CN112016096A - 一种xss漏洞的审计方法、装置 - Google Patents
一种xss漏洞的审计方法、装置 Download PDFInfo
- Publication number
- CN112016096A CN112016096A CN202010885666.5A CN202010885666A CN112016096A CN 112016096 A CN112016096 A CN 112016096A CN 202010885666 A CN202010885666 A CN 202010885666A CN 112016096 A CN112016096 A CN 112016096A
- Authority
- CN
- China
- Prior art keywords
- taint
- information
- input
- function
- vulnerability
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 26
- 238000001514 detection method Methods 0.000 claims abstract description 9
- 238000004422 calculation algorithm Methods 0.000 claims abstract description 7
- 230000006870 function Effects 0.000 claims description 97
- 238000012790 confirmation Methods 0.000 claims description 17
- 238000004364 calculation method Methods 0.000 claims description 7
- 238000010200 validation analysis Methods 0.000 claims description 6
- 238000012550 audit Methods 0.000 abstract description 3
- 238000013515 script Methods 0.000 description 17
- 238000012360 testing method Methods 0.000 description 5
- 235000014510 cooky Nutrition 0.000 description 4
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 238000006467 substitution reaction Methods 0.000 description 3
- 230000009193 crawling Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000005065 mining Methods 0.000 description 2
- 238000012549 training Methods 0.000 description 2
- VYZAMTAEIAYCRO-UHFFFAOYSA-N Chromium Chemical compound [Cr] VYZAMTAEIAYCRO-UHFFFAOYSA-N 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000005206 flow analysis Methods 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000009877 rendering Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000012216 screening Methods 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/95—Retrieval from the web
- G06F16/958—Organisation or management of web site content, e.g. publishing, maintaining pages or automatic linking
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Computing Systems (AREA)
- Data Mining & Analysis (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明提供一种XSS漏洞的审计方法、装置,该方法包括如下步骤:根据输入信息确认污点来源;定义危险函数并形成危险函数列表;对代码进行检测,将检测到的危险函数的调用或网络请求进行记录;遍历已记录的信息查找信息的重合点,并根据查找的重合点确认漏洞。遍历已记录的污点输入列表和危险函数列表,查找污点输入列表和危险函数列表记录的重合信息通过公共子字符串算法,将重合信息进行计算得到公共子字符串;判断公共子字符串的长度,若公共子字符串的长度不小于污点输入和危险函数参数的最小的长度,则视为漏洞点。提高了web端源代码审计检测XSS的准确度和效率。
Description
技术领域
本发明涉及漏洞的挖掘技术领域,具体涉及一种XSS漏洞的审计方法、装置。
背景技术
随着web应用的不断发展,web安全问题也日益突出。XSS跨站脚本攻击漏洞是web安全问题中最常见的漏洞之一。攻击者可利用XXS漏洞盗取用户Cookie、删除目标文章、恶意篡改数据、钓鱼攻击、蠕虫式挂马攻击、刷广告等等,其危害极其严重。
目前针对XSS漏洞的挖掘方法较多,有通过爬取、筛选网站请求后,通过payload字典进行探测,或通过模糊测试工具自动生成payload探测,该方法对爬取网站url的准确度和payload都有较高的要求;有通过白盒审计方式,通过查找危险函数来定位漏洞,该方法没有对调用流程进行深入分析,相对误报率会比较高,若增加控制流分析过程,会较少误报率,但是同样的该方法实现复杂、计算路径开销大;也有通过机器学习方法检测XSS,该方法需要依赖大量训练样本集和训练模型的准确度。
发明内容
目前针对XSS漏洞的挖掘方法存在的上述问题,本发明提供一种XSS漏洞的审计方法、装置。
本发明的技术方案是:
一方面,本发明技术方案提供一种XSS漏洞的审计方法,包括如下步骤:
根据输入信息确认污点来源;
定义危险函数并形成危险函数列表;
对代码进行检测,将检测到的危险函数的调用或网络请求进行记录;
遍历已记录的信息查找信息的重合点,并根据查找的重合点确认漏洞。
进一步的,输入信息包括:网络请求、存储函数、状态描述信息;根据输入信息确认污点来源的步骤包括:
根据网络请求和/或存储函数和/或状态描述信息梳理污点输入形成污点输入列表。
进一步的,对代码进行检测,将检测到的危险函数的调用或网络请求进行记录的步骤包括:
对代码进行检测,将检测到的危险函数的调用或网络请求分别在对应的危险函数列表或污点输入列表中记录;并且同一域名下,同一参数同一调用的危险函数,仅保留一个。减少重复数据。
进一步的,遍历已记录的信息查找信息的重合点,并根据查找的重合点确认漏洞的步骤中,遍历已记录的信息查找信息的重合点的步骤包括:
遍历已记录的污点输入列表和危险函数列表,查找污点输入列表和危险函数列表记录的重合信息。污点输入在危险函数的参数中出现,就可能是漏洞点。
进一步的,遍历已记录的信息查找信息的重合点,并根据查找的重合点确认漏洞的步骤中,考虑到,危险函数中的参数可能是污点输入的一部分,污点输入也可能只是危险函数的参数的一部分,根据查找的重合点确认漏洞的步骤包括:
通过公共子字符串算法,将重合信息进行计算得到公共子字符串;
判断公共子字符串的长度,若公共子字符串的长度不小于污点输入和危险函数参数的最小的长度,则视为漏洞点。
进一步的,为进一步减小误报率,根据查找的重合点确认漏洞的步骤还包括:
通过修改请求参数和修改函数调用时的参数,传入测试性的攻击载荷,在返回界面获取到了相应的结果,则视为漏洞点。
另一方面,本发明技术方案提供一种XSS漏洞的审计装置,包括污点来源确认模块、危险函数列表生成模块、污点追踪模块、漏洞确认模块;
污点来源确认模块,用于根据输入信息确认污点来源;
危险函数列表生成模块,用于定义危险函数并形成危险函数列表;
污点追踪模块,用于对代码进行检测,将检测到的危险函数的调用或网络请求进行记录;
漏洞确认模块,遍历已记录的信息查找信息的重合点,并根据查找的重合点确认漏洞。
进一步的,输入信息包括:网络请求、存储函数、状态描述信息;根据输入信息确认污点来源的步骤包括:
污点来源确认模块,具体用于根据网络请求和/或存储函数和/或状态描述信息梳理污点输入形成污点输入列表。
进一步的,污点追踪模块包括检测单元和记录单元;
检测单元,用于对代码进行检测;
记录单元,用于将检测到的危险函数的调用在对应的危险函数列表中记录,或将检测到的网络请求在污点输入列表中记录;并且同一域名下,同一参数同一调用的危险函数,仅保留一个。
进一步的,漏洞确认模块包括遍历单元、计算单元和判断确认单元;
遍历单元,用于遍历已记录的污点输入列表和危险函数列表,查找污点输入列表和危险函数列表记录的重合信息;
计算单元,用于通过公共子字符串算法,将重合信息进行计算得到公共子字符串;
判断确认单元,用于判断公共子字符串的长度,若公共子字符串的长度不小于污点输入和危险函数参数的最小的长度,则视为漏洞点。
进一步的,为进一步减小误报率,漏洞确认模块还包括测试确认单元;
测试确认单元,用于通过修改请求参数和修改函数调用时的参数,传入测试性的攻击载荷,若在返回界面获取到了相应的结果,则视为漏洞点。
从以上技术方案可以看出,本发明具有以下优点:结合XSS漏洞本身特性,提出通过开发浏览器插件对代码检测,分析污点,并对污点进行自动回溯输入的审计检测XSS漏洞的方法。该方法实现简单,提高了web端源代码审计检测XSS的准确度和效率。
此外,本发明设计原理可靠,结构简单,具有非常广泛的应用前景。
由此可见,本发明与现有技术相比,具有突出的实质性特点和显著地进步,其实施的有益效果也是显而易见的。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明一个实施例的方法的示意性流程图。
图2是本发明一个实施例的装置的示意性框图。
具体实施方式
为了使本技术领域的人员更好地理解本发明中的技术方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。下面对本发明中出现的关键术语进行解释。
XSS全称是Cross Site Scripting即跨站脚本,当目标网站目标用户浏览器渲染HTML文档的过程中,出现了不被预期的脚本指令并执行时,XSS就发生了。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。
如图1所示,本发明实施例提供一种XSS漏洞的审计方法,包括如下步骤:
S1:根据输入信息确认污点来源;
S2:定义危险函数并形成危险函数列表;
S3:对代码进行检测,将检测到的危险函数的调用或网络请求进行记录;
S4:遍历已记录的信息查找信息的重合点,并根据查找的重合点确认漏洞。
在有些实施例中,输入信息包括:网络请求、存储函数、状态描述信息;根据输入信息确认污点来源的步骤包括:
根据网络请求和/或存储函数和/或状态描述信息梳理污点输入形成污点输入列表。
需要说明的是,对于Web应用的输入,可以是请求的参数、上传的文件、Cookie等用户可控或者间接可控的地方。针对XSS而言,污点来源主要考虑网络请求、存储函数以及状态描述信息。
网络请求主要指使用异步方式获取的请求及其响应,XMLHttpRequest和fetch等均可用来实现网络请求,这部分可以通过hook相关的API来获取。
存储函数主要包含Cookie、Indexdb、localStorage、sessionStorage等。
状态描述信息诸如窗口名、url、hash、referr等,如window.name、window.location.href、window.location.hash、document.referrer、document.URL等。
步骤S2中,需要说明的是,危险函数是可能触发危险行为如文件操作、命令执行、数据库操作等行为的函数。针对XSS而言,包括对输入可以直接执行Javascript代码的函数,如setTimeout(payload,100)、eval(payload)和一些标签属性如<script>等;对输入通过加载URL的方式运行JavaScript代码的函数,如location=javascript:alert(/xss/);对输入可以直接以HTML代码的形式执行的函数,在一定情况下可以执行代码,如document.write(payload);DOM元素创建时,部分调用在script的源可控或者元素的构造可控的时候,可能会出现问题,如domElement.appendChild;以及其他一些可能存在风险,但可控程度不高的函数,如(new Array()).map(func)。最终形成危险函数列表。
在有些实施例中,对代码进行检测,将检测到的危险函数的调用或网络请求进行记录的步骤包括:
对代码进行检测,将检测到的危险函数的调用或网络请求分别在对应的危险函数列表或污点输入列表中记录;并且同一域名下,同一参数同一调用的危险函数,仅保留一个。减少重复数据。
详细梳理污点输入形成污点输入列表并定期更新完善,部分输入在网页初始化时已经确定,这部分由程序记录下来。部分输入会不断变化,如cookie等,这部分输入可通过事件处理等方式进行监控,并实时对变化进行记录。
污点追踪的实现基于浏览器编写插件,对代码进行Hook。在chrome扩展中content_scripts方法能够接触到页面,但是content_script为运行在隔离环境的js代码。想让代码运行在页面环境中,需要新建script标签,将目标代码赋值到innerHTML中,再将script标签插入到document中,使用promise链按顺序加载脚本,使用co库将异步请求转换成同步请求。利用background一直在后台运行特性,借助chrome.tabs.executeScript方法向content script发送代码便可实现在页面运行之前将用户脚本注入到页面并按指定顺序运行脚本。在hook后,当检测到危险函数调用或网络请求时,将其记录至后台。
在有些实施例中,遍历已记录的信息查找信息的重合点,并根据查找的重合点确认漏洞的步骤中,遍历已记录的信息查找信息的重合点的步骤包括:
遍历已记录的污点输入列表和危险函数列表,查找污点输入列表和危险函数列表记录的重合信息。污点输入在危险函数的参数中出现,就可能是漏洞点。
在有些实施例中,考虑到,危险函数中的参数可能是污点输入的一部分,污点输入也可能只是危险函数的参数的一部分,遍历已记录的信息查找信息的重合点,并根据查找的重合点确认漏洞的步骤中,根据查找的重合点确认漏洞的步骤包括:
通过公共子字符串算法,将重合信息进行计算得到公共子字符串;
判断公共子字符串的长度,若公共子字符串的长度不小于污点输入和危险函数参数的最小的长度,则视为漏洞点。
在有些实施例中,为进一步减小误报率,根据查找的重合点确认漏洞的步骤还包括:
通过修改请求参数和修改函数调用时的参数,传入测试性的攻击载荷,比如,<script>alert("xss")</script>,在返回界面获取到了相应的结果,比如弹窗xss,则视为漏洞点。
如图2所示,本发明实施例提供一种XSS漏洞的审计装置,包括污点来源确认模块、危险函数列表生成模块、污点追踪模块、漏洞确认模块;
污点来源确认模块,用于根据输入信息确认污点来源;
危险函数列表生成模块,用于定义危险函数并形成危险函数列表;
污点追踪模块,用于对代码进行检测,将检测到的危险函数的调用或网络请求进行记录;
漏洞确认模块,遍历已记录的信息查找信息的重合点,并根据查找的重合点确认漏洞。
在有些实施例中,输入信息包括:网络请求、存储函数、状态描述信息;根据输入信息确认污点来源的步骤包括:
污点来源确认模块,具体用于根据网络请求和/或存储函数和/或状态描述信息梳理污点输入形成污点输入列表。
在有些实施例中,污点追踪模块包括检测单元和记录单元;
检测单元,用于对代码进行检测;
记录单元,用于将检测到的危险函数的调用在对应的危险函数列表中记录,或将检测到的网络请求在污点输入列表中记录;并且同一域名下,同一参数同一调用的危险函数,仅保留一个。
在有些实施例中,漏洞确认模块包括遍历单元、计算单元和判断确认单元;
遍历单元,用于遍历已记录的污点输入列表和危险函数列表,查找污点输入列表和危险函数列表记录的重合信息;
计算单元,用于通过公共子字符串算法,将重合信息进行计算得到公共子字符串;
判断确认单元,用于判断公共子字符串的长度,若公共子字符串的长度不小于污点输入和危险函数参数的最小的长度,则视为漏洞点。
在有些实施例中,为进一步减小误报率,漏洞确认模块还包括测试确认单元;
测试确认单元,用于通过修改请求参数和修改函数调用时的参数,传入测试性的攻击载荷,比如,<script>alert("xss")</script>,在返回界面获取到了相应的结果,比如弹窗xss,则视为漏洞点。
尽管通过参考附图并结合优选实施例的方式对本发明进行了详细描述,但本发明并不限于此。在不脱离本发明的精神和实质的前提下,本领域普通技术人员可以对本发明的实施例进行各种等效的修改或替换,而这些修改或替换都应在本发明的涵盖范围内/任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
Claims (10)
1.一种XSS漏洞的审计方法,其特征在于,包括如下步骤:
根据输入信息确认污点来源;
定义危险函数并形成危险函数列表;
对代码进行检测,将检测到的危险函数的调用或网络请求进行记录;
遍历已记录的信息查找信息的重合点,并根据查找的重合点确认漏洞。
2.根据权利要求1所述的一种XSS漏洞的审计方法,其特征在于,输入信息包括:网络请求、存储函数、状态描述信息;根据输入信息确认污点来源的步骤包括:
根据网络请求和/或存储函数和/或状态描述信息梳理污点输入形成污点输入列表。
3.根据权利要求2所述的一种XSS漏洞的审计方法,其特征在于,对代码进行检测,将检测到的危险函数的调用或网络请求进行记录的步骤包括:
对代码进行检测,将检测到的危险函数的调用或网络请求分别在对应的危险函数列表或污点输入列表中记录;并且同一域名下,同一参数同一调用的危险函数,仅保留一个。
4.根据权利要求3所述的一种XSS漏洞的审计方法,其特征在于,遍历已记录的信息查找信息的重合点,并根据查找的重合点确认漏洞的步骤中,遍历已记录的信息查找信息的重合点的步骤包括:
遍历已记录的污点输入列表和危险函数列表,查找污点输入列表和危险函数列表记录的重合信息。
5.根据权利要求4所述的一种XSS漏洞的审计方法,其特征在于,遍历已记录的信息查找信息的重合点,并根据查找的重合点确认漏洞的步骤中,根据查找的重合点确认漏洞的步骤包括:
通过公共子字符串算法,将重合信息进行计算得到公共子字符串;
判断公共子字符串的长度,若公共子字符串的长度不小于污点输入和危险函数参数的最小的长度,则视为漏洞点。
6.根据权利要求4或5所述的一种XSS漏洞的审计方法,其特征在于,根据查找的重合点确认漏洞的步骤还包括:
通过修改请求参数和修改函数调用时的参数,传入测试性的攻击载荷,若在返回界面获取到了相应的结果,则视为漏洞点。
7.一种XSS漏洞的审计装置,其特征在于,包括污点来源确认模块、危险函数列表生成模块、污点追踪模块、漏洞确认模块;
污点来源确认模块,用于根据输入信息确认污点来源;
危险函数列表生成模块,用于定义危险函数并形成危险函数列表;
污点追踪模块,用于对代码进行检测,将检测到的危险函数的调用或网络请求进行记录;
漏洞确认模块,遍历已记录的信息查找信息的重合点,并根据查找的重合点确认漏洞。
8.根据权利要求7所述的一种XSS漏洞的审计装置,其特征在于,输入信息包括:网络请求、存储函数、状态描述信息;根据输入信息确认污点来源的步骤包括:
污点来源确认模块,具体用于根据网络请求和/或存储函数和/或状态描述信息梳理污点输入形成污点输入列表。
9.根据权利要求7所述的一种XSS漏洞的审计装置,其特征在于,污点追踪模块包括检测单元和记录单元;
检测单元,用于对代码进行检测;
记录单元,用于将检测到的危险函数的调用在对应的危险函数列表中记录,或将检测到的网络请求在污点输入列表中记录;并且同一域名下,同一参数同一调用的危险函数,仅保留一个。
10.根据权利要求8所述的一种XSS漏洞的审计装置,其特征在于,漏洞确认模块包括遍历单元、计算单元和判断确认单元;
遍历单元,用于遍历已记录的污点输入列表和危险函数列表,查找污点输入列表和危险函数列表记录的重合信息;
计算单元,用于通过公共子字符串算法,将重合信息进行计算得到公共子字符串;
判断确认单元,用于判断公共子字符串的长度,若公共子字符串的长度不小于污点输入和危险函数参数的最小的长度,则视为漏洞点。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010885666.5A CN112016096B (zh) | 2020-08-28 | 2020-08-28 | 一种xss漏洞的审计方法、装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010885666.5A CN112016096B (zh) | 2020-08-28 | 2020-08-28 | 一种xss漏洞的审计方法、装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112016096A true CN112016096A (zh) | 2020-12-01 |
| CN112016096B CN112016096B (zh) | 2023-05-16 |
Family
ID=73503470
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010885666.5A Active CN112016096B (zh) | 2020-08-28 | 2020-08-28 | 一种xss漏洞的审计方法、装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112016096B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112632561A (zh) * | 2020-12-28 | 2021-04-09 | 北京安全共识科技有限公司 | Web应用漏洞的检测方法及相关装置 |
| CN112966274A (zh) * | 2021-03-11 | 2021-06-15 | 北京长亭未来科技有限公司 | Web安全漏洞检测方法、扫描器、存储介质及电子设备 |
| CN113849817A (zh) * | 2021-08-30 | 2021-12-28 | 苏州浪潮智能科技有限公司 | 一种JavaScript原型链污染漏洞的检测方法及装置 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108664793A (zh) * | 2017-03-30 | 2018-10-16 | 腾讯科技(深圳)有限公司 | 一种检测漏洞的方法和装置 |
-
2020
- 2020-08-28 CN CN202010885666.5A patent/CN112016096B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108664793A (zh) * | 2017-03-30 | 2018-10-16 | 腾讯科技(深圳)有限公司 | 一种检测漏洞的方法和装置 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112632561A (zh) * | 2020-12-28 | 2021-04-09 | 北京安全共识科技有限公司 | Web应用漏洞的检测方法及相关装置 |
| CN112966274A (zh) * | 2021-03-11 | 2021-06-15 | 北京长亭未来科技有限公司 | Web安全漏洞检测方法、扫描器、存储介质及电子设备 |
| CN112966274B (zh) * | 2021-03-11 | 2024-03-19 | 北京长亭未来科技有限公司 | Web安全漏洞检测方法、扫描器、存储介质及电子设备 |
| CN113849817A (zh) * | 2021-08-30 | 2021-12-28 | 苏州浪潮智能科技有限公司 | 一种JavaScript原型链污染漏洞的检测方法及装置 |
| CN113849817B (zh) * | 2021-08-30 | 2023-08-18 | 苏州浪潮智能科技有限公司 | 一种JavaScript原型链污染漏洞的检测方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112016096B (zh) | 2023-05-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Gupta et al. | XSS-secure as a service for the platforms of online social network-based multimedia web applications in cloud | |
| CN108259494B (zh) | 一种网络攻击检测方法及装置 | |
| Li et al. | A survey on server-side approaches to securing web applications | |
| CN112016096B (zh) | 一种xss漏洞的审计方法、装置 | |
| US20170316202A1 (en) | Rasp for scripting languages | |
| CN105491053A (zh) | 一种Web恶意代码检测方法及系统 | |
| CN107911355B (zh) | 一种基于攻击链的网站后门利用事件识别方法 | |
| CN111783096B (zh) | 检测安全漏洞的方法和装置 | |
| EP3120286A1 (en) | Behavior profiling for malware detection | |
| JP2014203464A (ja) | クライアントベースローカルマルウェア検出方法 | |
| CN101964025A (zh) | Xss检测方法和设备 | |
| CN101820419A (zh) | 一种挂马网页中网页木马挂接点自动定位方法 | |
| KR102120200B1 (ko) | 악성 코드 수집 방법 및 시스템 | |
| WO2017056121A1 (en) | Method for the identification and prevention of client-side web attacks | |
| Schlumberger et al. | Jarhead analysis and detection of malicious java applets | |
| CN106250761B (zh) | 一种识别web自动化工具的设备、装置及方法 | |
| Weissbacher et al. | {ZigZag}: Automatically Hardening Web Applications Against Client-side Validation Vulnerabilities | |
| CN114386032A (zh) | 电力物联网设备的固件检测系统及方法 | |
| Hou et al. | A dynamic detection technique for XSS vulnerabilities | |
| Gupta et al. | A client‐server JavaScript code rewriting‐based framework to detect the XSS worms from online social network | |
| CN113067792A (zh) | 一种xss攻击识别方法、装置、设备及介质 | |
| Ablahd | Using python to detect web application vulnerability | |
| CN106446694A (zh) | 一种基于网络爬虫的xss漏洞挖掘系统 | |
| CN113849817A (zh) | 一种JavaScript原型链污染漏洞的检测方法及装置 | |
| Hao et al. | JavaScript malicious codes analysis based on naive bayes classification |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |