面渲染完整的响应页面进行分析来确定是否存在XSS漏洞,能够保证对响应页面的所有内容进行XSS漏洞检测,避免XSS漏洞的漏检。
在一种可能的实现方式中,若分析所述响应页面中包含所述第一注入Payload,确定存在XSS漏洞;
若分析所述响应页面中不包含所述第一注入Payload,确定不存在XSS漏洞。
图5示出根据本公开一实施例的步骤S15的流程图。如图5所示,在一种可能的实现方式中,所述步骤S15还可以包括:
步骤S154,根据所述未过滤的字符,在存储型payload中选择第二注入payload。
检测节点可以根据所述未过滤的字符,在存储型payload中选择与所述未过滤的字符对应的第二注入payload,例如,未过滤的字符为“=”,如图2所示,检测节点可以从存储型中“=”对应的payload列表中选择第二注入payload。
步骤S155,利用所述第二注入Payload替换所述待检测URL中的参数,构造第三URL;
步骤S156,利用第三URL发起请求以使第三URL的请求信息被保存到数据库;
其中,所述第三URL的请求信息被保存到数据库用于当所述第三URL的请求信息被执行时,能够发送存在XSS漏洞至XSS接收平台。
检测节点可以利用所述第二注入Payload替换所述待检测URL中的参数,即利用所述第二注入Payload注入待检测URL中,构造第三URL,利用第三URL发起请求使得第三URL中的请求信息被保存到数据库。例如,待检测URL为一条留言,该条留言需要管理员的审核,检测节点可以利用所述第二注入payload替换该待检测URL种的参数,构造第三URL,并可以提交该第三URL,提交后,该第三URL中的请求信息将被保存到服务器的数据库中,待管理员浏览审核页面时,若第三URL中的请求信息被执行,所述服务器可以向XSS接收平台发送所述请求信息被执行的信息,XSS接收平台可以根据该信息确定存在XSS漏洞。
在一个示例中,所述第二注入payload可以包括所述XSS接收平台的IP地址。例如,若待检测URL为http://test.com?a=1,所述XSS接收平台的IP地址为xx.xx.xx.xx;第二注入payload可以为:<IMg id='sapiens'sRC=xoNErRor=http://xx.xx.xx.xx?a=1&args=a&method=get>;
构造的第三URL可以为:http://test.com?a=http://xx.xx.xx.xx?url=http://test.com?a=1&args=a&method=get,利用第三URL发起请求时,所述第三URL的请求信息(http://xx.xx.xx.xx?url=http://test.com?a=1&args=a&method=get)被保存到数据库,当该请求信息http://xx.xx.xx.xx?url=http://test.com?a=1&args=a&method=get被执行,则会向XSS接收平台(http://xx.xx.xx.xx)发送url=http://test.com?a=1&args=a&method=get,XSS接收平台则可以确定http://test.com?a=1(待检测URL)存在存储型XSS漏洞。可选地,XSS接收平台也可以将存储型XSS漏洞上报至漏洞信息存储单元。总调度平台可以修改数据库相应信息,避免XSS漏洞的攻击。
需要说明的是,所述步骤S154可以在步骤S153之后执行,也可以在步骤S151之前执行,本公开对此不作限定。
如图3所示,在一种可能的实现方式中,所述检测节点可以采用Docker容器技术。其中,每一个检测节点可以包括多个Docker容器,每一个Docker容器可以包括一个XSS检测系统,每个XSS检测系统可以单独完成待检测URL的XSS漏洞检测。
检测节点可以将接收到的待检测URL分发给Docker容器,由Docker容器进行具体的XSS漏洞检测。例如,检测节点可以按照接收到的待检测URL的数量,启动与待检测URL的数量相同的Docker,开启XSS检测系统进行XSS漏洞检测。
采用Docker容器技术封装检测系统,每一个Docker容器中可以包含一个检测系统,方便检测系统的部署和移植。并且多个Docker并行检测URL,实现多进程多线程并行检测URL,提高了XSS漏洞检测效率。
如图3所示,在一种可能的实现方式中,每一个Docker容器包括XSS检测系统和XSS检测系统的副本,其中,所述XSS检测系统的副本用于在XSS检测系统崩溃时,代替XSS检测系统进行XSS漏洞检测。
检测节点在启动所述数量的Docker容器时,开启XSS检测系统,同时可以为每一个XSS检测系统启动一个XSS检测系统的副本。所述XSS检测系统的副本可以记录XSS检测系统当前的运行状态,若因异常导致正在执行的XSS检测系统崩溃,可以即时启动XSS检测系统的副本进行XSS漏洞检测。
为Docker容器技术加入副本机制,保证XSS检测系统的数量一直维持在正常数量,避免因检测系统崩溃导致整个流程受阻。
图6示出根据本公开一实施例的跨站脚本攻击XSS漏洞检测方法的流程图。如图6所示,在一种可能的实现方式中,所述方法还可以包括:
步骤S16,获取待检测URL的标识符;
步骤S17,根据标识符,确定所述待检测URL是否被检测;
步骤S18,若所述待检测URL被检测,将检测结果发送至总调度平台;
步骤S19,若所述待检测URL未被检测,重新检测该待检测URL。
检测节点可以为接收的每个待检测URL添加一个是否被检测(是否完成检测)的标识符,例如,可以将标识符初始值设置为false,若待检测URL被检测后,即待检测URL已完成检测,该标识符会被修改为ture。
检测节点将待检测URL队列分发给Docker后,会记录每个Docker的状态及分配的待检测URL列表,在Docker完成一组待检测URL队列后,检测节点可以检测一遍URL的标识符是否全部为true,为true的URL可以汇报给总调度平台(master节点),为false的URL可以继续发放给Docker重新检测。
检测节点通过引入漏检机制,避免URL的漏检问题。
图7示出根据本公开一实施例的跨站脚本攻击XSS漏洞检测装置的框图。所述装置可以应用于检测节点,如图7所示,所述装置可以包括:
接收模块11,用于接收待检测统一资源定位符URL;
第一获取模块12,用于获取所述待检测URL的请求方式以及所述待检测URL的类型;
第一URL构造模块13,用于根据所述待检测URL的类型,使用探针构造第一URL;
探测模块14,用于根据所述待检测URL的请求方式,利用所述第一URL进行XSS漏洞探测,确定未过滤的字符;
第一检测模块15,用于根据所述未过滤的字符,向待检测URL中注入有效载荷payload,检测XSS漏洞。
通过探针将待检测URL构造为第一URL进行XSS漏洞探测后,对探测的未过滤字符继续进行XSS漏洞检测,根据本公开实施例的跨站脚本攻击XSS漏洞检测装置,通过探针的使用,使得XSS漏洞的检测更有针对性,避免盲目注入payload,提高了XSS漏洞检测的效率。
在一种可能的实现方式中,所述payload包括反射型payload和存储型payload。
在一种可能的实现方式中,所述反射型payload为用于改变所述待检测URL对应的页面中标签属性的代码;所述存储型payload为用于向XSS接收平台发送待检测URL存在XSS漏洞的代码;所述代码为JS代码或HTML代码。
图8示出根据本公开一实施例的第一检测模块15的框图。如图8所示,在一种可能的实现方式中,所述第一检测模块15,可以包括:
第一选择单元151,用于根据所述未过滤的字符,在反射型payload中选择第一注入payload;
第二URL构造单元152,用于利用所述第一注入Payload替换所述待检测URL中的参数,构造第二URL;使用第二URL重新发起请求;
第一检测单元153,用于接收页面渲染完整的响应页面,分析所述响应页面中是否包含所述第一注入Payload来确定是否存在XSS漏洞。
如图8所示,在一种可能的实现方式中,所述第一检测单元153,可以包括:
第一检测子单元1531,用于若分析所述响应页面中包含所述第一注入Payload,确定存在XSS漏洞;
第二检测子单元1532,用于若分析所述响应页面中不包含所述第一注入Payload,确定不存在XSS漏洞。
图9示出根据本公开一实施例的第一检测模块15的框图。如图9所示,在一种可能的实现方式中,所述第一检测模块15,还可以包括:
第二选择单元154,用于根据所述未过滤的字符,在存储型payload中选择第二注入payload;
第三URL构造单元155,用于利用所述第二注入Payload替换所述待检测URL中的参数,构造第三URL;
第二检测单元156,利用第三URL发起请求以使第三URL的请求信息被保存到数据库;其中,所述第三URL的请求信息被保存到数据库用于当所述第三URL的请求信息被执行时,能够发送存在XSS漏洞至XSS接收平台。
在一种可能的实现方式中,所述XSS接收平台设置于总调度平台中,其中,总调度平台与所述检测节点分布式部署。
在一种可能的实现方式中,所述检测节点采用Docker容器技术。
在一种可能的实现方式中,每一个Docker容器包括XSS检测系统和XSS检测系统的副本,其中,所述XSS检测系统的副本用于在XSS检测系统崩溃时,代替XSS检测系统进行XSS漏洞检测。
图10示出根据本公开一实施例的跨站脚本攻击XSS漏洞检测装置的框图。如图10所示,在一种可能的实现方式中,所述装置还可以包括:
第二获取模块16,用于获取待检测URL的标识符;
确定模块17,用于根据标识符,确定所述待检测URL是否被检测;
发送模块18,用于若所述待检测URL被检测,将检测结果发送至总调度平台;
第二检测模块19,用于若所述待检测URL未被检测,重新检测该待检测URL。
在一种可能的实现方式中,所述URL的类型包括动态URL或伪静态URL。
在一种可能的实现方式中,所述URL的请求方式包括get请求方式或post请求方式。
在一种可能的实现方式中,所述探针在所述第一URL对应的页面中是唯一的;其中,所述探针包括第一类字符和第二类字符,每一个第一类字符包括该第一类字符的一种或多种编码。
图11是根据一示例性实施例示出的用于跨站脚本攻击XSS漏洞检测装置800的框图。例如,装置800可以是移动电话,计算机,数字广播终端,消息收发设备,游戏控制台,平板设备,医疗设备,健身设备,个人数字助理等。
参照图11,装置800可以包括以下一个或多个组件:处理组件802,存储器804,电源组件806,多媒体组件808,音频组件810,输入/输出(I/O)的接口812,传感器组件814,以及通信组件816。
处理组件802通常控制装置800的整体操作,诸如与显示,电话呼叫,数据通信,相机操作和记录操作相关联的操作。处理组件802可以包括一个或多个处理器820来执行指令,以完成上述的方法的全部或部分步骤。此外,处理组件802可以包括一个或多个模块,便于处理组件802和其他组件之间的交互。例如,处理组件802可以包括多媒体模块,以方便多媒体组件808和处理组件802之间的交互。
存储器804被配置为存储各种类型的数据以支持在装置800的操作。这些数据的示例包括用于在装置800上操作的任何应用程序或方法的指令,联系人数据,电话簿数据,消息,图片,视频等。存储器804可以由任何类型的易失性或非易失性存储设备或者它们的组合实现,如静态随机存取存储器(SRAM),电可擦除可编程只读存储器(EEPROM),可擦除可编程只读存储器(EPROM),可编程只读存储器(PROM),只读存储器(ROM),磁存储器,快闪存储器,磁盘或光盘。
电源组件806为装置800的各种组件提供电力。电源组件806可以包括电源管理系统,一个或多个电源,及其他与为装置800生成、管理和分配电力相关联的组件。
多媒体组件808包括在所述装置800和用户之间的提供一个输出接口的屏幕。在一些实施例中,屏幕可以包括液晶显示器(LCD)和触摸面板(TP)。如果屏幕包括触摸面板,屏幕可以被实现为触摸屏,以接收来自用户的输入信号。触摸面板包括一个或多个触摸传感器以感测触摸、滑动和触摸面板上的手势。所述触摸传感器可以不仅感测触摸或滑动动作的边界,而且还检测与所述触摸或滑动操作相关的持续时间和压力。在一些实施例中,多媒体组件808包括一个前置摄像头和/或后置摄像头。当装置800处于操作模式,如拍摄模式或视频模式时,前置摄像头和/或后置摄像头可以接收外部的多媒体数据。每个前置摄像头和后置摄像头可以是一个固定的光学透镜系统或具有焦距和光学变焦能力。
音频组件810被配置为输出和/或输入音频信号。例如,音频组件810包括一个麦克风(MIC),当装置800处于操作模式,如呼叫模式、记录模式和语音识别模式时,麦克风被配置为接收外部音频信号。所接收的音频信号可以被进一步存储在存储器804或经由通信组件816发送。在一些实施例中,音频组件810还包括一个扬声器,用于输出音频信号。
I/O接口812为处理组件802和外围接口模块之间提供接口,上述外围接口模块可以是键盘,点击轮,按钮等。这些按钮可包括但不限于:主页按钮、音量按钮、启动按钮和锁定按钮。
传感器组件814包括一个或多个传感器,用于为装置800提供各个方面的状态评估。例如,传感器组件814可以检测到装置800的打开/关闭状态,组件的相对定位,例如所述组件为装置800的显示器和小键盘,传感器组件814还可以检测装置800或装置800一个组件的位置改变,用户与装置800接触的存在或不存在,装置800方位或加速/减速和装置800的温度变化。传感器组件814可以包括接近传感器,被配置用来在没有任何的物理接触时检测附近物体的存在。传感器组件814还可以包括光传感器,如CMOS或CCD图像传感器,用于在成像应用中使用。在一些实施例中,该传感器组件814还可以包括加速度传感器,陀螺仪传感器,磁传感器,压力传感器或温度传感器。
通信组件816被配置为便于装置800和其他设备之间有线或无线方式的通信。装置800可以接入基于通信标准的无线网络,如WiFi,2G或3G,或它们的组合。在一个示例性实施例中,通信组件816经由广播信道接收来自外部广播管理系统的广播信号或广播相关信息。在一个示例性实施例中,所述通信组件816还包括近场通信(NFC)模块,以促进短程通信。例如,在NFC模块可基于射频识别(RFID)技术,红外数据协会(IrDA)技术,超宽带(UWB)技术,蓝牙(BT)技术和其他技术来实现。
在示例性实施例中,装置800可以被一个或多个应用专用集成电路(ASIC)、数字信号处理器(DSP)、数字信号处理设备(DSPD)、可编程逻辑器件(PLD)、现场可编程门阵列(FPGA)、控制器、微控制器、微处理器或其他电子元件实现,用于执行上述方法。
在示例性实施例中,还提供了一种非易失性计算机可读存储介质,例如包括计算机程序指令的存储器804,上述计算机程序指令可由装置800的处理器820执行以完成上述方法。
图12是根据一示例性实施例示出的用于跨站脚本攻击XSS漏洞检测装置1900的框图。例如,装置1900可以被提供为一服务器。参照图12,装置1900包括处理组件1922,其进一步包括一个或多个处理器,以及由存储器1932所代表的存储器资源,用于存储可由处理组件1922的执行的指令,例如应用程序。存储器1932中存储的应用程序可以包括一个或一个以上的每一个对应于一组指令的模块。此外,处理组件1922被配置为执行指令,以执行上述方法。
装置1900还可以包括一个电源组件1926被配置为执行装置1900的电源管理,一个有线或无线网络接口1950被配置为将装置1900连接到网络,和一个输入输出(I/O)接口1958。装置1900可以操作基于存储在存储器1932的操作系统,例如Windows ServerTM,MacOS XTM,UnixTM,LinuxTM,FreeBSDTM或类似。
在示例性实施例中,还提供了一种非易失性计算机可读存储介质,例如包括计算机程序指令的存储器1932,上述计算机程序指令可由装置1900的处理组件1922执行以完成上述方法。
本公开可以是系统、方法和/或计算机程序产品。计算机程序产品可以包括计算机可读存储介质,其上载有用于使处理器实现本公开的各个方面的计算机可读程序指令。
计算机可读存储介质可以是可以保持和存储由指令执行设备使用的指令的有形设备。计算机可读存储介质例如可以是――但不限于――电存储设备、磁存储设备、光存储设备、电磁存储设备、半导体存储设备或者上述的任意合适的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、静态随机存取存储器(SRAM)、便携式压缩盘只读存储器(CD-ROM)、数字多功能盘(DVD)、记忆棒、软盘、机械编码设备、例如其上存储有指令的打孔卡或凹槽内凸起结构、以及上述的任意合适的组合。这里所使用的计算机可读存储介质不被解释为瞬时信号本身,诸如无线电波或者其他自由传播的电磁波、通过波导或其他传输媒介传播的电磁波(例如,通过光纤电缆的光脉冲)、或者通过电线传输的电信号。
这里所描述的计算机可读程序指令可以从计算机可读存储介质下载到各个计算/处理设备,或者通过网络、例如因特网、局域网、广域网和/或无线网下载到外部计算机或外部存储设备。网络可以包括铜传输电缆、光纤传输、无线传输、路由器、防火墙、交换机、网关计算机和/或边缘服务器。每个计算/处理设备中的网络适配卡或者网络接口从网络接收计算机可读程序指令,并转发该计算机可读程序指令,以供存储在各个计算/处理设备中的计算机可读存储介质中。
用于执行本公开操作的计算机程序指令可以是汇编指令、指令集架构(ISA)指令、机器指令、机器相关指令、微代码、固件指令、状态设置数据、或者以一种或多种编程语言的任意组合编写的源代码或目标代码,所述编程语言包括面向对象的编程语言—诸如Smalltalk、C++等,以及常规的过程式编程语言—诸如“C”语言或类似的编程语言。计算机可读程序指令可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络—包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。在一些实施例中,通过利用计算机可读程序指令的状态信息来个性化定制电子电路,例如可编程逻辑电路、现场可编程门阵列(FPGA)或可编程逻辑阵列(PLA),该电子电路可以执行计算机可读程序指令,从而实现本公开的各个方面。
这里参照根据本公开实施例的方法、装置(系统)和计算机程序产品的流程图和/或框图描述了本公开的各个方面。应当理解,流程图和/或框图的每个方框以及流程图和/或框图中各方框的组合,都可以由计算机可读程序指令实现。
这些计算机可读程序指令可以提供给通用计算机、专用计算机或其它可编程数据处理装置的处理器,从而生产出一种机器,使得这些指令在通过计算机或其它可编程数据处理装置的处理器执行时,产生了实现流程图和/或框图中的一个或多个方框中规定的功能/动作的装置。也可以把这些计算机可读程序指令存储在计算机可读存储介质中,这些指令使得计算机、可编程数据处理装置和/或其他设备以特定方式工作,从而,存储有指令的计算机可读介质则包括一个制造品,其包括实现流程图和/或框图中的一个或多个方框中规定的功能/动作的各个方面的指令。
也可以把计算机可读程序指令加载到计算机、其它可编程数据处理装置、或其它设备上,使得在计算机、其它可编程数据处理装置或其它设备上执行一系列操作步骤,以产生计算机实现的过程,从而使得在计算机、其它可编程数据处理装置、或其它设备上执行的指令实现流程图和/或框图中的一个或多个方框中规定的功能/动作。
附图中的流程图和框图显示了根据本公开的多个实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或指令的一部分,所述模块、程序段或指令的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
以上已经描述了本公开的各实施例,上述说明是示例性的,并非穷尽性的,并且也不限于所披露的各实施例。在不偏离所说明的各实施例的范围和精神的情况下,对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。本文中所用术语的选择,旨在最好地解释各实施例的原理、实际应用或对市场中的技术的技术改进,或者使本技术领域的其它普通技术人员能理解本文披露的各实施例。
Claims (28)
1.一种跨站脚本攻击XSS漏洞检测方法,其特征在于,所述方法应用于检测节点,包括:
接收待检测统一资源定位符URL;
获取所述待检测URL的请求方式以及所述待检测URL的类型;
根据所述待检测URL的类型,使用探针构造第一URL;
根据所述待检测URL的请求方式,利用所述第一URL进行XSS漏洞探测,确定未过滤的字符;
根据所述未过滤的字符,向待检测URL中注入有效载荷payload,检测XSS漏洞。
2.根据权利要求1所述的方法,其特征在于,所述payload包括反射型payload和存储型payload。
3.根据权利要求2所述的方法,其特征在于,所述反射型payload为用于改变所述待检测URL对应的页面中标签属性的代码;所述存储型payload为用于向XSS接收平台发送待检测URL存在XSS漏洞的代码;所述代码为JS代码或HTML代码。
4.根据权利要求1所述的方法,其特征在于,根据所述未过滤的字符,向待检测URL中注入有效载荷payload,检测XSS漏洞,包括:
根据所述未过滤的字符,在反射型payload中选择第一注入payload;
利用所述第一注入Payload替换所述待检测URL中的参数,构造第二URL;使用第二URL重新发起请求;
接收页面渲染完整的响应页面,分析所述响应页面中是否包含所述第一注入Payload来确定是否存在XSS漏洞。
5.根据权利要求1所述的方法,其特征在于,根据所述未过滤的字符,向待检测URL中注入有效载荷payload,检测XSS漏洞,还包括:
根据所述未过滤的字符,在存储型payload中选择第二注入payload;
利用所述第二注入Payload替换所述待检测URL中的参数,构造第三URL;
利用第三URL发起请求以使第三URL的请求信息被保存到数据库;其中,所述第三URL的请求信息被保存到数据库用于当所述第三URL的请求信息被执行时,能够发送存在XSS漏洞至XSS接收平台。
6.根据权利要求3或5所述的方法,其特征在于,所述XSS接收平台设置于总调度平台中,其中,总调度平台与所述检测节点分布式部署。
7.根据权利要求1所述的方法,其特征在于,所述检测节点采用Docker容器技术。
8.根据权利要求7所述的方法,其特征在于,每一个Docker容器包括XSS检测系统和XSS检测系统的副本,其中,所述XSS检测系统的副本用于在XSS检测系统崩溃时,代替XSS检测系统进行XSS漏洞检测。
9.根据权利要求4所述的方法,其特征在于,分析所述响应页面中是否包含所述第一注入Payload来确定是否存在XSS漏洞,包括:
若分析所述响应页面中包含所述第一注入Payload,确定存在XSS漏洞;
若分析所述响应页面中不包含所述第一注入Payload,确定不存在XSS漏洞。
10.根据权利要求1所述的方法,其特征在于,所述方法还包括:
获取待检测URL的标识符;
根据标识符,确定所述待检测URL是否被检测;
若所述待检测URL被检测,将检测结果发送至总调度平台;
若所述待检测URL未被检测,重新检测该待检测URL。
11.根据权利要求1所述的方法,其特征在于,所述URL的类型包括动态URL或伪静态URL。
12.根据权利要求1所述的方法,其特征在于,所述URL的请求方式包括get请求方式或post请求方式。
13.根据权利要求1所述的方法,其特征在于,所述探针在所述第一URL对应的页面中是唯一的;其中,所述探针包括第一类字符和第二类字符,每一个第一类字符包括该第一类字符的一种或多种编码。
14.一种跨站脚本攻击XSS漏洞检测装置,其特征在于,所述装置应用于检测节点,包括:
接收模块,用于接收待检测统一资源定位符URL;
第一获取模块,用于获取所述待检测URL的请求方式以及所述待检测URL的类型;
第一URL构造模块,用于根据所述待检测URL的类型,使用探针构造第一URL;
探测模块,用于根据所述待检测URL的请求方式,利用所述第一URL进行XSS漏洞探测,确定未过滤的字符;
第一检测模块,用于根据所述未过滤的字符,向待检测URL中注入有效载荷payload,检测XSS漏洞。
15.根据权利要求14所述的装置,其特征在于,所述payload包括反射型payload和存储型payload。
16.根据权利要求14所述的装置,其特征在于,所述反射型payload为用于改变所述待检测URL对应的页面中标签属性的代码;所述存储型payload为用于向XSS接收平台发送待检测URL存在XSS漏洞的代码;所述代码为JS代码或HTML代码。
17.根据权利要求14所述的装置,其特征在于,所述第一检测模块,包括:
第一选择单元,用于根据所述未过滤的字符,在反射型payload中选择第一注入payload;
第二URL构造单元,用于利用所述第一注入Payload替换所述待检测URL中的参数,构造第二URL;使用第二URL重新发起请求;
第一检测单元,用于接收页面渲染完整的响应页面,分析所述响应页面中是否包含所述第一注入Payload来确定是否存在XSS漏洞。
18.根据权利要求14所述的装置,其特征在于,所述第一检测模块,还包括:
第二选择单元,用于根据所述未过滤的字符,在存储型payload中选择第二注入payload;
第三URL构造单元,用于利用所述第二注入Payload替换所述待检测URL中的参数,构造第三URL;
第二检测单元,用于利用第三URL发起请求以使第三URL的请求信息被保存到数据库;其中,所述第三URL的请求信息被保存到数据库用于当所述的请求信息被执行时,能够发送存在XSS漏洞至XSS接收平台。
19.根据权利要求16或18所述的装置,其特征在于,所述XSS接收平台设置于总调度平台中,其中,总调度平台与所述检测节点分布式部署。
20.根据权利要求14所述的装置,其特征在于,所述检测节点采用Docker容器技术。
21.根据权利要求20所述的装置,其特征在于,每一个Docker容器包括XSS检测系统和XSS检测系统的副本,其中,所述XSS检测系统的副本用于在XSS检测系统崩溃时,代替XSS检测系统进行XSS漏洞检测。
22.根据权利要求17所述的装置,其特征在于,所述第一检测单元,包括:
第一检测子单元,用于若分析所述响应页面中包含所述第一注入Payload,确定存在XSS漏洞;
第二检测子单元,用于若分析所述响应页面中不包含所述第一注入Payload,确定不存在XSS漏洞。
23.根据权利要求14所述的装置,其特征在于,所述装置还包括:
第二获取模块,用于获取待检测URL的标识符;
确定模块,用于根据标识符,确定所述待检测URL是否被检测;
发送模块,用于若所述待检测URL被检测,将检测结果发送至总调度平台;
第二检测模块,用于若所述待检测URL未被检测,重新检测该待检测URL。
24.根据权利要求14所述的装置,其特征在于,所述URL的类型包括动态URL或伪静态URL。
25.根据权利要求14所述的装置,其特征在于,所述URL的请求方式包括get请求方式或post请求方式。
26.根据权利要求14所述的装置,其特征在于,所述探针在所述第一URL对应的页面中是唯一的;其中,所述探针包括第一类字符和第二类字符,每一个第一类字符包括该第一类字符的一种或多种编码。
27.一种跨站脚本攻击XSS漏洞检测装置,其特征在于,包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器被配置为:
执行所述指令以实现权利要求1-12中任一项所述的方法。
28.一种非易失性计算机可读存储介质,其上存储有计算机程序指令,其特征在于,所述计算机程序指令被处理器执行时实现权利要求1至12中任意一项所述的方法。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2019101635122 | 2019-03-05 | ||
CN201910163512 | 2019-03-05 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN110113311A true CN110113311A (zh) | 2019-08-09 |
Family
ID=67485363
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910285146.8A Pending CN110113311A (zh) | 2019-03-05 | 2019-04-10 | 跨站脚本攻击xss漏洞检测方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110113311A (zh) |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110708327A (zh) * | 2019-10-15 | 2020-01-17 | 北京丁牛科技有限公司 | 一种基于ZeroNet构建隐蔽信道的方法及装置 |
CN110929264A (zh) * | 2019-11-21 | 2020-03-27 | 中国工商银行股份有限公司 | 漏洞检测方法、装置、电子设备及可读存储介质 |
CN111294345A (zh) * | 2020-01-20 | 2020-06-16 | 支付宝(杭州)信息技术有限公司 | 一种漏洞检测方法、装置及设备 |
CN111770079A (zh) * | 2020-06-24 | 2020-10-13 | 绿盟科技集团股份有限公司 | 一种web框架注入漏洞检测方法及装置 |
CN111865979A (zh) * | 2020-07-20 | 2020-10-30 | 北京丁牛科技有限公司 | 一种漏洞信息处理方法及网络攻防平台 |
CN111859375A (zh) * | 2020-07-20 | 2020-10-30 | 百度在线网络技术(北京)有限公司 | 漏洞检测方法、装置、电子设备及存储介质 |
CN112632554A (zh) * | 2020-11-05 | 2021-04-09 | 杭州孝道科技有限公司 | 一种基于修改运行时payload技术的漏洞验证方法 |
CN112738127A (zh) * | 2021-01-08 | 2021-04-30 | 西安邮电大学 | 基于Web的网站与主机漏洞检测系统及其方法 |
CN112860543A (zh) * | 2021-01-20 | 2021-05-28 | 维沃移动通信(深圳)有限公司 | 检测页面运行的方法和电子设备 |
CN114257389A (zh) * | 2020-09-22 | 2022-03-29 | 北京安全共识科技有限公司 | 一种基于语法分析的反射型xss检测方法及装置 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102819710A (zh) * | 2012-08-22 | 2012-12-12 | 西北工业大学 | 基于渗透测试的跨站点脚本漏洞检测方法 |
CN104573520A (zh) * | 2013-10-09 | 2015-04-29 | 腾讯科技(深圳)有限公司 | 检测常驻式跨站脚本漏洞的方法和装置 |
US20160110547A1 (en) * | 2014-10-21 | 2016-04-21 | Veracode, Inc. | Systems and methods for analysis of cross-site scripting vulnerabilities |
CN106302412A (zh) * | 2016-08-05 | 2017-01-04 | 江苏君立华域信息安全技术有限公司 | 一种针对信息系统抗压性测试的智能检测系统和检测方法 |
CN106603572A (zh) * | 2017-01-16 | 2017-04-26 | 深圳市九州安域科技有限公司 | 一种基于探针的漏洞检测方法及其装置 |
CN106909846A (zh) * | 2017-01-16 | 2017-06-30 | 安徽开源互联网安全技术有限公司 | 一种基于虚拟解析的漏洞检测方法及其装置 |
-
2019
- 2019-04-10 CN CN201910285146.8A patent/CN110113311A/zh active Pending
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102819710A (zh) * | 2012-08-22 | 2012-12-12 | 西北工业大学 | 基于渗透测试的跨站点脚本漏洞检测方法 |
CN104573520A (zh) * | 2013-10-09 | 2015-04-29 | 腾讯科技(深圳)有限公司 | 检测常驻式跨站脚本漏洞的方法和装置 |
US20160110547A1 (en) * | 2014-10-21 | 2016-04-21 | Veracode, Inc. | Systems and methods for analysis of cross-site scripting vulnerabilities |
CN106302412A (zh) * | 2016-08-05 | 2017-01-04 | 江苏君立华域信息安全技术有限公司 | 一种针对信息系统抗压性测试的智能检测系统和检测方法 |
CN106603572A (zh) * | 2017-01-16 | 2017-04-26 | 深圳市九州安域科技有限公司 | 一种基于探针的漏洞检测方法及其装置 |
CN106909846A (zh) * | 2017-01-16 | 2017-06-30 | 安徽开源互联网安全技术有限公司 | 一种基于虚拟解析的漏洞检测方法及其装置 |
Cited By (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110708327A (zh) * | 2019-10-15 | 2020-01-17 | 北京丁牛科技有限公司 | 一种基于ZeroNet构建隐蔽信道的方法及装置 |
CN110708327B (zh) * | 2019-10-15 | 2022-06-21 | 北京丁牛科技有限公司 | 一种基于ZeroNet构建隐蔽信道的方法及装置 |
CN110929264A (zh) * | 2019-11-21 | 2020-03-27 | 中国工商银行股份有限公司 | 漏洞检测方法、装置、电子设备及可读存储介质 |
CN110929264B (zh) * | 2019-11-21 | 2022-08-30 | 中国工商银行股份有限公司 | 漏洞检测方法、装置、电子设备及可读存储介质 |
CN111294345B (zh) * | 2020-01-20 | 2022-03-25 | 支付宝(杭州)信息技术有限公司 | 一种漏洞检测方法、装置及设备 |
CN111294345A (zh) * | 2020-01-20 | 2020-06-16 | 支付宝(杭州)信息技术有限公司 | 一种漏洞检测方法、装置及设备 |
CN111770079A (zh) * | 2020-06-24 | 2020-10-13 | 绿盟科技集团股份有限公司 | 一种web框架注入漏洞检测方法及装置 |
CN111770079B (zh) * | 2020-06-24 | 2022-09-02 | 绿盟科技集团股份有限公司 | 一种web框架注入漏洞检测方法及装置 |
CN111865979A (zh) * | 2020-07-20 | 2020-10-30 | 北京丁牛科技有限公司 | 一种漏洞信息处理方法及网络攻防平台 |
CN111859375A (zh) * | 2020-07-20 | 2020-10-30 | 百度在线网络技术(北京)有限公司 | 漏洞检测方法、装置、电子设备及存储介质 |
CN111859375B (zh) * | 2020-07-20 | 2023-08-29 | 百度在线网络技术(北京)有限公司 | 漏洞检测方法、装置、电子设备及存储介质 |
CN114257389A (zh) * | 2020-09-22 | 2022-03-29 | 北京安全共识科技有限公司 | 一种基于语法分析的反射型xss检测方法及装置 |
CN112632554A (zh) * | 2020-11-05 | 2021-04-09 | 杭州孝道科技有限公司 | 一种基于修改运行时payload技术的漏洞验证方法 |
CN112738127A (zh) * | 2021-01-08 | 2021-04-30 | 西安邮电大学 | 基于Web的网站与主机漏洞检测系统及其方法 |
CN112738127B (zh) * | 2021-01-08 | 2023-04-07 | 西安邮电大学 | 基于Web的网站与主机漏洞检测系统及其方法 |
CN112860543A (zh) * | 2021-01-20 | 2021-05-28 | 维沃移动通信(深圳)有限公司 | 检测页面运行的方法和电子设备 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110113311A (zh) | 跨站脚本攻击xss漏洞检测方法及装置 | |
CN104615655B (zh) | 信息推荐方法和装置 | |
CN109308266A (zh) | 测试用例的构建方法、测试方法、装置、设备和介质 | |
CN103916829B (zh) | 一种消息的桌面通知方法及装置 | |
WO2016110120A1 (zh) | 短信内容展示方法及短信展示确定方法、装置及系统 | |
US10540063B2 (en) | Processing actionable notifications | |
CN105072178B (zh) | 手机号绑定信息获取方法及装置 | |
US11360834B2 (en) | Application interaction method and apparatus | |
US10802681B2 (en) | Actionable notifications | |
US11204681B2 (en) | Program orchestration method and electronic device | |
CN109271239A (zh) | 数据处理的方法、装置、系统、设备及介质 | |
CN106790727B (zh) | 消息推送方法及装置 | |
CN110392054A (zh) | 登录校验方法、装置、系统、设备和可读存储介质 | |
CN108595665A (zh) | 网页内容的显示方法及装置 | |
KR101642019B1 (ko) | 단말기 검증방법, 장치, 프로그램 및 기록매체 | |
CN108833991A (zh) | 视频字幕显示方法及装置 | |
WO2014184745A1 (en) | Automatic website generation | |
CN108804440A (zh) | 提供视频搜索结果的方法和装置 | |
CN106600367A (zh) | 订单信息处理方法及装置 | |
CN109560986A (zh) | 物联网网关设备的测试方法、装置和测试系统 | |
CN104050236B (zh) | 网站内容更新提示方法、服务器和客户端 | |
WO2017166297A1 (zh) | WiFi热点Portal认证方法和装置 | |
CN108984417A (zh) | 软件测试方法、装置、终端及存储介质 | |
CN109831538A (zh) | 一种消息处理方法、装置、服务器、终端及介质 | |
CN106302002B (zh) | 测试方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190809 |
|
RJ01 | Rejection of invention patent application after publication |