CN113507440A - 一种基于web应用运行时的零规则XSS攻击检测方法 - Google Patents

Abstract

本发明提供了一种基于web应用运行时的零规则XSS攻击检测方法，所述检测方法包括：获取用户访问数据，其中，所述用户访问数据至少包括用户访问请求、验证信息和Cookie；将所述访问数据发送至镜像服务器，其中，所述镜像服务器至少包括服务器内web应用及空白信息；记录所述访问数据在镜像服务器内的行为，判断用户此次访问行为是否包含XSS攻击，其中，所述行为至少包括脚本运行、读取数据、存储数据、发送数据和篡改数据；本发明实施例提供的检测方法能够有效的解决目前的XSS攻击检测方法存在漏报和误报的问题，提高了XSS攻击检测的准确度。

Description

一种基于web应用运行时的零规则XSS攻击检测方法

技术领域

本发明涉及网络防护技术领域，尤其涉及一种基于web应用运行时的零规则XSS攻击检测方法。

背景技术

跨站脚本(XSS)攻击是一种注入式安全攻击，攻击者将数据(如恶意脚本)注入其他受信任网站的Web应用程序中，该数据(恶意脚本)将被包含在传递给受害者浏览器的动态内容中，受害者将在不知情的情况下载打开浏览器时执行了该该数据(恶意脚本)，攻击者此时就可以利用此漏洞盗取用户账号，并可以完成非法转账、非法转账、网页挂马、控制受害者的机器进行DDOS攻击等恶意行为，跨站脚本(XSS)攻击有着极大的安全隐患。

对于web应用，用户通过浏览器访问应用的时候，用户的输入通过html表单(form)来实现，最终用户所有的输入以表单(form)的形式发送到web服务端，xss攻击就是发生在这个时候，黑客利用技术手段，将恶意脚本，混淆在用户输入的表单中，导致xss攻击。

防御xss攻击，最主要就是对用户的输入要进行安全过滤，比如对用户的输入过滤掉<script>、alert、iframe等关键字，但黑客通过在上述关键字中间加入空格，即可轻松的避开对scriptalertiframe的过滤，例如将javascript写为javascript；对于安全过滤的策略，还可以通过白名单策略和黑名单策略，但是，无论白名单策略或黑名单策略，均基于已知的字符和关键词，而随着系统的升级和新技术的不断研发，会出现新的XSS攻击策略，曾经的白名单会存在漏报的问题，曾经的黑名单会存在误报的问题，使得目前的防范XSS攻击的方式存在着误报和漏报的问题，因此，本申请提出了一种基于web应用运行时的零规则XSS攻击检测方法。

发明内容

本发明的目的在于提供一种基于web应用运行时的零规则XSS攻击检测方法，以解决目前的XSS攻击检测方法容易误报或漏报的问题。

本发明的目的是通过以下技术方案实现的：

一种基于web应用运行时的零规则XSS攻击检测方法，包括：

获取用户访问数据，其中，所述用户访问数据至少包括用户访问请求、验证信息和Cookie；

将所述访问数据发送至镜像服务器，其中，所述镜像服务器至少包括服务器内web应用及空白信息；

记录所述访问数据在镜像服务器内的行为，判断用户此次访问行为是否包含XSS攻击，其中，所述行为至少包括脚本运行、读取数据、存储数据、发送数据和篡改数据；

输出判断结果。

进一步的，在所述获取用户访问数据之前，所述检测方法还包括：

获取用户登录信息，其中，所述用户登录信息包括用户ID及登录密码；

验证用户登录信息；

基于用户登录信息的验证结果给予用户访问权限。

进一步的，所述验证登录信息的步骤具体包括：

基于用户ID获取预设的用户信息，检索存储在服务器内的数据库，验证所述登录密码与预设的用户信息内密码是否匹配；

基于用户ID检索用户白名单，判断所述用户ID是否存储于用户白名单内；

输出判断结果。

进一步的，所述记录所述访问数据在镜像服务器内的行为的具体步骤包括：

在镜像服务器内执行所述用户数据包含的命令或请求；

监测所述用户数据在所述镜像服务器内执行后的执行结果，其中，所述执行结果至少包括：注入脚本代码、执行脚本、读取数据、存储数据、发送数据和篡改数据。

进一步的，所述判断用户此次访问行为是否包含XSS攻击的具体步骤包括：

获取所述访问数据后执行由访问用户注入的脚本代码；

在镜像服务器内执行所述脚本代码；

获取所述脚本代码的运行结果，其中，所述运行结果至少包括读取数据、存储数据、发送数据和篡改数据；

基于所述脚本代码的运行结果判断此次访问是否为XSS攻击。

进一步的，所述判断用户此次访问行为是否包含XSS攻击的具体步骤包括：

基于所述访问数据所包含的访问命令或请求与运行存储于镜像服务器内的web应用；

监测web应用运行的运行结果，其中，所述运行结果包括：注入脚本代码、执行脚本、读取数据、存储数据、发送数据和篡改数据；

基于web应用运行时的结果判断此次访问是否为XSS攻击。

进一步的，获取用户登录信息时，所述检测方法还包括：

获取用户登录终端的终端信息，其中，所述终端信息至少包括登录地址、用户终端识别码。

进一步的，所述检测方法还包括：：

基于判断结果，将包含XSS攻击的用户写入用户黑名单，其中，所述用户黑名单至少包括用户ID、登录终端地址和登录终端的识别码

将所述用户黑名单存储在主服务器和镜像服务器内。

进一步的，所述检测方法还包括：

基于判断结果将包含有XSS攻击的脚本代码写入脚本代码黑名单，其中，所述脚本代码黑名单存储在镜像服务器内。

进一步的，所述判断用户此次访问行为是否包含XSS攻击的具体步骤包括：

解析所述访问数据，判断所述访问数据是否包含的代码；

基于解析结果，提取解析出的代码，将解析出的代码与脚本代码黑名单内的进行匹配，判断所述访问数据内是否包含脚本代码黑名单内的代码；

输出判断结果。

综上所述，本发明与现有技术相比具有以下有益效果：

本发明在镜像服务器中运行web应用和提供用户访问，通过在观察访问用户在镜像服务器内的行为判断此次访问是否含有XSS攻击，本发明提供的检测方法能够有效的解决目前的XSS攻击检测方法存在漏报和误报的问题，提高了XSS攻击检测的准确度。

本发明的其他优点、目标和特征在某种程度上将在随后的说明书中进行阐述，并且在某种程度上，基于对下文的考察研究对本领域技术人员而言将是显而易见的，或者可以从本发明的实践中得到教导。本发明的目标和其他优点可以通过下面的说明书和前述的权利要求书来实现和获得。

附图说明

为了使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明作进一步的详细描述，其中：

图1为本发明实施例提供的基于web应用运行时的零规则XSS攻击检测方法的系统架构图。

图2为本发明实施例提供的基于web应用运行时的零规则XSS攻击检测方法的一个实现流程框图。

图3为本发明实施例提供的基于web应用运行时的零规则XSS攻击检测方法的一个子流程图。

图4为本发明实施例提供的基于web应用运行时的零规则XSS攻击检测方法的又一个子流程图。

图5为本发明实施例提供的基于web应用运行时的零规则XSS攻击检测方法的又一个子流程图。

图6为本发明实施例提供的基于web应用运行时的零规则XSS攻击检测方法的又一个子流程图。

图7为本发明实施例提供的基于web应用运行时的零规则XSS攻击检测方法的又一个子流程图。

图8为本发明实施例提供的基于web应用运行时的零规则XSS攻击检测方法的再一个子流程图。

图9为本发明实施例提供的基于web应用运行时的零规则XSS攻击检测系统的架构图。

图10为本发明实施例提供的基于web应用运行时的零规则XSS攻击检测系统中判断单元的架构图。

具体实施方式

以下将参照附图，对本发明的优选实施例进行详细的描述。应当理解，优选实施例仅为了说明本发明，而不是为了限制本发明的保护范围。

本领域技术人员可以理解，除非另有定义，本文所使用的所有的技术和科学术语与属于本申请的技术领域的技术人员通常理解的含义相同；本文中在申请的说明书中所使用的术语只是为了描述具体的实施例的目的，不是旨在于限制本申请；本申请的说明书和权利要求书及上述附图说明中的术语“包括”和“具有”以及它们的任何变形，意图在于覆盖不排他的包含。本申请的说明书和权利要求书或上述附图中的术语“第一”、“第二”等是用于区别不同对象，而不是用于描述特定顺序。

在本文中提及“实施例”意味着，结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例，也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员显式地和隐式地理解的是，本文所描述的实施例可以与其它实施例相结合。

目前，对待与xss攻击的防御，最主要就是对用户的输入要进行安全过滤，比如对用户的输入过滤掉<script>、alert、iframe等关键字，但黑客通过在上述关键字中间加入空格，即可轻松的避开对scriptalertiframe的过滤，例如将javascript写为javascript；对于安全过滤的策略，还可以通过白名单策略和黑名单策略，通过穷举白名单内的关键词或字符串达到过滤数据的目的。

以上方法均是通过关键词或关键语句的检测识别XSS攻击，但是，以上方法均是基于已知的字符和关键词，而随着系统的升级和新技术的不断研发，会出现新的XSS攻击策略，曾经的白名单会存在漏报的问题，曾经的黑名单会存在误报的问题，使得目前的防范XSS攻击的方式存在着误报和漏报的问题。

为解决上述问题，在本发明实施例提供的基于web应用运行时的零规则XSS攻击检测中，通过获取用户访问数据，其中，所述用户访问数据至少包括用户访问请求、验证信息和Cookie；将所述访问数据发送至镜像服务器，其中，所述镜像服务器至少包括服务器内web应用及空白信息；记录所述访问数据在镜像服务器内的行为，判断用户此次访问行为是否包含XSS攻击，其中，所述行为至少包括脚本运行、读取数据、存储数据、发送数据和篡改数据；输出判断结果。本发明实施例在镜像服务器中运行web应用和提供用户访问，使得用户收现付访问镜像服务器，通过在观察访问用户在镜像服务器内的行为判断此次访问是否含有XSS攻击。本发明实施例提供的检测方法能够有效的解决目前的XSS攻击检测方法存在漏报和误报的问题，提高了XSS攻击检测的准确度。

需要说明的是，在不冲突的情况下，本公开中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本公开。

请参照图1，示出了本发明实施例提供的基于web应用运行时的零规则XSS攻击检测方法的系统架构图。

系统架构100可以包括服务器101、镜像服务器102以及攻击终端103，所述服务器101、镜像服务器102以及攻击终端103之间通过网络105提供通信链路。网络105可以包括各种连接类型，例如有线、无线通信链路或者光纤电缆等等。

攻击终端103通过网络105与镜像服务器102交互，以实现数据的传递，攻击终端103和服务器101及镜像服务器102上可以安装有各种web应用；目前的攻击模式中，所述攻击终端103在访问服务器101时向服务器101注入脚本代码，在服务器101上的web应用运行时，攻击终端103在服务器101上的脚本被执行，完成攻击终端103的攻击目的，在本发明中攻击终端103在访问服务器101之前需先访问镜像服务器102，使得攻击终端103的脚本代码注入到镜像服务器102内。

在一些示例中，所述系统架构100还包括受害者终端104，所述受害者终端104通过网络105与攻击终端103、服务器101和镜像服务器102交互，目前的攻击模式中，所述受害者终端104在访问服务器101时，通过攻击终端存储在服务器101内web应用内的脚本代码攻击受害者终端104或收集受害者终端104的信息以达到攻击终端101的攻击目的，因此，在本发明中，受害者终端104访问服务器101之前，先访问镜像服务器102，通过接收受害者终端104发送的数据或解析web应用向受害者终端104发送的数据判断是否包含XSS攻击，从而能够有效的拦截。

需要说明的是，所述攻击终端103和受害者终端104的身份可以互换，在一些示例中，所述受害者终端104可以为攻击发起者，所述攻击终端103也可以为受害者。

攻击终端101和受害者终端104可以是硬件，也可以是软件。当攻击终端101和受害者终端104为硬件时，可以是具有通信功能的各种电子设备，包括但不限于智能手机、平板电脑、电子书阅读器、MP3播放器、MP4播放器、膝上型便携计算机和台式计算机等等。当攻击终端101和受害者终端104为软件时，可以安装在上述所列举的电子设备中。其可以实现成多个软件或软件模块，也可以实现成单个软件或软件模块。在此不做具体限定。

服务器101和镜像服务器102可以是提供各种服务的服务器，例如对攻击终端101和受害者终端104上的web应用支持的后台服务器。服务器101和镜像服务器102可以接收攻击终端101和受害者终端104发送的访问请求。然后，服务器101和镜像服务器102可以对访问请求数据进行处理。

需要说明的是，本公开实施例所提供的基于web应用运行时的零规则XSS攻击检测方法一般由镜像服务器102执行，相应地，基于web应用运行时的零规则XSS攻击检测系统一般设置于镜像服务器102中。可选的，本公开实施例所提供的基于web应用运行时的零规则XSS攻击检测方法也可以由攻击终端103和受害者终端104执行，当本公开实施例所提供的基于web应用运行时的零规则XSS攻击检测方法由攻击终端103和受害者终端104执行时，所述镜像服务器102为设置在攻击终端103和受害者终端104内的沙盒。

需要说明的是，服务器可以是硬件，也可以是软件。当服务器为硬件时，可以实现成多个服务器组成的分布式服务器集群，也可以实现成单个服务器。当服务器为软件时，可以实现成多个软件或软件模块，也可以实现成单个软件或软件模块。在此不做具体限定。

应该理解，图1中的服务器101、镜像102、攻击终端103、受害者终端104和网络105的数目仅仅是示意性的。根据实现需要，可以具有任意数目的服务器101、镜像102、攻击终端103、受害者终端104和网络105。

以下结合具体实施例对本发明实施例提供的基于web应用运行时的零规则XSS攻击检测方法的具体实现进行详细描述。

请参照图2，示出了本发明实施例提供的基于web应用运行时的零规则XSS攻击检测方法的一个实现流程框图。

具体的，在本发明提供的一个实施例中，一种基于web应用运行时的零规则XSS攻击检测方法，所述检测方法包括；

步骤S200、获取用户访问数据，其中，所述用户访问数据至少包括用户访问请求、验证信息和Cookie；

具体的，在用户访问服务器101之前，首先向服务器101发送访问请求，服务器101在受到访问请求时，将其发送至镜像服务器102，使其首先访问奖项服务器102，用户访问时，用户的访问地址为镜像服务器102的地址，用户在发送数据和接收数据时，均是和镜像服务器102进行，例如，用户在访问某个页面时，该页面的访问地址设置在镜像服务器102内，当在镜像服务器内确认其安全后，将用户的访问再发送至服务器101内，由此判断用户的访问数据是否含有XSS攻击；

进一步的，请参照图3，在获取用户访问数据前，所述检测方法还包括：

S210、获取用户登录信息，其中，所述用户登录信息包括用户ID及登录密码；

S220、验证用户登录信息；

S230、基于用户登录信息的验证结果给予用户访问权限；

在用户访问服务器101时，首先验证用户的权限，对于没有权限或低权限的用户，限制其写入数据，使其无法写入数据，由于XSS攻击主要通过脚本代码运行时利用系统漏洞发起攻击，对于没有写入权限的用户也就无法注入脚本代码，从而无法发起XSS攻击，因此，通过过滤没有权限的用户可以大大减轻检测负担；

具体的，所述服务器101内设置有存储用户信息的第一数据库，在用户访问服务器101时，首先将其引导至镜像服务器102内，然后向用户发送登录验证指令，用户接收到验证指令后返回用户登录信息，所述用户登录信息包括用户ID及登录密码，镜像服务器102内的web应用通过用户ID检索第一数据库内的用户信息，通过对登录密码的匹配确定用户的权限；

进一步的，请参照图3，在验证登录信息时，所述检测方法还包括：

S221、基于用户ID获取预设的用户信息，检索存储在服务器内的数据库，验证所述登录密码与预设的用户信息内密码是否匹配；

S222、基于用户ID检索用户白名单，判断所述用户ID是否存储于用户白名单内；

S223、输出判断结果；

具体的，所述服务器101内设置有用户白名单，所述用户白名单内存储有具有不同权限的用户ID，对比不同的用户，本发明给予不同的权限，对于存在风险的用户，在本发明实施例中会限制其权限，例如，对于长时间未登录或曾经发起XSS攻击的账户，在本发明实施例中会限制数据写入权限或登录权限，用以过滤用户，从而减小服务器负担，提高检测效率。

步骤S300、将所述访问数据发送至镜像服务器，其中，所述镜像服务器至少包括服务器内web应用及空白信息；

具体的，所述镜像服务器102与服务器101具有相同的web应用，用户在访问镜像服务器102时可以使用和服务器101相同的功能，本发明中的镜像服务器102相当于模拟服务器，通过镜像服务器102的模拟，判断用户的访问行为是否包含XSS攻击，所述镜像服务器102内存储的用户信息均为空白信息，从而防止用户盗取服务器101内的信息。

步骤S400、记录所述访问数据在镜像服务器内的行为，判断用户此次访问行为是否包含XSS攻击，其中，所述行为至少包括脚本运行、读取数据、存储数据、发送数据和篡改数据；

由于XSS攻击的方式存在多种，且XSS攻击可以通过多种编译器编译，不同的XSS攻击可以通过不同的脚本代码实现，这就造成了XSS攻击检测的困难性，但是，无论何种XSS攻击造成的结果只有有限的几种，例如，盗取用户资料、引导用户至非法网站等，在本发明的实施例中，通过检测用户访问的行为，判断是否含有XSS攻击，从而能够有效的检测XSS攻击；

进一步的，在记录所述访问数据在镜像服务器内的行为时，所述检测方法还包括：

S411、在镜像服务器102内执行所述用户数据包含的命令或请求；

S412、监测所述用户数据在所述镜像服务器内执行后的执行结果，其中，所述执行结果至少包括：注入脚本代码、执行脚本、读取数据、存储数据、发送数据和篡改数据；

具体的，在步骤S230验证完成后，具有权限的用户访问镜像服务器102，并向镜像服务器102内发送访问数据，在步骤S100中获取的访问数据被发送至镜像服务器102内，访问数据在在镜像服务器102内会被执行，通过监视访问数据被执行时的结果可以检测所述访问数据是否包含XSS攻击了；

例如，请参照图5，当访问数据向镜像服务器102内注入脚本代码时，所述检测方法包括：

S413、获取所述访问数据后执行由访问用户注入的脚本代码；

S414、在镜像服务器内执行所述脚本代码；

S415、获取所述脚本代码的运行结果，其中，所述运行结果至少包括读取数据、存储数据、发送数据和篡改数据；

S416、基于所述脚本代码的运行结果判断此次访问是否为XSS攻击；

具体的，在本发明的实施例中，当所述访问数据向镜像服务器102注入脚本代码时，运行所述访问代码所在的web应用，使脚本代码运行，通过监视所述脚本代码运行的结果判断所述脚本代码是否包含XSS攻击，例如，在一些XSS攻击中，攻击者会盗取存储在服务器101内的资料，当所述脚本代码的运行结果为获取非用户权限的资料时，视为此访问数据包含XSS攻击，并预警；

再例如，某些XSS攻击会引导用户进入某些非法网站，在步骤S414中，运行脚本代码后会跳转到非法网站，则判断此访问数据包含XSS攻击，并预警，此示例中，在服务器101内设置有网站白名单，判别网站是否为非法网站的方式为，查看跳转网站域名，当该网站域名不在网站白名单内时，判别此网站为非法网站，所述网站白名单在服务器101内实时更新，以防止误判；

请参照图6，再例如，当包含XSS攻击的脚本代码已经被注入镜像服务器102内时，所述用户在访问数据时不包含XSS攻击，但是所述用户在访问时被攻击时，所述检测方法还包括：

S421、基于所述访问数据所包含的访问命令或请求与运行存储于镜像服务器内的web应用；

S422、监测web应用运行的运行结果，其中，所述运行结果包括：注入脚本代码、执行脚本、读取数据、存储数据、发送数据和篡改数据；

S423、基于web应用运行时的结果判断此次访问是否为XSS攻击；

具体的，在镜像服务器内，web应用运行时会产生已知的结果，通过检测web应用运行时的结果可以判断所述镜像服务器102内是否含有XSS攻击的脚本代码，例如，在某些web应用运行时或获取用户资料，当web应用运行时引起的XSS攻击的目的是盗取用户资料时，通过解析web应用运行时向受害者终端104内发送的数据，从而获知所要获取的资料是否超出预设范围，例如，当web应用运行时需要获取存储在缓存文件夹的缓存文件，由于缓存文件具有确定的地址，通过解析发送的数据包，查看数据包内是否包含其他地址，从而判断所要获取的资料是否超出预设范围，进而判断是否存在XSS攻击；

进一步的，在步骤S400判断用户此次访问行为是否包含XSS攻击之后，所述检测方法还包括：

S430、基于判断结果将包含有XSS攻击的脚本代码写入脚本代码黑名单，其中，所述脚本代码黑名单存储在镜像服务器内；

再进一步的，请参照图9，在执行步骤S411在镜像服务器102内执行所述用户数据包含的命令或请求之前，所述检测方法还包括：

S431、解析所述访问数据，判断所述访问数据是否包含的代码；

S432、基于解析结果，提取解析出的代码，将解析出的代码与脚本代码黑名单内的进行匹配，判断所述访问数据内是否包含脚本代码黑名单内的代码；

S433、输出判断结果；

具体的，在执行步骤S411在镜像服务器102内执行所述用户数据包含的命令或请求之前，解析所述访问数据，通过解析所述访问数据中是否包含脚本代码，若包含脚本代码，提取所述访问数据内的脚本代码，并检索脚本代码黑名单，判断提取的脚本代码是否包含在脚本代码黑名单内的脚本代码，当所述访问数据包含脚本代码黑名单内的脚本代码时，判断此访问数据包含XSS攻击，并输出判断结果。

步骤S500、输出判断结果。

请参照图7，示出了本发明实施例提供的基于本发明实施例提供的基于web应用运行时的零规则XSS攻击检测方法的又一个子流程图，在步骤S500输出判断结果后，所述检测方法还包括：

S600，基于判断结果，将包含XSS攻击的用户写入用户黑名单，其中，所述用户黑名单至少包括用户ID、登录终端地址和登录终端的识别码；

S700、将所述用户黑名单存储在主服务器和镜像服务器内。

具体的，当判断用户发送的访问数据包含XSS攻击时，将该用户写入用户黑名单，在该用户下次访问时，限制该用户的权限，从而防止该用户再次发动XSS攻击，由于限制了该用户的权限，在后续的检测中，可以不再检测该用户的数据，从而减小系统负担。

请参照图9，本发明实施例中，还提供了一种检测系统800，所述检测系统800包括：

获取单元801，用于获取用户访问数据；

镜像服务器单元802，用于运行访问数据；

判断单元803，用于监测所述访问数据在镜像服务器内的行为，并判断用户此次访问行为是否包含XSS攻击；

输出单元804，用于输出检测结果；

具体的，在本发明提供的实施例中，获取单元801获取用户访问数据，并将其发送至镜像服务器单元802内，所述判断单元803通过监测所述web应用在镜像服务器单元802内运行时，输入所述访问数据的后的结果，判断所述此次访问时候包含XSS攻击，并将判断结果发送至所述输出单元803，所述输出单元803输出检测结果。

请参照图10，本发明实施例中，还提供了一种检测系统800，其中，所述检测系统800内的判断单元803包括：

监测模块8031，用于web应用运行时的结果；

解析模块8032，用于解析数据包；

判别模块8033，用于判别是否包含XSS攻击。

为解决上述技术问题，本发明实施例还提供一种计算机设备。

所述计算机设备900包括通过装置总线相互通信连接存储器、处理器、网络接口。需要指出的是，本实施例仅示出了具有组件存储器、处理和网络接口的计算机设备，但是应理解的是，并不要求实施所有示出的组件，可以替代的实施更多或者更少的组件。其中，本技术领域技术人员可以理解，这里的计算机设备是一种能够按照事先设定或存储的指令，自动进行数值计算和/或信息处理的设备，其硬件包括但不限于微处理器、专用集成电路(ApplicationSpecificIntegratedCircuit，ASIC)、可编程门阵列(Field－ProgrammableGateArray，FPGA)、数字处理器(DigitalSignalProcessor，DSP)、嵌入式设备等。

所述计算机设备可以是桌上型计算机、笔记本、掌上电脑及云端服务器等计算设备。所述计算机设备可以与用户通过键盘、鼠标、遥控器、触摸板或声控设备等方式进行人机交互。

所述存储器至少包括一种类型的可读存储介质，所述可读存储介质包括闪存、硬盘、多媒体卡、卡型存储器(例如，SD或DX存储器等)、随机访问存储器(RAM)、静态随机访问存储器(SRAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、可编程只读存储器(PROM)、磁性存储器、磁盘、光盘等。在一些实施例中，所述存储器可以是所述计算机设备的内部存储单元，例如该计算机设备的硬盘或内存。在另一些实施例中，所述存储器也可以是所述计算机设备的外部存储设备，例如该计算机设备上配备的插接式硬盘，智能存储卡(SmartMediaCard，SMC)，安全数字(SecureDigital，SD)卡，闪存卡(FlashCard)等。当然，所述存储器还可以既包括所述计算机设备的内部存储单元也包括其外部存储设备。

本实施例中，所述存储器通常用于存储安装于所述计算机设备的操作装置和各类应用软件，例如基于web应用运行时的零规则XSS攻击检测方法的计算机可读指令等。此外，所述存储器还可以用于暂时地存储已经输出或者将要输出的各类数据。

所述处理器在一些实施例中可以是中央处理器(CentralProcessingUnit，CPU)、控制器、微控制器、微处理器、或其他数据处理芯片。该处理器通常用于控制所述计算机设备的总体操作。本实施例中，所述处理器用于运行所述存储器中存储的计算机可读指令或者处理数据，例如基于web应用运行时的零规则XSS攻击检测方法的计算机可读指令。

所述网络接口可包括无线网络接口或有线网络接口，该网络接口通常用于在所述计算机设备与其他电子设备之间建立通信连接。

本申请公开了一种计算机设备，属于网络防护技术领域，所述基于web应用运行时的零规则XSS攻击检测方法以计算机可读指令的方式存储于计算机设备中的存储器中，当所述处理器运行所述计算机可读指令时实现上述的基于web应用运行时的零规则XSS攻击检测方法的步骤。

具体地，所述处理器对上述指令的具体实现方法可参考图2对应实施例中相关步骤的描述，在此不赘述。

本申请还提供了另一种实施方式，即提供一种计算机可读存储介质，所述计算机可读存储介质存储有计算机可读指令，所述计算机可读指令可被至少一个处理器执行，以使所述至少一个处理器执行如上述的基于web应用运行时的零规则XSS攻击检测方法的步骤。

本申请公开了一种刻度存储介质，属于网络防护技术领域，所述基于web应用运行时的零规则XSS攻击检测方法以计算机可读指令的方式存储于所述存储介质中，所述计算机可读指令被处理器执行时上述的基于web应用运行时的零规则XSS攻击检测方法的步骤。

在本发明所提供的几个实施例中，应该理解到，所揭露的设备，系统和方法，可以通过其它的方式实现。例如，以上所描述的系统实施例仅仅是示意性的，例如，所述模块的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。

所述作为分离部件说明的模块可以是或者也可以不是物理上分开的，作为模块显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能模块可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能模块的形式实现。

对于本领域技术人员而言，显然本发明不限于上述示范性实施例的细节，而且在不背离本发明的精神或基本特征的情况下，能够以其他的具体形式实现本发明。

因此，无论从哪一点来看，均应将实施例看作是示范性的，而且是非限制性的，本发明的范围由所附权利要求而不是上述说明限定，因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本发明内。不应将权利要求中的任何附关联图标记视为限制所涉及的权利要求。

此外，显然“包括”一词不排除其他单元或步骤，单数不排除复数。系统权利要求中陈述的多个单元或系统也可以由一个单元或系统通过软件或者硬件来实现。第二等词语用来表示名称，而并不表示任何特定的顺序。

最后说明的是，以上实施例仅用以说明本发明的技术方案而非限制，尽管参照较佳实施例对本发明进行了详细说明，本领域的普通技术人员应当理解，可以对本发明的技术方案进行修改或者等同替换，而不脱离本技术方案的宗旨和范围，其均应涵盖在本发明的权利要求范围当中。

Claims (10)

1.一种基于web应用运行时的零规则XSS攻击检测方法，其特征在于，所述检测方法包括：

获取用户访问数据，其中，所述用户访问数据至少包括用户访问请求、验证信息和Cookie；

将所述访问数据发送至镜像服务器，其中，所述镜像服务器至少包括服务器内web应用及空白信息；

记录所述访问数据在镜像服务器内的行为，判断用户此次访问行为是否包含XSS攻击，其中，所述行为至少包括脚本运行、读取数据、存储数据、发送数据和篡改数据；

输出判断结果。

2.根据权利要求1所述的基于web应用运行时的零规则XSS攻击检测方法，其特征在于，在所述获取用户访问数据之前，所述检测方法还包括：

获取用户登录信息，其中，所述用户登录信息包括用户ID及登录密码；

验证用户登录信息；

基于用户登录信息的验证结果给予用户访问权限。

3.根据权利要求2所述的基于web应用运行时的零规则XSS攻击检测方法，其特征在于，所述验证登录信息的步骤具体包括：

基于用户ID获取预设的用户信息，检索存储在服务器内的数据库，验证所述登录密码与预设的用户信息内密码是否匹配；

基于用户ID检索用户白名单，判断所述用户ID是否存储于用户白名单内；

输出判断结果。

4.根据权利要求1所述的基于web应用运行时的零规则XSS攻击检测方法，其特征在于，所述记录所述访问数据在镜像服务器内的行为的具体步骤包括：

在镜像服务器内执行所述用户数据包含的命令或请求；

监测所述用户数据在所述镜像服务器内执行后的执行结果，其中，所述执行结果至少包括：注入脚本代码、执行脚本、读取数据、存储数据、发送数据和篡改数据。

5.根据权利要求4所述的基于web应用运行时的零规则XSS攻击检测方法，其特征在于，所述判断用户此次访问行为是否包含XSS攻击的具体步骤包括：

获取所述访问数据后执行由访问用户注入的脚本代码；

在镜像服务器内执行所述脚本代码；

获取所述脚本代码的运行结果，其中，所述运行结果至少包括读取数据、存储数据、发送数据和篡改数据；

基于所述脚本代码的运行结果判断此次访问是否为XSS攻击。

6.根据权利要求4所述的基于web应用运行时的零规则XSS攻击检测方法，其特征在于，所述判断用户此次访问行为是否包含XSS攻击的具体步骤包括：

基于所述访问数据所包含的访问命令或请求与运行存储于镜像服务器内的web应用；

监测web应用运行的运行结果，其中，所述运行结果包括：注入脚本代码、执行脚本、读取数据、存储数据、发送数据和篡改数据；

基于web应用运行时的结果判断此次访问是否为XSS攻击。

7.根据权利要求2所述的基于web应用运行时的零规则XSS攻击检测方法，其特征在于，获取用户登录信息时，所述检测方法还包括：

获取用户登录终端的终端信息，其中，所述终端信息至少包括登录地址、用户终端识别码。

8.根据权利要求1-7任意一项所述的基于web应用运行时的零规则XSS攻击检测方法，其特征在于，所述检测方法还包括：

基于判断结果，将包含XSS攻击的用户写入用户黑名单，其中，所述用户黑名单至少包括用户ID、登录终端地址和登录终端的识别码；

将所述用户黑名单存储在主服务器和镜像服务器内。

9.根据权利要求1-7任意一项所述的基于web应用运行时的零规则XSS攻击检测方法，其特征在于，所述检测方法还包括：

基于判断结果将包含有XSS攻击的脚本代码写入脚本代码黑名单，其中，所述脚本代码黑名单存储在镜像服务器内。

10.根据权利要求9所述的基于web应用运行时的零规则XSS攻击检测方法，其特征在于，所述判断用户此次访问行为是否包含XSS攻击的具体步骤包括：

解析所述访问数据，判断所述访问数据是否包含的代码；

基于解析结果，提取解析出的代码，将解析出的代码与脚本代码黑名单内的进行匹配，判断所述访问数据内是否包含脚本代码黑名单内的代码；

输出判断结果。

Images