CN114024709A - 防御方法、xss漏洞的查寻方法、流量检测设备及存储介质 - Google Patents

防御方法、xss漏洞的查寻方法、流量检测设备及存储介质 Download PDF

Info

Publication number
CN114024709A
CN114024709A CN202111113122.8A CN202111113122A CN114024709A CN 114024709 A CN114024709 A CN 114024709A CN 202111113122 A CN202111113122 A CN 202111113122A CN 114024709 A CN114024709 A CN 114024709A
Authority
CN
China
Prior art keywords
xss
database
attack
vulnerability
warning information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202111113122.8A
Other languages
English (en)
Other versions
CN114024709B (zh
Inventor
黄峰
张红学
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Hubei Topsec Network Security Technology Co Ltd
Original Assignee
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Hubei Topsec Network Security Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Topsec Technology Co Ltd, Beijing Topsec Network Security Technology Co Ltd, Beijing Topsec Software Co Ltd, Hubei Topsec Network Security Technology Co Ltd filed Critical Beijing Topsec Technology Co Ltd
Priority to CN202111113122.8A priority Critical patent/CN114024709B/zh
Publication of CN114024709A publication Critical patent/CN114024709A/zh
Application granted granted Critical
Publication of CN114024709B publication Critical patent/CN114024709B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请涉及网络安全技术领域,尤其涉及一种防御方法、XSS漏洞的查寻方法、流量检测设备及存储介质;防御方法包括:获取网络流量;判断所述网络流量中是否携带有数据库中存储的XSS攻击代码,如果是,则对所述网络流量中携带的XSS攻击代码进行转义处理,得到转义处理后的XSS攻击代码;其中,所述转义处理后的XSS攻击代码为浏览器不能执行的数据;以及,将所述转义处理后的XSS攻击代码存储至数据库。对XSS攻击代码进行转义等防御操作,将XSS攻击代码转换为浏览器不能执行的数据,然后将转义防御后的XSS攻击代码存储至数据库内,有效减少流量检测设备web界面上的XSS漏洞,从而便于提高流量检测设备的安全性。

Description

防御方法、XSS漏洞的查寻方法、流量检测设备及存储介质
技术领域
本申请涉及网络安全的技术领域,尤其是涉及一种防御方法、XSS漏洞的查寻方法、流量检测设备及存储介质。
背景技术
跨站脚本(Cross-site Scripting,XSS)是通常在Web应用程序中发现的一种计算机安全漏洞。XSS漏洞是指攻击者向Web页面插入恶意HTML代码,当正常用户浏览该页面时,嵌入在Web页面里的恶意HTML代码被执行,从而达到攻击正常用户的目的。
XSS漏洞产生的原因就是在HTML中被注入了脚本代码,使其在脚本解析和运行阶段向攻击者提供可被利用的信息,实现对正常用户的攻击。当用户点击了包含XSS漏洞的恶意链接时,服务器会返回包含恶意代码的页面,恶意代码会在客户端浏览器上执行,对用户进行XSS攻击。XSS攻击会导致用户信息被盗取并对用户进行会话劫持,更严重的危害包括XSS钓鱼、XSS蠕虫、XSS挂马等。
相关的XSS漏洞查询方法通常是从用户输入处查找Web页面是否存在XSS漏洞,但随着安全技术不断发展,寻找XSS漏洞的方法不再局限于通过Web页面。
对流量检测设备来说,会将业务流量中检测到的XSS攻击代码写入自身的数据库,若直接将数据库中的XSS攻击代码返回给Web页面,则Web页面容易产生储存型XSS漏洞,造成网络危害。
发明内容
为了减少流量检测设备的XSS漏洞,提高网络安全,本申请提供一种防御方法、XSS漏洞的查寻方法、流量检测设备及存储介质。
第一方面,本申请提供的一种防御方法,采用如下的技术方案:
一种防御方法,包括:
获取网络流量;
判断所述网络流量中是否携带有数据库中存储的XSS攻击代码,如果是,则对所述网络流量中携带的XSS攻击代码进行转义处理,得到转义处理后的XSS攻击代码;其中,所述转义处理后的XSS攻击代码为浏览器不能执行的数据;以及,
将所述转义处理后的XSS攻击代码存储至数据库。
通过采用上述技术方案,对网络流量进行实时监测,并对网络流量中所携带的XSS攻击代码进行转义等防御操作,将XSS攻击代码转换为浏览器不能执行的数据,然后将转义处理后的XSS攻击代码存储至数据库内,有效减少将数据库中的XSS攻击代码返回给Web页面后,浏览器执行数据库内的XSS攻击代码,有效避免Web页面产生XSS漏洞,从而便于提高网络安全。
可选的,所述转义处理包括:
对所述网络流量中携带的XSS攻击代码进行HtmlEncode编码。
通过采用上述技术方案,由于XSS攻击代码容易被浏览器解析成标签,则会被浏览器执行,从而对用户进行XSS攻击;通过对XSS攻击代码进行HtmlEncode编码,将XSS攻击代码转换为浏览器不能执行的字符串,有助于避免浏览器执行数据库内的XSS攻击代码,从而有效减少Web页面产生XSS漏洞。
可选的,所述数据库中存储的XSS攻击代码的获取方法包括:
获取各种类型的XSS报文,所述XSS报文为携带有XSS原始攻击代码的报文;
基于所述XSS报文中携带的XSS原始攻击代码构造XSS攻击代码;
将所述XSS攻击代码存储至数据库。
通过采用上述技术方案,收集各种类型的XSS报文,并根据XSS报文中携带的XSS原始攻击代码构造XSS攻击代码,便于数据库中XSS攻击代码的完善。
可选的,所述构造XSS攻击代码后还包括:
对每种类型的XSS攻击代码增加预警信息,将所述预警信息的标记内容与XSS报文一一对应。
通过采用上述技术方案,有助于通过预警信息判断Web页面是否存在XSS漏洞,能够直观的让用户感知到XSS漏洞的存在,从而便于提高XSS漏洞的检测效率与准确性。
第二方面,本申请提供的一种XSS漏洞的查寻方法,采用如下的技术方案:
一种XSS漏洞的查寻方法,基于上述所述的一种防御方法,所述查寻方法包括:
判断流量检测设备是否存在有预警信息,如果是,则确定Web页面存在有XSS漏洞;其中,所述预警信息与数据库中存储的XSS攻击代码一一对应。
通过采用上述技术方案,通过判断流量检测设备的显示页面上是否存在有预警信息,能够直观的判断Web页面是否有XSS漏洞,从而便于提高XSS漏洞的检测效率与准确性;另外,由于预警信息与数据库中存储的XSS攻击代码一一对应,能有效的扩展XSS漏洞查询方法的广度,提升流量检测设备的安全。
可选的,所述确定Web页面存在有XSS漏洞后还包括:
在确定Web页面存在有XSS漏洞的情况下,基于预警信息的标记内容确定XSS漏洞的类型;其中,所述预警信息的标记内容与XSS报文一一对应,所述XSS报文为携带有XSS原始攻击代码的报文。
通过采用上述技术方案,由于预警信息的标记内容与XSS报文一一对应,从而可以直观的让用户判断XSS漏洞的类型,从而便于提高XSS漏洞的检测效率与准确性。
可选的,所述预警信息包括弹窗告警;
基于所述预警信息的标记内容获取XSS漏洞类型的方法包括:
在流量检测设备检测到经过自身的网络流量携带有数据库中存储的XSS攻击代码的情况下,将网络流量中携带的XSS攻击代码存储至数据库,并返回给流量检测设备的显示页面,生成弹窗告警;
获取弹窗告警的标记内容;
基于所述弹窗告警的标记内容获取XSS漏洞的类型。
通过采用上述技术方案,基于弹窗告警的标记内容获知XSS漏洞的类型,从而可以通过观察流量检测设备的显示页面,直观的让用户感知到XSS漏洞的存在以及XSS漏洞的类型,从而便于提高XSS漏洞的检测效率与准确性。
可选的,所述预警信息包括POST请求;
所述基于所述预警信息的标记内容判断XSS漏洞类型的方法包括:
在流量检测设备检测到经过自身的网络流量携带有数据库中存储的XSS攻击代码的情况下,向预制网站发送POST请求,其中,所述POST请求中的参数为XSS漏洞类型;
基于所述预制网站收集的POST参数判断XSS漏洞的类型。
通过采用上述技术方案,在流量检测设备检测到经过自身的网络流量携带有XSS攻击代码的情况下,向预制网站发送POST请求,预制网站将接收到的POST请求所对应的POST参数进行存储,直接通过查看预制网站中收集的POST参数即可获知XSS漏洞的类型,从而便于提高XSS漏洞的检测效率与准确性。
第三方面,本申请提供的一种流量检测设备,采用如下的技术方案:
一种流量检测设备,包括:
获取模块,被配置为获取网络流量;
判断模块,被配置为判断所述网络流量中是否携带有数据库中存储的XSS攻击代码,如果是,则确定Web页面存在有XSS漏洞,并生成预警信息;所述预警信息与数据库中存储的XSS攻击代码一一对应;
转义模块,被配置为对所述网络流量中携带的XSS攻击代码进行转义处理,得到转义处理后的XSS攻击代码;其中,所述转义处理后的XSS攻击代码为浏览器不能执行的数据;
存储模块,被配置为将所述转义处理后的XSS攻击代码存储至数据库。
通过采用上述技术方案,对网络流量进行实时监测,并对网络流量中所携带的XSS攻击代码进行转义等防御操作,将XSS攻击代码转换为浏览器不能执行的数据,然后将转义处理后的XSS攻击代码存储至数据库内,有效减少将数据库中的XSS攻击代码返回给Web页面后,浏览器执行数据库内的XSS攻击代码,有效避免Web页面产生XSS漏洞,从而便于提高网络安全;另外,基于数据库中存储的XSS攻击代码直观的判断流量检测设备是否检测到XSS漏洞,并确定XSS漏洞的类型,从而便于提高XSS漏洞的检测效率与准确性,并能有效的扩展XSS漏洞查询的广度,提高流量检测设备的安全。
第四方面,本申请提供的一种计算机可读存储介质,采用如下的技术方案:
一种计算机可读存储介质,存储有能够被处理器加载并执行如上述第一方面与第二方面所述的任一种方法中的计算机程序。
通过采用上述技术方案,对网络流量进行实时监测,并对网络流量中所携带的XSS攻击代码进行转义等防御操作,将XSS攻击代码转换为浏览器不能执行的数据,然后将转义处理后的XSS攻击代码存储至数据库内,有效减少将数据库中的XSS攻击代码返回给Web页面后,浏览器执行数据库内的XSS攻击代码,有效避免Web页面产生XSS漏洞,从而便于提高网络安全;另外,基于数据库中存储的XSS攻击代码直观的判断流量检测设备是否检测到XSS漏洞,并确定XSS漏洞的类型,从而便于提高XSS漏洞的检测效率与准确性,并能有效的扩展XSS漏洞查询的广度,提高流量检测设备的安全。
综上所述,本申请包括以下至少一种有益技术效果:
对网络流量进行实时监测,并对网络流量中所携带的XSS攻击代码进行转义等防御操作,将XSS攻击代码转换为浏览器不能执行的数据,然后将转义处理后的XSS攻击代码存储至数据库内,有效减少将数据库中的XSS攻击代码返回给Web页面后,浏览器执行数据库内的XSS攻击代码,有效避免Web页面产生XSS漏洞,从而便于提高网络安全。
附图说明
图1是本申请其中一实施例示出的流量检测设备的框图。
图2是本申请其中一实施例示出的防御方法的流程图。
图3是本申请其中一实施例示出的XSS漏洞的查寻方法的流程图。
附图标记内容:1、获取模块;2、判断模块;3、转义模块;4、存储模块。
具体实施方式
以下结合附图对本申请作进一步详细说明。
为使本申请的目的、技术方案和优点更加清楚,下面将结合附图对本申请实施方式作进一步地详细说明。
首先,对本申请实施例涉及的名词进行介绍。
入侵检测系统(intrusion detection system,IDS)是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。
网络靶场(Cyber Range)是一种基于虚拟化技术,对真实网络空间中的网络架构、系统设备、业务流程的运行状态及运行环境进行模拟和复现的技术或产品。
URL(Uniform Resource Locator,统一资源定位器),在WWW上,每一信息资源都有统一的且在网上唯一的地址,该地址就叫URL,是WWW的统一资源定位标志,就是指网络地址。
业务端口,为接入网中在业务节点接口(SNI)和业务节点相连接的端口,主要功能是将特定的业务节点接口(SNI)要求与接入网的核心功能和系统管理功能相适配。
报文(message)是网络中交换与传输的数据单元,即站点一次性要发送的数据块。
本申请实施例公开一种流量检测设备,该流量检测设备可以设置为入侵检测系统或流量审计系统,并将流量检测设备挂接在所关注流量必须流经的链路上,其中,所关注流量为来自高危网络区域的访问流量和需要进行统计、监视的网络报文。
作为流量检测设备的一种实施方式,如图1所示,流量检测设备包括获取模块1、判断模块2、转义模块3与存储模块4。其中,在流量检测设备开启检测功能的情况下,获取模块1用于获取网络流量,判断模块2用于判断网络流量中是否携带有数据库中存储的XSS攻击代码,如果是,则确定Web页面存在有XSS漏洞,并在流量检测设备的显示页面生成预警信息;同时,转义模块3用于对网络流量中携带的XSS攻击代码进行转义处理,得到转义处理后的XSS攻击代码;存储模块4用于将转义处理后的XSS攻击代码存储至数据库。
由于流量检测设备对经过自身的流量进行检测,从而会将HTTP流量或者携带XSS攻击代码的流量存储在数据库中,然后再通过前端返回至Web页面。如果流量检测设备没有对数据库中存储的流量进行校验,在数据库中的XSS攻击代码返回给Web页面后,Web页面就会产生XSS存储型漏洞。由于XSS存储型漏洞危害很大,利用的方法也更多,从而需要对存储在数据库中的流量进行转义等防御操作。
因此,基于上述流量检测设备,本申请还公开了一种防御方法,如图2所示,防御方法包括以下步骤:
S10、获取网络流量。
具体的,将流量检测设备挂接在网络流量必须流经的链路上,从而对网络流量进行实时监测。
S11、判断网络流量中是否携带有数据库中存储的XSS攻击代码,如果是,则对网络流量中携带的XSS攻击代码进行转义处理,得到转义处理后的XSS攻击代码;其中,转义处理后的XSS攻击代码为浏览器不能执行的数据。
具体的,流量检测设备对经过自身的网络流量进行解析,获取网络流量中的XSS攻击特征,其中XSS攻击特征是指找寻XSS漏洞的XSS攻击代码,例如常见的<script>alert(‘1’)</script>。流量检测设备判断网络流量中是否携带有数据库中存储的XSS攻击代码,如果是,则对网络流量中的XSS攻击代码进行转义处理。
作为转义处理的一种实施方式,对网络流量中的XSS攻击代码进行HtmlEncode编码。在对XSS攻击代码进行转义编码后,浏览器会显示XSS攻击代码,但是不执行XSS攻击代码。例如:流量检测设备将XSS攻击代码<script>alert('xss')</script>写入数据库,对该XSS攻击代码进行转义编码,得到&lt;script&gt;alert(&#39;xss&#39;)&lt;/script&gt;;然后流量检测设备将转义编码后的XSS攻击代码返回到浏览器上,此时,浏览器对转义编码后的XSS攻击代码进行解码,并以转义编码前的XSS攻击代码的形式进行展示;但由于转义编码后的XSS攻击代码的格式为浏览器不能执行的数据,因此浏览器不会执行该XSS攻击代码。
S30、将转义处理后的XSS攻击代码存储至数据库。
具体的,由于数据库中存储的为转义处理后的XSS攻击代码,有助于避免XSS攻击代码回放过程中浏览器执行数据库内的XSS攻击代码,有效减少Web页面产生XSS漏洞,从而便于提高网络安全。
其中,作为数据库中存储的XSS攻击代码的获取方法具的一种实施方式,具体包括:
S111、获取各种类型的XSS报文,XSS报文为携带有XSS原始攻击代码的报文。
具体的,用户端通过安防系统或网站收集各种类型的XSS漏洞的攻击方式,例如:可通过从网络中搜索提供XSS漏洞信息的网站,并监控相应提供XSS漏洞信息的网站是否有XSS漏洞的信息更新,一旦监控到有XSS漏洞的信息更新时,则获取该XSS漏洞的攻击方式。其中XSS漏洞的攻击方式包括:普通的XSS JavaScript注入、IMG标签XSS使用JavaScript命令、formCharCode标签(计算器)等。
由于TCP/IP通信是根据报文进行通信的,即用户端与流量检测设备采用报文的形式进行通信,所以用户端需要基于XSS漏洞的攻击方式创建对应的XSS报文。
S112、基于XSS报文中携带的XSS原始攻击代码构造XSS攻击代码。
具体的,作为XSS攻击代码的构造方法的一种实施方式,根据需求搭建一个网络靶场,且该网络靶场未进行任何校验;进入网络靶场后寻找XSS注入点,将XSS报文中携带的XSS原始攻击代码基于对应的XSS注入点在URL中进行XSS注入,即将URL中的参数改为JS脚本,生成携带有XSS攻击特征的流量,如http://127.0.0.1/index.php?name=<script>alert(’1’)</script>,并通过抓包工具将该携带有XSS攻击特征的流量进行保存,生成XSS攻击代码。
其中,抓包工具是将网络传输发送与接收的数据包进行截获、重发、编辑、转存等操作的软件,也可以用来检查网络安全。具体的,抓包工具可以设置为Wireshark或Fiddler。
举例来说,通过抓包工具wireshark将携带有XSS攻击特征的流量保存,命名为1.pcap。
S113、将XSS攻击代码存储至数据库。
用户端通过流量检测设备的业务端口将收集到的XSS攻击代码发送至流量检测设备上进行存储。
S114、对每种类型的XSS攻击代码增加预警信息,将预警信息的标记内容与XSS报文一一对应。
具体的,增加预警信息是一种判断结果,XSS漏洞是执行JS代码导致的问题,若JS代码能被执行,就需要执行动作,那么增加预警信息就是这一个动作,并将预警信息的标记内容与XSS报文做标记。
作为预警信息的标记内容与XSS报文的标记方法的一种实施方式,对于每种类型的XSS攻击代码,在构建预警信息的代码时,alert()中是可以填写数据的,将XSS攻击代码进行简单的分类,并对XSS攻击代码进行标记,如数字标记、字母标记等。例如a标签的XSS攻击代码分类为1,则构建的预警信息代码为alert(”1”)。
基于上述流量检测设备与防御方法,本申请还公开了一种XSS漏洞的查寻方法。
如图3所示,作为查寻方法的一种实施方式,在流量检测设备开启检测功能的情况下,判断流量检测设备的显示页面是否存在有预警信息,如果是,则确定Web页面存在有XSS漏洞;其中,预警信息与数据库中存储的XSS攻击代码一一对应。
具体的,在流量检测设备对Web页面进行检测的情况下,若流量检测设备检测到经过自身的网络流量携带有数据库中存储的XSS攻击代码时,将网络流量中携带的XSS攻击代码存储至数据库,并返回给流量检测设备的显示页面,此时,流量检测设备的显示页面上展示与XSS攻击代码对应的预警信息;若流量检测设备的显示页面上未产生预警信息,一方面是当前的Web页面没有XSS漏洞,另一方面是数据库中存储的XSS攻击代码还不够完善。
举例来说,若流量检测设备检测到经过自身的网络流量携带有数据库中存储的XSS攻击代码,且该XSS攻击代码分类为1,则流量检测设备的显示页面上展示的预警信息为alert(”1”)。
作为查寻方法的另一种实施方式,在确定Web页面存在有XSS漏洞的情况下,基于预警信息的标记内容确定XSS漏洞的类型。
由于预警信息的标记内容与XSS报文一一对应,且XSS报文为XSS漏洞的通信方式,有助于直接通过预警信息的标记内容获取XSS漏洞的类型。
需要说明的是,预警信息包括弹窗告警与POST请求;在预警信息为弹窗告警的情况下,预警信息的标记内容为弹窗告警的标记内容;在预警信息为POST请求的情况下,预警信息的标记内容为POST参数。
其中,作为XSS漏洞类型的获取方法的一种实施方式,在流量检测设备检测到经过自身的网络流量携带有数据库中存储的XSS攻击代码的情况下,生成弹窗告警,并获取弹窗告警的标记内容,基于弹窗告警的标记内容获取XSS漏洞的类型。
需要说明的是,流量检测设备的显示页面上产生弹窗告警的情况下,需要工作人员单击确定后,弹窗告警才会消失,有效减少工作人员遗漏弹窗告警的可能。
作为XSS漏洞类型的获取方法的另一种实施方式,在流量检测设备检测到经过自身的流量携带有数据库中存储的XSS攻击代码的情况下,向预制网站发送POST请求,POST请求包括POST参数;基于预制网站收集的POST参数确定XSS漏洞的类型。
具体的,编写特定的JS代码,让浏览器主动的向预制网站发送POST请求,POST请求的参数为XSS报文对应类型的标记,预制网站只需要将接收到的POAT参数进行保存。待XSS报文回放完成后,直接查看预制网站收集的POST参数,即可确定XSS漏洞的类型。
本申请实施例还公开了一种计算机可读存储介质,存储有能够被处理器加载并执行如上述APP管理方法的计算机程序,该计算机可读存储介质例如包括:U盘、移动硬盘、只读存储器(Read-OnlyMemory,ROM)、随机存取存储器(RandomAccessMemory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上均为本申请的较佳实施例,并非依此限制本申请的保护范围,故:凡依本申请的结构、形状、原理所做的等效变化,均应涵盖于本申请的保护范围之内。

Claims (10)

1.一种防御方法,其特征在于,包括:
获取网络流量;
判断所述网络流量中是否携带有数据库中存储的XSS攻击代码,如果是,则对所述网络流量中携带的XSS攻击代码进行转义处理,得到转义处理后的XSS攻击代码;其中,所述转义处理后的XSS攻击代码为浏览器不能执行的数据;以及,
将所述转义处理后的XSS攻击代码存储至数据库。
2.根据权利要求1所述的一种防御方法,其特征在于,所述转义处理包括:
对所述网络流量中携带的XSS攻击代码进行HtmlEncode编码。
3.根据权利要求1或2所述的一种防御方法,其特征在于,所述数据库中存储的XSS攻击代码的获取方法包括:
获取各种类型的XSS报文,所述XSS报文为携带有XSS原始攻击代码的报文;
基于所述XSS报文中携带的XSS原始攻击代码构造XSS攻击代码;
将所述XSS攻击代码存储至数据库。
4.根据权利要求3所述的一种防御方法,其特征在于,所述构造XSS攻击代码后还包括:
对每种类型的XSS攻击代码增加预警信息,将所述预警信息的标记内容与XSS报文一一对应。
5.一种XSS漏洞的查寻方法,其特征在于,基于权利要求1-4之一所述的一种防御方法,所述查寻方法包括:
判断流量检测设备上是否存在有预警信息,如果是,则确定Web页面存在有XSS漏洞;其中,所述预警信息与数据库内的XSS攻击代码一一对应。
6.根据权利要求5所述的一种XSS漏洞的查寻方法,其特征在于,所述确定Web页面存在有XSS漏洞后还包括:
在确定Web页面存在有XSS漏洞的情况下,基于预警信息的标记内容确定XSS漏洞的类型;其中,所述预警信息的标记内容与XSS报文一一对应,所述XSS报文为携带有XSS原始攻击代码的报文。
7.根据权利要求6所述的一种XSS漏洞的查寻方法,其特征在于,所述预警信息包括弹窗告警;
基于所述预警信息的标记内容获取XSS漏洞类型的方法包括:
在流量检测设备检测到经过自身的网络流量携带有数据库中存储的XSS攻击代码的情况下,将网络流量中携带的XSS攻击代码存储至数据库,并返回给流量检测设备的显示页面,生成弹窗告警;
获取弹窗告警的标记内容;
基于所述弹窗告警的标记内容获取XSS漏洞的类型。
8.根据权利要求6所述的一种XSS漏洞的查寻方法,其特征在于,所述预警信息包括POST请求;
所述基于所述预警信息的标记内容判断XSS漏洞类型的方法包括:
在流量检测设备检测到经过自身的网络流量携带有数据库中存储的XSS攻击代码的情况下,向预制网站发送POST请求,其中,所述POST请求中的参数为XSS漏洞类型;
基于所述预制网站收集的POST参数判断XSS漏洞的类型。
9.一种流量检测设备,其特征在于,包括:
获取模块(1),被配置为获取网络流量;
判断模块(2),被配置为判断所述网络流量中是否携带有数据库中存储的XSS攻击代码,如果是,则确定Web页面存在有XSS漏洞,并生成预警信息;所述预警信息与数据库中存储的XSS攻击代码一一对应;
转义模块(3),被配置为对所述网络流量中携带的XSS攻击代码进行转义处理,得到转义处理后的XSS攻击代码;其中,所述转义处理后的XSS攻击代码为浏览器不能执行的数据;
存储模块(4),被配置为将所述转义处理后的XSS攻击代码存储至数据库。
10.一种计算机可读存储介质,其特征在于:存储有能够被处理器加载并执行如权利要求1-8中任一种方法中的计算机程序。
CN202111113122.8A 2021-09-22 2021-09-22 防御方法、xss漏洞的查寻方法、流量检测设备及存储介质 Active CN114024709B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111113122.8A CN114024709B (zh) 2021-09-22 2021-09-22 防御方法、xss漏洞的查寻方法、流量检测设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111113122.8A CN114024709B (zh) 2021-09-22 2021-09-22 防御方法、xss漏洞的查寻方法、流量检测设备及存储介质

Publications (2)

Publication Number Publication Date
CN114024709A true CN114024709A (zh) 2022-02-08
CN114024709B CN114024709B (zh) 2024-06-11

Family

ID=80054664

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111113122.8A Active CN114024709B (zh) 2021-09-22 2021-09-22 防御方法、xss漏洞的查寻方法、流量检测设备及存储介质

Country Status (1)

Country Link
CN (1) CN114024709B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114389898A (zh) * 2022-03-23 2022-04-22 南京赛宁信息技术有限公司 一种基于靶场的Web防御方法、装置及系统
CN115484100A (zh) * 2022-09-15 2022-12-16 南方电网科学研究院有限责任公司 一种网络安全事件分析方法、装置及存储介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104601540A (zh) * 2014-12-05 2015-05-06 华为技术有限公司 一种跨站脚本XSS攻击防御方法及Web服务器
US20160142437A1 (en) * 2014-11-17 2016-05-19 Samsung Electronics Co., Ltd. Method and system for preventing injection-type attacks in a web based operating system
CN107948163A (zh) * 2017-11-29 2018-04-20 中科信息安全共性技术国家工程研究中心有限公司 一种xml注入漏洞检测与防御方法
CN109040097A (zh) * 2018-08-23 2018-12-18 彩讯科技股份有限公司 一种跨站脚本攻击的防御方法、装置、设备和存储介质
CN109088899A (zh) * 2018-10-30 2018-12-25 福州大学 一种针对xss攻击的apt预警方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160142437A1 (en) * 2014-11-17 2016-05-19 Samsung Electronics Co., Ltd. Method and system for preventing injection-type attacks in a web based operating system
CN104601540A (zh) * 2014-12-05 2015-05-06 华为技术有限公司 一种跨站脚本XSS攻击防御方法及Web服务器
CN107948163A (zh) * 2017-11-29 2018-04-20 中科信息安全共性技术国家工程研究中心有限公司 一种xml注入漏洞检测与防御方法
CN109040097A (zh) * 2018-08-23 2018-12-18 彩讯科技股份有限公司 一种跨站脚本攻击的防御方法、装置、设备和存储介质
CN109088899A (zh) * 2018-10-30 2018-12-25 福州大学 一种针对xss攻击的apt预警方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
吴潇璇: "SQL注入式攻击防范研究", 《阴山学刊》, vol. 29, no. 4, 30 September 2015 (2015-09-30) *

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114389898A (zh) * 2022-03-23 2022-04-22 南京赛宁信息技术有限公司 一种基于靶场的Web防御方法、装置及系统
CN114389898B (zh) * 2022-03-23 2022-07-01 南京赛宁信息技术有限公司 一种基于靶场的Web防御方法、装置及系统
CN115484100A (zh) * 2022-09-15 2022-12-16 南方电网科学研究院有限责任公司 一种网络安全事件分析方法、装置及存储介质
CN115484100B (zh) * 2022-09-15 2024-09-27 南方电网科学研究院有限责任公司 一种网络安全事件分析方法、装置及存储介质

Also Published As

Publication number Publication date
CN114024709B (zh) 2024-06-11

Similar Documents

Publication Publication Date Title
US20190132355A1 (en) Malicious script detection
CN111400722B (zh) 扫描小程序的方法、装置、计算机设备和存储介质
CN110650117B (zh) 跨站攻击防护方法、装置、设备及存储介质
CN109347882B (zh) 网页木马监测方法、装置、设备及存储介质
CN107332811A (zh) 入侵检测的方法、装置和系统
CN105592017B (zh) 跨站脚本攻击的防御方法及系统
US20170353434A1 (en) Methods for detection of reflected cross site scripting attacks
CN103746992B (zh) 基于逆向的入侵检测系统及其方法
CN111835777B (zh) 一种异常流量检测方法、装置、设备及介质
CN114024709B (zh) 防御方法、xss漏洞的查寻方法、流量检测设备及存储介质
CN112788034B (zh) 对抗网络攻击的处理方法、装置、电子设备和存储介质
CN103856471A (zh) 跨站脚本攻击监控系统及方法
WO2017056121A1 (en) Method for the identification and prevention of client-side web attacks
CN111726342B (zh) 一种提升蜜罐系统告警输出精准性的方法及系统
CN113518077A (zh) 一种恶意网络爬虫检测方法、装置、设备及存储介质
CN107666464B (zh) 一种信息处理方法及服务器
CN106250761B (zh) 一种识别web自动化工具的设备、装置及方法
CN113746781A (zh) 一种网络安全检测方法、装置、设备及可读存储介质
CN111625821A (zh) 一种基于云平台的应用攻击检测系统
CN111931170A (zh) 一种网站应用隔离防护系统
CN113595981A (zh) 上传文件威胁检测方法及装置、计算机可读存储介质
CN112347484A (zh) 软件漏洞检测方法、装置、设备及计算机可读存储介质
CN116866082A (zh) 基于云网络的安全测评系统及方法
CN114298684A (zh) 电子邮件安全检测方法、装置、电子设备及存储介质
Takata et al. Fine-grained analysis of compromised websites with redirection graphs and javascript traces

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant