CN110708308A - 一种面向云计算环境的跨站脚本漏洞挖掘方法及系统 - Google Patents

Abstract

本发明公开了一种面向云计算环境的跨站脚本漏洞挖掘方法及系统，本发明通过网页爬行模块先抓取超HTTP的Web页面；HTML解析模块对抓取的Web页面进行解析以获取对应的DOM结构树，同时，HTML解析模块会获取嵌入式的URL链接及调用参数；将URL及调用参数传递给外部JavaScript链接提取器模块模块，该模块能够提取对应的外部JS文件集；脚本提取器模块能够提取HTTP响应消息中相关的脚本内容；将此脚本内容和从URL链接中检索到的脚本内容进行相似性检测，通过是否检测到相似性来判断是否存在XSS漏洞。本发明有效地避免了修改浏览器和Web应用程序的源码。本发明解决了云计算环境中部署的Web应用程序容易受到跨站脚本攻击的问题，提高了安全性。

Description

一种面向云计算环境的跨站脚本漏洞挖掘方法及系统

技术领域

本发明属于云计算环境安全技术领域，涉及一种脚本漏洞挖掘方法及系统，具体涉及一种面向云环境的跨站脚本漏洞挖掘的方法及系统。

背景技术

云计算(Cloud computing)利用便捷、无处不在的互联网资源，将共享的硬件资源和信息按照需求分配给其他用户使用。目前，很多公司致力发展云计算技术，并将应用系统部署到云环境中。由于其灵活性和低成本，它已成为在Internet 上部署应用程序的最流行的技术。用户使用的三种云计算服务模型描述如下：

(1)基础设施即服务(Infrastructure as a Service，简称IaaS)。IaaS旨在为最终用户提供物理或虚拟资源，如处理器、存储、网络和其他基本计算资源。

(2)平台即服务(Platform as a Service，简称PaaS)。PaaS是为用户提供开发环境，其中包含程序语言(Java、Python、Net等)和应用程序的运行条件。用户无权管理云基础架构，且无法控制应用程序的部署。

(3)软件即服务(Software as a Service，简称SaaS)。SaaS是为用户提供应用程序服务。用户无权安装应用程序，但可以使用提供的应用程序。

近年来，互联网上网页资源的急速增长，越来越多的网站系统使用客户端脚本语言来增强用户体验。客户端脚本语言通常和HTML文件绑定在一起，用来向服务器端发送请求和响应请求。通过使用脚本语言，服务器和用户端之间的交互性得到了极大的提高。但是，客户端脚本语言在增强网站系统交互性的同时，也产生了许多安全问题。在众多的安全问题中，跨站脚本是危险性最高的攻击之一。

XSS攻击是一种频繁出现在Web应用程序中的计算机安全漏洞，是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足而产生的。攻击者把恶意的脚本代码嵌入到Web页面中去，当其他用户在浏览并且访问这些网页时，就会执行其中的恶意代码，对受害者可能采取资源窃取、会话劫持、钓欺骗等各种攻击。攻击者通常会用十六进制(或者其他编码方式)将链接编码，以免用户怀疑它的合法性。即网站在接收到包含恶意代码的请求之后会产生一个包含恶意代码的页面，而这个页面看起来就像是那个网站应当生成的合法页面一样。随着前端技术的成熟，越来越多的网站和移动应用开始使用更加高级的前端技术， XSS攻击也在逐渐升级。从2007至今，在开放式Web应用程序安全项目统计的所有网络安全威胁中，跨站脚本攻击无论是严重性还是普遍性都稳居前三的位置。

随着云计算的快速发展，XSS攻击并没有因为应用系统的运行环境改变而消失，反之，XSS攻击是SaaS平台中的常见攻击，会产生更为严重的安全问题。当应用程序部署在易受到攻击的云环境中时，特别是对于企业或公司来说，防止 XSS攻击非常重要。恶意用户可能会发现云环境弱点，通过XSS攻击获得未经授权的访问和控制。

XSS攻击通常可以分为三种类型，即非持久类型、持久类型和基于DOM的类型。这里主要针对第一种非持久类型。

非持久型XSS攻击是常见的XSS攻击，也称为反射型。当服务器接收诸如 HTML查询参数或HTML表单的提交之类的请求时，输入数据不能经过严格过滤。因此，它会导致非持久型XSS攻击。

传统的跨站点脚本攻击检测方法不能直接应用在云环境下，主要原因在于：一、用户根据自身喜好选择所使用的浏览器，强迫用户使用特定的浏览器不符合用户自身的利益。二、云环境对应用系统进行相应的安全保证，不能随意修改应用程序或者浏览应用程序的源码。同时，一些传统方法只关注一种语言，如JSP、 PHP或ASP。所以，修改浏览器和应用程序源码的方案在云环境下是不可行的。因此，需要提出一种新形态的检测机制，不仅适合使用在云环境下，同时也能够避免传统检测方法的不足和缺陷。

发明内容

为了解决上述问题，本发明提出了一种面向云计算环境的跨站脚本漏洞挖掘方法及系统。

本发明的方法所采用的技术方案是：一种面向云计算环境的跨站脚本漏洞挖掘方法，其特征在于，包括以下步骤：

步骤1：抓取HTTP协议的Web页面；

步骤2：对Web页面进行解析，以获取Web页面对应的DOM树；同时，提取Web页面中的嵌入式的URL链接及调用参数；

步骤3：根据URL链接及调用参数传递，检索对应的外部JavaScript文件集，以获取相关请求信息的脚本内容；

步骤4：检索服务器返回的HTTP响应信息，获取相关的脚本集；

步骤5：将获取到的响应消息中的脚本集和从URL链接中检索到的请求信息中的脚本集进行相似性检测；通过是否检测到相似性来判断是否存在XSS漏洞。

本发明的系统所采用的技术方案是：一种面向云计算环境的跨站脚本漏洞挖掘方法，其特征在于：包括网页爬行模块、HTML解析模块、外部JavaScript链接提取器模块、脚本提取器模块、XSS漏洞判断模块；

所述网页爬行模块，用于抓取HTTP协议的Web页面；

所述HTML解析模块，用于对网页爬行模块抓取的Web页面进行解析，以获取Web页面对应的DOM树；同时，提取Web页面中的嵌入式的URL链接及调用参数；

所述外部JavaScript链接提取器模块，用于根据URL链接及调用参数，检索对应的外部JavaScript文件，从而获取请求链接中的相关脚本集；

所述脚本提取器模块，用于检索服务器返回的HTTP响应消息，从而获取响应信息中的相关脚本集；

所述XSS漏洞判断模块，用于根据HTTP响应消息中的脚本集和从URL链接中检索到的脚本内容进行相似性检测；通过是否检测到相似性来判断是否存在 XSS漏洞。

本发明相比现有技术，其优点和积极效果主要体现在以下几个方面：

(1)高精确度：传统的XSS检测方法误报漏报的问题依然严重，文中提出的面向云计算环境的XSS漏洞挖掘方法，足以有效地检测云平台中部署在虚拟机上的Web应用程序中XSS漏洞的攻击，相对于传统XSS检测方法具有更低的漏报率和误报率；

(2)高水平的部署能力：传统的XSS检测方法由于会对浏览器或Web应用程序的源码作修改，不能直接应用在云环境中。文中提出的方法可以轻松地部署在云计算环境的其他平台上，并且对云计算的常规功能的产生的影响微乎其微，避免了传统XSS检测方法的缺陷。

附图说明

图1为本发明实施例的方法流程图；

图2为本发明实施例中URL采集和处理过程。

具体实施方式

为了便于本领域普通技术人员理解和实施本发明，下面结合附图及实施例对本发明作进一步的详细描述，应当理解，此处所描述的实施示例仅用于说明和解释本发明，并不用于限定本发明。

请见图1，本发明提供的一种面向云计算环境的跨站脚本漏洞挖掘方法，包括以下步骤：

步骤1：抓取HTTP协议的Web页面；

本实施例中，通过遍历URL链接中的Web站点，且这些Web站点支持并遵循HTTP协议，自动的抽取Web站点层次结构，同时把URL链接增加到Web 的层次结构中，找到含有参数的Web页面。

步骤2：对Web页面进行解析，以获取Web页面对应的DOM树；同时，提取Web页面中的嵌入式的URL链接及调用参数；

步骤3：根据URL链接及调用参数传递，检索对应的外部JavaScript文件集，以获取相关请求信息的脚本内容；其中，待访问URL是用户需要访问的网页地址。具体地，与客户端通信相连的服务器会接受客户端发送的HTTP访问请求，该HTTP访问请求一般携带有网页地址URL，该URL即为客户端发送给服务器需要访问的网页地址。

为了对网站进行全面检测，会先将可能存在问题的URL采集并分析后存储下来，等待进行下一步的检测工作。具体包括以下子步骤：

步骤3.1：下载网站的HTML页面内容；

步骤3.2：将HTML内容进行解析，抓取其中的URL；

步骤3.3：对抓取到的URL链接进行处理，主要包括限制域、去重复、去相似；

步骤3.4：循环执行步骤3.1-3.3，直到所有的URL都被采集和分析后结束。

步骤4：检索服务器返回的HTTP响应信息，获取相关的脚本集；

本步骤中，生成提取嵌入在HTTP响应消息对应的HTML文档或者网页， HTML文档通常通过在HTTP请求中提交GET/POST方法产生的；具体地，服务器收到客户端的HTTP访问请求之后，会返回一个HTTP响应。在脚本提取器模块中，提取嵌入在HTTP响应消息中的注入脚本，提取的脚本可以通过GET 方法或者POST方法得到。具体地，GET提交请求的数据会附在URL之后(把数据放置在HTTP协议头中)，以？分割URL和传输数据，多个参数用&连接；

步骤5：将获取到的响应信息中的脚本集和从URL链接中检索到的请求信息中的脚本集进行相似性检测；通过是否检测到相似性来判断是否存在XSS漏洞；

步骤5的具体实现包括以下子步骤：

步骤5.1：将获取到的响应信息中的脚本集和从URL链接中检索到的请求信息中的脚本集执行递归解码，直到两个脚本集中的所有JS字符串都将以可读形式进行转换；

步骤5.2：针对解码之后的脚本集内容，检测字符串之间是否存在任何相似性；若在这两组脚本之间检测到任何相似性，则证明有XSS漏洞在；

本实施例中的相似性检测，是采用字符串编辑距离的思想，把一个字符串转化为另一个字符串的最少操作数；将两个字符串的距离除以两个字符串长度的最大值就是相似度。

本发明还提供了一种面向云计算环境的跨站脚本漏洞挖掘方法，其特征在于：包括网页爬行模块、HTML解析模块、外部JavaScript链接提取器模块、脚本提取器模块、XSS漏洞判断模块；

网页爬行模块，用于抓取HTTP协议的Web页面；

HTML解析模块，用于对网页爬行模块抓取的Web页面进行解析，以获取 Web页面对应的DOM树；同时，提取Web页面中的嵌入式的URL链接及调用参数；

外部JavaScript链接提取器模块，用于根据URL链接及调用参数，检索对应的外部JavaScript文件，从而获取请求链接中的相关脚本集；

脚本提取器模块，用于检索服务器返回的HTTP响应消息，从而获取响应信息中的相关脚本集；

XSS漏洞判断模块，用于根据获取到的响应信息中的脚本集和从URL链接中检索到的脚本内容进行相似性检测；通过是否检测到相似性来判断是否存在XSS漏洞。

请见图2，本实施例提供的外部JavaScript链接提取器模块包括下载器、解析器和URL处理器；

下载器，用于下载网站的HTML页面内容，传给解析器；

解析器，用于将HTML内容进行解析，抓取其中的URL，传给URL处理器；

URL处理器，用于对抓取到的URL链接进行处理，包括限制域、去重复、去相似，并传递给下载器继续采集。

(1)下载器

下载器对页面进行请求，可以附加Cookie、User.Agent等HTTP请求的头，或模拟登录状态，保证请求到的页面内容准确全面。

(2)解析器

解析器具有两种工作方式，分别为静态解析模式和动态解析模式。静态解析模式只针对HTTP响应中的URL链接进行处理；而动态解析模式会把爬取到的页面先进行动态解析，抓取到的URL将会更加全面。静态解析的优点是速度快，而动态解析在Web2.0更有优势，可以解析得到经过JavaScript处理和Ajax获取内容后的页面。

(3)URL处理器

URL处理器，对爬取到的URL链接进行处理，主要包括限制域、去重复、去相似等操作；

一个是限制采集到URL所在的域，否则会无限制爬取到一些无用的URL，影响效率。另一个是在采集过程中，可能爬取到重复的URL，它们会影响爬取的效率，严重的可能导致爬取进入死循环，因此要确定这些新的URL没有被抓取过，如果之前已经抓取过了，就不再放入队列中。此外，网页中相同模板会含有相同的JavaScript代码，一定程度的去相似有利于减少后续不必要的消耗。

本实施例提供的XSS漏洞判断模块包括虚拟解码器模块、相似性检测器模块；

虚拟解码器模块，用于对获取到的HTTP响应消息中的脚本集和从URL链接中检索到的请求信息中的脚本集执行递归解码，直到两个脚本集中的所有JS 字符串都将以可读形式进行转换；

具体地，当通过页面传输数据给服务器时，如果包含了一些特殊字符是无法发送的。这时需要先把要发送的数据转换成URL编码格式，再发送给服务器，因此需要对提取到的脚本内容进行解码。另外，服务器会自动识别数据是否使用了URL编码，如果使用了服务器会自动把数据解码，无需动手解码。

相似性检测器模块，用于对解码后的响应脚本集内容和请求脚本集内容，检测字符串之间是否存在任何相似性；若在这两组脚本之间检测到任何相似性，则证明有XSS漏洞在。

本实施例中采用编辑距离的方法，或称为Levenshtein距离，表示从一个字符串转化为另一个字符串所需要的最少编辑次数，这里的编辑是指将字符串中的一个字符替换成另一个字符，或者插入删除字符。

传统的XSS漏洞挖掘方法往往会修改浏览器和Web应用程序源码，不能直接应用在云环境中。这是因为云环境对Web应用程序有一定的安全保证，不允许随意修改。本发明所述的方法是通过网页爬行模块先抓取超文本传输协议 (HyperText Transfer Protocol，简称HTTP)的Web页面；超文本标记语言 (HyperText Markup Language，简称HTML)解析模块对抓取的Web页面进行解析以获取对应的文档对象模型(Document Object Model，简称DOM)结构树，同时，HTML解析模块会获取嵌入式的URL链接及调用参数；将URL及调用参数传递给外部JavaScript链接提取器模块，并提取URL链接的内容；脚本提取器模块提取HTTP响应消息中的脚本内容；将此脚本内容和从URL链接中检索到的脚本内容进行相似性检测，通过是否检测到相似性来判断是否存在XSS漏洞。此方案有效地避免了修改浏览器和Web应用程序的源码。本发明解决了云计算环境中部署的Web应用程序容易受到跨站脚本攻击的问题，提高了安全性。

应当理解的是，本说明书未详细阐述的部分均属于现有技术；上述针对较佳实施例的描述较为详细，并不能因此而认为是对本发明专利保护范围的限制，本领域的普通技术人员在本发明的启示下，在不脱离本发明权利要求所保护的范围情况下，还可以做出替换或变形，均落入本发明的保护范围之内，本发明的请求保护范围应以所附权利要求为准。

Claims (8)

1.一种面向云计算环境的跨站脚本漏洞挖掘方法，其特征在于，包括以下步骤：

步骤1：抓取HTTP协议的Web页面；

步骤2：对Web页面进行解析，以获取Web页面对应的DOM结构树；同时，提取Web页面中的嵌入式的URL链接及调用参数；

步骤3：根据URL链接及调用参数传递，检索对应的外部JavaScript文件集，以获取相关请求信息的脚本内容；

步骤4：检索服务器返回的HTTP响应信息，获取相关的脚本集；

步骤5：将得到的响应信息中的脚本集和从URL链接中检索到的请求信息中的脚本集进行相似性检测；通过是否检测到相似性来判断是否存在XSS漏洞。

2.根据权利要求1所述的面向云计算环境的跨站脚本漏洞挖掘方法，其特征在于：步骤1中，通过遍历URL链接中的Web站点，且这些Web站点支持并遵循HTTP协议，自动的抽取Web站点层次结构，同时把URL链接增加到Web的层次结构中，找到含有参数的Web页面。

3.根据权利要求1所述的面向云计算环境的跨站脚本漏洞挖掘方法，其特征在于：步骤3中，先将可能存在问题的URL采集并分析；具体包括以下子步骤：

步骤3.1：下载网站的HTML页面内容；

步骤3.2：将HTML内容进行解析，抓取其中的URL；

步骤3.3：对抓取到的URL链接进行处理，包括限制域、去重复、去相似；

步骤3.4：循环执行步骤3.1-3.3，直到所有的URL都被采集和分析后结束。

4.根据权利要求1所述的面向云计算环境的跨站脚本漏洞挖掘方法，其特征在于，步骤5的具体实现包括以下子步骤：

步骤5.1：将获取到的响应信息中的脚本集和从URL链接中检索到的请求信息中的脚本集执行递归解码，直到这两个脚本集中的所有JS字符串都将以可读形式进行转换；

步骤5.2：针对解码之后的脚本集内容，检测字符串之间是否存在任何相似性；若在这两组脚本之间检测到任何相似性，则证明有XSS漏洞在。

5.根据权利要求1-4任意一项所述的面向云计算环境的跨站脚本漏洞挖掘方法，其特征在于：步骤5中所述相似性检测，是采用字符串编辑距离的思想，把一个字符串转化为另一个字符串的最少操作数；将两个字符串的距离除以两个字符串长度的最大值就是相似度。

6.一种面向云计算环境的跨站脚本漏洞挖掘方法，其特征在于：包括网页爬行模块、HTML解析模块、外部JavaScript链接提取器模块、脚本提取器模块、XSS漏洞判断模块；

所述网页爬行模块，用于抓取HTTP协议的Web页面；

所述HTML解析模块，用于对网页爬行模块抓取的Web页面进行解析，以获取Web页面对应的DOM树；同时，提取Web页面中的嵌入式的URL链接及调用参数；

所述外部JavaScript链接提取器模块，用于根据URL链接及调用参数，检索对应的外部JavaScript文件，从而获取请求链接中的相关脚本集；

所述脚本提取器模块，用于检索服务器返回的HTTP响应消息，从而获取响应信息中的相关脚本集；

所述XSS漏洞判断模块，用于根据获取到的响应信息中的脚本集和从URL链接中检索到的脚本内容进行相似性检测；通过是否检测到相似性来判断是否存在XSS漏洞。

7.根据权利要求6所述的面向云计算环境的跨站脚本漏洞挖掘系统，其特征在于：所述外部JavaScript链接提取器模块包括下载器、解析器和URL处理器；

所述下载器，用于下载网站的HTML页面内容，传给解析器；

所述解析器，用于将HTML内容进行解析，抓取其中的URL，传给URL处理器；

所述URL处理器，用于对抓取到的URL链接进行处理，包括限制域、去重复、去相似，并传递给下载器继续采集。

8.根据权利要求6所述的面向云计算环境的跨站脚本漏洞挖掘系统，其特征在于：所述XSS漏洞判断模块包括虚拟解码器模块、相似性检测器模块；

所述虚拟解码器模块，用于对获取到的HTTP响应消息中的脚本集和从URL链接中检索到的请求信息中的脚本集执行递归解码，直到两者中的所有JS字符串都将以可读形式进行转换；

所述相似性检测器模块，用于对解码后的响应脚本集内容和请求脚本集内容，检测字符串之间是否存在任何相似性；若在这两组脚本之间检测到任何相似性，则证明有XSS漏洞在。

Images