CN114048483A - Xss漏洞的检测方法、装置、设备及介质 - Google Patents
Xss漏洞的检测方法、装置、设备及介质 Download PDFInfo
- Publication number
- CN114048483A CN114048483A CN202111329252.5A CN202111329252A CN114048483A CN 114048483 A CN114048483 A CN 114048483A CN 202111329252 A CN202111329252 A CN 202111329252A CN 114048483 A CN114048483 A CN 114048483A
- Authority
- CN
- China
- Prior art keywords
- request packet
- server
- detected
- target
- web application
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请提供一种XSS漏洞的检测方法、装置、设备及介质,通过将第一请求包中的任一用户属性参数删除,并在被删除的用户属性参数的原先位置处添加对应的请求包标识,生成至少一个第二请求包并发送至服务器,接收服务器返回的至少一个第一响应包,在任一第一响应包中存在目标请求包标识时,获取目标请求包标识对应的目标第一请求包,将目标第一请求包中的目标请求包标识删除,并根据目标第一请求包中的参数组织形式,在目标第一请求包中添加可以使跨站脚本攻击XSS漏洞攻击成功的负载,生成目标请求包并发送至服务器,接收服务器返回的第二响应包,控制待检测Web应用程序渲染第二响应包,获得第一检测结果。本申请提高了用户的体验感受。
Description
技术领域
本申请涉及网络安全技术领域,尤其涉及一种XSS漏洞的检测方法、装置、设备及介质。
背景技术
跨站脚本攻击(Cross-site scripting,XSS)是一种安全漏洞,攻击者可以利用XSS漏洞在网站上注入恶意的客户端代码。当用户(受害者)登陆该网站时,客户端就会自动运行这些恶意代码,攻击者可以突破网站的访问权限,对受害者采取资源窃取、会话劫持、钓欺骗等各种攻击,从而达到冒充受害者的目的。因此,对网站中的XSS漏洞进行检测,是至关重要的。
现有技术中,对网站中的XSS漏洞进行检测主要通过抓取超文本传输协议(HyperText Transfer Protocol,HTTP)协议的全球广域网(World Wide Web,Web)页面,然后对Web页面进行解析,以获取Web页面对应的文档对象模型(Document Object Model,DOM)树;同时,提取Web页面中的嵌入式的URL链接及调用参数,根据统一资源定位系统(uniformresource locator,URL)链接及调用参数传递,检索对应的外部JavaScript文件集,以获取相关请求信息的脚本内容;之后,检索服务器返回的HTTP响应信息,获取相关的脚本集,将获取到的响应信息中的脚本集和从URL链接中检索到的请求信息中的脚本集进行相似性检测,通过是否检测到相似性来判断是否存在XSS漏洞。
然而,现有技术需要单独收集URL链接,在用户正常访问网站时无法无感的对网站进行XSS漏洞检测,可能存在用户体验较差的问题。
发明内容
本申请提供一种XSS漏洞的检测方法、装置、设备及介质,以解决在用户正常访问网站时无法无感的对网站进行XSS漏洞检测,存在用户体验较差的问题。
第一方面,本申请实施例提供一种XSS漏洞的检测方法,包括:
将第一请求包中的任一用户属性参数删除,并在被删除的所述用户属性参数的原先位置处添加对应的请求包标识,生成至少一个第二请求包,所述第一请求包是待检测全球广域网Web应用程序生成的,所述第一请求包包括至少一个用户属性参数;
将所述至少一个第二请求包发送给所述待检测Web应用程序对应的服务器;
接收所述服务器返回的至少一个第一响应包,在任一第一响应包中存在目标请求包标识时,从第一请求包中获取所述目标请求包标识对应的目标第一请求包,每个第一响应包是所述服务器根据一个第二请求包处理得到的;
将所述目标第一请求包中的目标请求包标识删除,并根据所述目标第一请求包中的参数组织形式,在所述目标第一请求包中添加可以使跨站脚本攻击XSS漏洞攻击成功的负载,生成目标请求包;
将所述目标请求包发送至所述服务器;
接收所述服务器返回的第二响应包,并控制所述待检测Web应用程序渲染所述第二响应包,获得第一检测结果,所述第一检测结果包括所述服务器存在XSS漏洞或所述服务器不存在XSS漏洞。
在第一方面的一种可能设计中,所述控制所述待检测Web应用程序渲染所述第二响应包,获得第一检测结果,包括:
向所述待检测Web应用程序所在的终端设备发送渲染指令,所述渲染指令用于指示所述待检测Web应用程序对所述第二响应包进行渲染;
接收所述终端设备发送的第一检测结果,所述第一检测结果是所述待检测Web应用程序执行所述渲染指令后,根据渲染结果得到的。
在第一方面的另一种可能设计中,所述控制所述待检测Web应用程序渲染所述第二响应包,获得第一检测结果,包括:
控制所述待检测Web应用程序渲染所述第二响应包;
利用所述待检测Web应用程序中预先安装的浏览器插件获取所述文档对象模型DOM树的当前数据值;
在所述当前数据值与所述DOM树的原始数据不一致时,所述第一检测结果为所述服务器存在XSS漏洞;
在所述当前数据值与所述DOM树的原始数据一致时,所述第一检测结果为所述服务器不存在XSS漏洞。
可选的,所述待检测Web应用程序中预先安装有代理插件,所述代理插件用于对所述待检测Web应用程序的超文本传输协议HTTP流量进行代理。
在第一方面的再一种可能设计中,所述接收所述服务器返回的至少一个第一响应包之后,所述方法还包括:
在任一第一响应包中均不存在请求包标识时,生成第二检测结果,所述第二检测结果用于指示所述服务器不存在XSS漏洞。
在第一方面的又一种可能设计中,所述遍历第一请求包中的用户属性参数之前,所述方法还包括:
获取所述第一请求包。
可选的,所述获取所述第一请求包,包括:
接收所述待检测Web应用程序发送的第一请求包;
或,
响应于用户对于所述待检测Web应用程序中控件的点击操作,生成第一请求包。
可选的,所述方法还包括:
根据所述第一请求包中的数据的数据类型,获取所述第一请求包中的用户属性参数。
第二方面,本申请实施例提供一种XSS漏洞的检测装置,包括:
处理模块,用于将第一请求包中的任一用户属性参数删除,并在被删除的所述用户属性参数的原先位置处添加对应的请求包标识,生成至少一个第二请求包,所述第一请求包是待检测全球广域网Web应用程序生成的,所述第一请求包包括至少一个用户属性参数;
发送模块,用于将所述至少一个第二请求包发送给所述待检测Web应用程序对应的服务器;
获取模块,用于接收所述服务器返回的至少一个第一响应包,在任一第一响应包中存在目标请求包标识时,从第一请求包中获取所述目标请求包标识对应的目标第一请求包,每个第一响应包是所述服务器根据一个第二请求包处理得到的;
所述处理模块,还用于将所述目标第一请求包中的目标请求包标识删除,并根据所述目标第一请求包中的参数组织形式,在所述目标第一请求包中添加可以使跨站脚本攻击XSS漏洞攻击成功的负载,生成目标请求包;
所述发送模块,还用于将所述目标请求包发送至所述服务器;
所述处理模块,还用于接收所述服务器返回的第二响应包,并控制所述待检测Web应用程序渲染所述第二响应包,获得第一检测结果,所述第一检测结果包括所述服务器存在XSS漏洞或所述服务器不存在XSS漏洞。
在第二方面的一种可能设计中,所述处理模块,具体用于:
向所述待检测Web应用程序所在的终端设备发送渲染指令,所述渲染指令用于指示所述待检测Web应用程序对所述第二响应包进行渲染;
接收所述终端设备发送的第一检测结果,所述第一检测结果是所述待检测Web应用程序执行所述渲染指令后,根据渲染结果得到的。
在第二方面的另一种可能设计中,所述处理模块,具体用于:
控制所述待检测Web应用程序渲染所述第二响应包;
利用所述待检测Web应用程序中预先安装的浏览器插件获取所述文档对象模型DOM树的当前数据值;
在所述当前数据值与所述DOM树的原始数据不一致时,所述第一检测结果为所述服务器存在XSS漏洞;
在所述当前数据值与所述DOM树的原始数据一致时,所述第一检测结果为所述服务器不存在XSS漏洞。
可选的,所述待检测Web应用程序中预先安装有代理插件,所述代理插件用于对所述待检测Web应用程序的超文本传输协议HTTP流量进行代理。
在第二方面的再一种可能设计中,所述接收所述服务器返回的至少一个第一响应包之后,所述处理模块,还用于在任一第一响应包中均不存在请求包标识时,生成第二检测结果,所述第二检测结果用于指示所述服务器不存在XSS漏洞。
在第二方面的又一种可能设计中,所述遍历第一请求包中的用户属性参数之前,所述获取模块,还用于获取所述第一请求包。
可选的,所述获取模块,具体用于:接收所述待检测Web应用程序发送的第一请求包;
或,
响应于用户对于所述待检测Web应用程序中控件的点击操作,生成第一请求包。
可选的,所述获取模块,还用于根据所述第一请求包中的数据的数据类型,获取所述第一请求包中的用户属性参数。
第三方面,本申请实施例提供一种电子设备,包括:处理器、收发器、存储器及存储在所述存储器上并可在处理器上运行的计算机程序指令,所述处理器执行所述计算机程序指令时用于实现第一方面以及各可能设计提供的方法。
第四方面,本申请实施例可提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机执行指令,所述计算机执行指令被处理器执行时用于实现第一方面以及各可能设计提供的方法。
第五方面,本申请实施例提供一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时用于实现第一方面以及各可能设计提供的方法。
本申请实施例提供的XSS漏洞的检测方法、装置、设备及介质,通过将第一请求包中的任一用户属性参数删除,并在被删除的用户属性参数的原先位置处添加对应的请求包标识,生成至少一个第二请求包,将至少一个第二请求包发送给待检测Web应用程序对应的服务器,接收服务器返回的至少一个第一响应包,在任一第一响应包中存在目标请求包标识时,从第一请求包中获取目标请求包标识对应的目标第一请求包,将目标第一请求包中的目标请求包标识删除,并根据目标第一请求包中的参数组织形式,在目标第一请求包中添加可以使跨站脚本攻击XSS漏洞攻击成功的负载,生成目标请求包,将目标请求包发送至服务器,接收服务器返回的第二响应包,并控制待检测Web应用程序渲染第二响应包,获得第一检测结果。能够在用户日常使用Web应用程序时对Web应用程序对应的服务器进行XSS漏洞检测,提高了用户的使用感受。同时,本申请还利用第二请求包判断服务器存在XSS漏洞的可能性,在服务器可能存在XSS漏洞时,对其进行进一步检测,有效提高了XSS漏洞检测的效率。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本申请的实施例,并与说明书一起用于解释本申请的原理。
图1为本申请实施例提供的XSS漏洞的检测方法的一种应用场景示意图;
图2为本申请实施例提供的XSS漏洞的检测方法实施例一的流程示意图;
图3为本申请实施例提供的XSS漏洞的检测方法实施例二的流程示意图;
图4为本申请实施例提供的XSS漏洞的检测装置的结构示意图;
图5为本申请实施例提供的电子设备的结构示意图。
通过上述附图,已示出本公开明确的实施例,后文中将有更详细的描述。这些附图和文字描述并不是为了通过任何方式限制本公开构思的范围,而是通过参考特定实施例为本领域技术人员说明本公开的概念。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
在介绍本申请的实施例之前,首先对本申请实施例的应用背景进行解释:
XSS是一种安全漏洞,XSS漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面中,当正常用户访问该页面时,则可导致嵌入的恶意脚本代码的执行,从而达到恶意攻击用户的目的。
其中,XSS漏洞主要分为以下三类:
存储型XSS:存储型XSS的脚本属于注入型脚本,是永久存储在目标服务器上的,如存在于个人信息或发表文章等地方,如果没有过滤或过滤不严,那么这些代码将储存到服务器中。当浏览器请求数据时,脚本会从服务器传输至浏览器并执行。
反射型XSS:攻击者事先制作好攻击链接,需要欺骗用户自己去点击链接才能触发XSS代码(服务器中没有这样的页面和内容),一般容易出现在搜索页面。当用户点击一个恶意链接,或者提交一个表单,或者进入一个恶意网站时,Web服务器将注入脚本(比如一个错误信息,搜索结果等)返回到用户的浏览器上。由于浏览器认为这个响应来自“可信任”的服务器,所以浏览器会执行这段脚本。
DOM型XSS:通过修改原始的客户端代码,从而改变受害者浏览器中的DOM环境,导致有效负载的执行。也就是说,页面本身并没有变化,但由于DOM环境被恶意修改,有客户端代码被包含进了页面,并且意外执行。
在一种具体的应用场景中,用户在浏览网站、使用即时通讯软件、甚至在阅读电子邮件时,通常会点击其中的链接。攻击者通过在链接中插入恶意代码,就能够盗取用户信息。攻击者通常会用十六进制(或其他编码方式)将链接编码,以免用户怀疑它的合法性。网站在接收到包含恶意代码的请求之后会产成一个包含恶意代码的页面,而这个页面看起来就像是那个网站应当生成的合法页面一样。例如,许多论坛程序允许用户发表包含HTML和javascript的帖子,假设用户甲发表了一篇包含恶意脚本的帖子,那么用户乙在浏览这篇帖子时,恶意脚本就会执行,从而盗取用户乙的个人信息,达到冒充用户乙的目的。
攻击者可以使用户在浏览器中执行其预定义的恶意脚本,其导致的危害可想而知,如劫持用户会话,插入恶意内容、重定向用户、使用恶意软件劫持用户浏览器、繁殖XSS蠕虫,甚至破坏网站、修改路由器配置信息等。因此,对网站中的XSS漏洞进行检测,是至关重要的。
现有技术中,对网站中的XSS漏洞进行检测主要通过抓取HTTP协议的Web页面,然后对Web页面进行解析,以获取Web页面对应的DOM树;同时,提取Web页面中的嵌入式的URL链接及调用参数,根据URL链接及调用参数传递,检索对应的外部JavaScript文件集,以获取相关请求信息的脚本内容;之后,检索服务器返回的HTTP响应信息,获取相关的脚本集,将获取到的响应信息中的脚本集和URL链接中检索到的请求信息中的脚本集进行相似性检测,通过是否检测到相似性来判断是否存在XSS漏洞。
然而,现有技术需要单独收集URL链接,在用户正常访问网站时无法无感的对网站进行XSS漏洞检测,可能存在用户体验较差的问题。
针对上述问题,本申请的发明构思如下:由于现有技术只能在对网站进行测试时对网站中的XSS漏洞进行检测,而在测试期间用户无法正常访问该网站,存在用户体验较差的问题。基于此,发明人发现,若在用户正常访问网站时,通过对http流量进行代理获取相应的请求包,并将请求包中的用户属性参数(如用户名、手机号码、密码等)用请求包标识进行替代,若服务器返回的响应包中存在该请求包标识,则认为该服务器可能存在XSS漏洞。进一步的,将请求包中的请求包标识用可以使XSS漏洞攻击成功的负载进行替代,并发送给服务器,在接受到服务器返回的响应包后,控制待检测Web应用程序渲染第二响应包,从而就能在用户无感的情况下得到检测结果,就能解决现有技术中用户体验较差的问题。
示例性的,本申请实施例提供的XSS漏洞的检测方法可以应用于图1所示的一种应用场景示意图中。图1为本申请实施例提供的XSS漏洞的检测方法的一种应用场景示意图,用以解决上述技术问题。如图1所示,该应用场景可以包括:用户终端设备11、代理服务器12、和Web服务器13,代理服务器12分别与用户终端设备11和Web服务器13进行通讯连接。
在本实施例中,用户终端设备中预先安装有待检测Web应用程序,在用户日常使用待检测Web应用程序时,响应于用户对待检测Web应用程序中控件的点击操作,生成请求包,并发送给代理服务器12。
可选的,代理服务器12接收用户终端设备发送的请求包后,执行XSS漏洞的检测方法的程序代码,并将处理后的请求包发送给Web服务器13。Web服务器13接收代理服务器12发送的请求包,并对该请求包进行处理,生成对应的响应包,并发送给代理服务器12。
可选的,代理服务器12还可以控制待检测Web应用程序对响应包进行渲染,从而得到检测结果。
在实际应用中,由于安装有待测试Web应用程序的用户终端设备也是具有数据处理能力的处理设备,因而,上述图1所示应用场景中的代理服务器可以由用户终端设备实现。其中,代理服务器还可以由没有安装待测试Web应用程序的终端设备(也称为检测终端设备)实现。在本申请的实施例中,可以将服务器、用户终端设备和检测终端设备统称为电子设备。
下面,通过具体实施例对本申请的技术方案进行详细说明。
需要说明的是,下面这几个具体的实施例可以相互结合,对于相同或相似的概念或过程可能在某些实施例中不再赘述。
图2为本申请实施例提供的XSS漏洞的检测方法实施例一的流程示意图。如图2所示,该XSS漏洞的检测方法可以包括如下步骤:
S21:将第一请求包中的任一用户属性参数删除,并在被删除的用户属性参数的原先位置处添加对应的请求包标识,生成至少一个第二请求包。
在本申请实施例中,本实施例的执行主体为电子设备。其中电子设备可以为服务器,还可以为用户终端设备或检测终端设备,将在下述步骤中对执行主体分别为服务器、用户终端设备或检测终端设时的具体实现方式进行详细展开说明。
应理解,在执行主体为用户终端设备时,该待检测Web应用程序需要预先安装有代理插件,代理插件用于对待检测Web应用程序的超文本传输协议HTTP流量进行代理。
可选的,用户终端设备还可以预先内置自签名证书,利用自签名证书对用户终端设备中的待检测Web应用程序的超文本传输安全协议(Hyper Text Transfer Protocolover SecureSocket Layer,HTTPS)流量进行代理。
示例性的,代理插件可以为burpsuite插件,还可以为其他现有技术中的代理插件,可以根据实际情况进行选择,本申请实施例对此不进行限定。
可选的,待检测Web应用程序还可以通过mitmproxy等现成的工具或模块对待检测Web应用程序的HTTPS和/或HTTP流量进行代理。
在本步骤中,电子设备可以对预先获取的第一请求包进行处理,生成至少一个第二请求包,以便于后续利用至少一个第二请求包获取服务器存在XSS漏洞的可能性。
其中,第一请求包是待检测Web应用程序生成的,第一请求包包括至少一个用户属性参数;
示例性的,用户属性参数可以为用户名,可以为用户身份证号,电话号码,还可以为用户的社交账号密码,银行卡密码,还可以包含其它需要保护的,与用户信息有关的参数,本申请实施例对此不进行具体限制。
可选的,请求包标识可以为通用唯一识别码(Universally Unique Identifier,UUID)。
示例性的,以第一请求包中包含两个用户属性及对应的用户属性参数(分别为用户名:admin;密码:123456),请求包标识为UUID为例进行举例说明。电子设备将首先将admin删除,并在被删除的admin的所在的位置添加对应的请求包标识(UUID1),从而获取一个第二请求包,该第二请求包中的两个用户属性及对应的用户属性参数分别为用户名:UUID1;密码123456。同样的,电子设备还需要将123456删除,并在被删除的123456的所在的位置添加对应的请求包标识(UUID2),从而获取另一个第二请求包,该第二请求包中的两个用户属性及对应的用户属性参数分别为用户名:admin;密码UUID2。
S22:将至少一个第二请求包发送给待检测Web应用程序对应的服务器。
其中,待检测Web应用程序对应的服务器也就是图1对应实施例中的Web服务器。
对于服务器来说,则接收电子设备发送的至少一个第二请求包,针对每个第二请求包进行处理,从而生成至少一个第一响应包,并将至少一个第一响应包发送给电子设备。
其中,每个第一响应包是服务器根据一个第二请求包处理得到的。
S23:接收服务器返回的至少一个第一响应包,在任一第一响应包中存在目标请求包标识时,从第一请求包中获取目标请求包标识对应的目标第一请求包。
在本步骤中,电子设备需要对每个第一响应包中的内容进行检索,查看其中是否存在目标请求包标识。在任一第一响应包中存在目标请求包标识时,则代表该第一响应包可能为产生XSS漏洞的接口,因此需要从第一请求包中获取目标请求包标识对应的目标第一请求包,该目标请求包标识在目标第一请求包的位置处可能存XSS漏洞。
其中,第一响应包的数量与第二请求包的数量一致。
S24:将目标第一请求包中的目标请求包标识删除,并根据目标第一请求包中的参数组织形式,在目标第一请求包中添加可以使跨站脚本攻击XSS漏洞攻击成功的负载,生成目标请求包;
在本步骤中,在确定目标第一请求包可能产生XSS漏洞的接口后,需要对其进一步检测,确定服务器是否存在XSS漏洞。
示例性的,以目标第一请求包中的两个用户属性及对应的用户属性参数分别为用户名:UUID1;密码:123456为例进行举例说明。在目标第一请求包中,用户属性为用户名处可能存在产生XSS漏洞的接口。电子设备将UUID1进行删除,并将代码<svg/onload="alert(1)">(也就是负载)添加至目标第一请求包中,获得目标请求包,目标请求包中的用户属性及对应的用户属性参数分别为用户名:<svg/onload="alert(1)">;密码:123456。
示例性的,负载(英文:payload)可以根据目标第一请求包中的参数组织形式(英文:Content-Type)进行确定,具体实现过程可以参照现有技术中存在的实现方式,在此不再赘述。
示例性的,确定负载后还可以对目标第一请求包进行处理,以便于后续将负载的添加至目标第一请求包中,以下为5种对目标第一请求包进行处理的示例。
1),目标第一请求包的参数组织形式为js,且目标请求包标识包含在双引号或单引号变量中,则尝试闭合引号,并注入js中xss payload。
2),目标第一请求包的参数组织形式为js,且目标请求包标识包含在多行注释符中,则反向闭合注释符,并注入js中xss payload。
3),目标第一请求包的参数组织形式为js,且目标请求包标识直接包含在js中,注入js中xss payload。
4),目标第一请求包的参数组织形式为html,且目标请求包标识直接包含在body标签中,则注入html中标签形式的xss payload,举例来说,xss payload可以为如<svg/onload="alert(1)">,<img src=x onerror=alert(1)>、<script>alert(1);</script>等。
5),目标第一请求包的参数组织形式为html,且目标请求包标识包含在任一标签的属性中,目标请求包标识包含在双引号或单引号变量中,则闭合引号,并注入标签属性的xss payload,举例来说,xss payload可以为"onmouseover="alert(1)"。
S25:将目标请求包发送至服务器;
对于服务器来说,则接收电子设备发送的目标请求包,针对目标请求包进行处理,从而生成第二响应包,并将第二响应包发送给电子设备。
S26:接收服务器返回的第二响应包,并控制待检测Web应用程序渲染第二响应包,获得第一检测结果,
在本步骤中,电子设备需要接收服务器发送的第二响应包,以便于控制待检测Web应用程序渲染第二响应包,从而验证服务器中是否存在XSS漏洞。
其中,第一检测结果包括服务器存在XSS漏洞或服务器不存在XSS漏洞。
以执行主体为服务器或者检测终端设备为例进行具体说明。服务器或者检测终端设备向待检测Web应用程序所在的用户终端设备发送渲染指令,渲染指令用于指示待检测Web应用程序对第二响应包进行渲染。同时对于待检测Web应用程序所在的用户终端设备来说,则根据渲染指令利用第二响应包对待检测Web应用程序进行渲染,并根据渲染结果得到第一检测结果,将第一检测结果发送给服务器或者检测终端设备。服务器或者检测终端设备接收用户终端设备发送的第一检测结果。
以执行主体为用户终端设备为例进行举例说明。用户终端设备控制待检测Web应用程序渲染第二响应包,利用待检测Web应用程序中预先安装的浏览器插件获取DOM树的当前数据值,在当前数据值与DOM树的原始数据不一致时,第一检测结果为服务器存在XSS漏洞,在当前数据值与DOM树的原始数据一致时,第一检测结果为服务器不存在XSS漏洞。
其中,浏览器插件可以为用户自行开发的插件,也可以是现有技术中存在的插件,可以根据实际需求进行确定,本申请实施例对此不进行具体限制。浏览器插件主要用于在待检测Web应用程序中的每个页面上添加js代码来增强待检测Web应用程序使用性,并对DOM树中的数据进行监控。
本申请实施例提供的XSS漏洞的检测方法,通过将第一请求包中的任一用户属性参数删除,并在被删除的用户属性参数的原先位置处添加对应的请求包标识,生成至少一个第二请求包,将至少一个第二请求包发送给待检测Web应用程序对应的服务器,接收服务器返回的至少一个第一响应包,在任一第一响应包中存在目标请求包标识时,从第一请求包中获取目标请求包标识对应的目标第一请求包,将目标第一请求包中的目标请求包标识删除,并根据目标第一请求包中的参数组织形式,在目标第一请求包中添加可以使跨站脚本攻击XSS漏洞攻击成功的负载,生成目标请求包,将目标请求包发送至服务器,接收服务器返回的第二响应包,并控制待检测Web应用程序渲染第二响应包,获得第一检测结果。本方案能够在用户日常使用待检测Web应用程序时对待检测Web应用程序对应的服务器进行XSS漏洞检测,提高了用户的使用感受。同时,本申请还利用第二请求包判断服务器存在XSS漏洞的可能性,在服务器可能存在XSS漏洞时,对其进行进一步检测,有效提高了XSS漏洞检测的效率。
可选的,在一些实施例中,电子设备在接收服务器返回的至少一个第一响应包之后,XSS漏洞的检测方法还包括在任一第一响应包中均不存在请求包标识时,生成第二检测结果,第二检测结果用于指示服务器不存在XSS漏洞。
可选的,在一些实施例中,在S21之前,XSS漏洞的检测方法还包括获取第一请求包。
以执行主体为服务器或者检测终端设备为例进行具体说明,服务器或检测终端设备接收待检测Web应用程序发送的第一请求包,从而获取第一请求包。
以执行主体为用户终端设备为例进行举例说明,用户终端设备响应于用户对于待检测Web应用程序中控件的点击操作,生成第一请求包。
可选的,在一些实施例中,在获取第一请求包之后,电子设备还可以根据第一请求包中的数据的数据类型,获取第一请求包中的用户属性参数。
示例性的,用户属性参数可以为GET型参数或POST型参数,以POST型参数为例进行举例说明,电子设备可以利用MIME header判断POST主体的参数组织形式,参数组织形式可以为json或xml等,并根据参数组织形式获取对应的用户属性参数。
在本实施例中,请求包中的数据可以通过代码形式进行表示。如请求包中包含两个用户属性及对应的用户属性参数分别为用户名:admin;密码:123456,则可以通过代码username=admin&password=123456进行表示,应理解,电子设备还可以通过其他的代码形式对请求包中的数据进行表示,本申请实施例对此不进行具体限制。
图3为本申请实施例提供的XSS漏洞的检测方法实施例二的流程示意图。如图3所示,该XSS漏洞的检测方法可以包括如下步骤:
S31:响应于用户对于待检测Web应用程序中控件的点击操作,生成第一请求包,并将第一请求包发送给代理服务器。
对于代理服务器来说,则接收用户终端设备发送的第一请求。
S32:将第一请求包中的任一用户属性参数删除,并在被删除的用户属性参数的原先位置处添加对应的请求包标识,生成至少一个第二请求包,并将第二请求包发送给Web服务器。
对于Web服务器来说,则接收代理服务器发送的至少一个第二请求包,并根据至少一个第二请求包生成至少一个第一响应包,并发送给代理服务器。
S32:接收Web服务器返回的至少一个第一响应包,判断是否有第一响应包中存在目标请求包标识。若没有,则生成第二检测结果,第二检测结果用于指示服务器不存在XSS漏洞;若有,则执行S33。
S33:将存在目标请求包标识的第一响应包确定为目标第一请求包,将目标第一请求包中的目标请求包标识删除,并根据目标第一请求包中的参数组织形式,在目标第一请求包中添加可以使跨站脚本攻击XSS漏洞攻击成功的负载,生成目标请求包,并将目标请求包发送给Web服务器。
对于Web服务器来说,则接收代理服务器发送的目标请求包,并根据目标请求包生成第二响应包,并发送给代理服务器。
S34:接收Web服务器发送的第二响应包,并向用户终端设备发送渲染指令。
渲染指令用于指示待检测Web应用程序对第二响应包进行渲染。
对于用户终端设备来说,则接收代理服务器发送的渲染指令。
S35:待检测Web应用程序利用预先安装的浏览器插件根据渲染指令对第二响应包进行渲染,并获得渲染结果。
S36:将渲染结果发送给代理服务器。
下述为本申请装置实施例,可以用于执行本申请方法实施例。对于本申请装置实施例中未披露的细节,请参照本申请方法实施例。
图4为本申请实施例提供的XSS漏洞的检测装置的结构示意图。如图4所示,该XSS漏洞的检测装置包括:
处理模块41,用于将第一请求包中的任一用户属性参数删除,并在被删除的用户属性参数的原先位置处添加对应的请求包标识,生成至少一个第二请求包,第一请求包是待检测全球广域网Web应用程序生成的,第一请求包包括至少一个用户属性参数;
发送模块42,用于将至少一个第二请求包发送给待检测Web应用程序对应的服务器;
获取模块43,用于接收服务器返回的至少一个第一响应包,在任一第一响应包中存在目标请求包标识时,从第一请求包中获取目标请求包标识对应的目标第一请求包,每个第一响应包是服务器根据一个第二请求包处理得到的;
处理模块41,还用于将目标第一请求包中的目标请求包标识删除,并根据目标第一请求包中的参数组织形式,在目标第一请求包中添加可以使跨站脚本攻击XSS漏洞攻击成功的负载,生成目标请求包;
发送模块42,还用于将目标请求包发送至服务器;
处理模块41,还用于接收服务器返回的第二响应包,并控制待检测Web应用程序渲染第二响应包,获得第一检测结果,第一检测结果包括服务器存在XSS漏洞或服务器不存在XSS漏洞。
在本申请实施例的一种可能设计中,处理模块41,具体用于:
向待检测Web应用程序所在的终端设备发送渲染指令,渲染指令用于指示待检测Web应用程序对第二响应包进行渲染;
接收终端设备发送的第一检测结果,第一检测结果是待检测Web应用程序执行渲染指令后,根据渲染结果得到的。
在本申请实施例的另一种可能设计中,处理模块41,具体用于:
控制待检测Web应用程序渲染第二响应包;
利用待检测Web应用程序中预先安装的浏览器插件获取DOM树的当前数据值;
在当前数据值与DOM树的原始数据不一致时,第一检测结果为服务器存在XSS漏洞;
在当前数据值与DOM树的原始数据一致时,第一检测结果为服务器不存在XSS漏洞。
可选的,待检测Web应用程序中预先安装有代理插件,代理插件用于对待检测Web应用程序的超文本传输协议HTTP流量进行代理。
在本申请实施例的再一种可能设计中,接收服务器返回的至少一个第一响应包之后,处理模块41,还用于在任一第一响应包中均不存在请求包标识时,生成第二检测结果,第二检测结果用于指示服务器不存在XSS漏洞。
在本申请实施例的又一种可能设计中,遍历第一请求包中的用户属性参数之前,获取模块43,还用于获取第一请求包。
可选的,获取模块43,具体用于:接收待检测Web应用程序发送的第一请求包;
或,
响应于用户对于待检测Web应用程序中控件的点击操作,生成第一请求包。
可选的,获取模块43,还用于根据第一请求包中的数据的数据类型,获取第一请求包中的用户属性参数。
本申请实施例提供的XSS漏洞的检测装置,可用于执行上述任一实施例中的XSS漏洞的检测方法,其实现原理和技术效果类似,在此不再赘述。
需要说明的是,应理解以上装置的各个模块的划分仅仅是一种逻辑功能的划分,实际实现时可以全部或部分集成到一个物理实体上,也可以物理上分开。且这些模块可以全部以软件通过处理元件调用的形式实现;也可以全部以硬件的形式实现;还可以部分模块通过处理元件调用软件的形式实现,部分模块通过硬件的形式实现。此外,这些模块全部或部分可以集成在一起,也可以独立实现。这里所述的处理元件可以是一种集成电路,具有信号的处理能力。在实现过程中,上述方法的各步骤或以上各个模块可以通过处理器元件中的硬件的集成逻辑电路或者软件形式的指令完成。
图5为本申请实施例提供的电子设备的结构示意图。如图5所示,该电子设备可以包括:处理器51、收发器52、存储器53及存储在所述存储器53上并可在处理器51上运行的计算机程序指令,所述处理器51执行所述计算机程序指令时实现前述任一实施例提供的XSS漏洞的检测方法。
可选的,电子设备还可以包括与其他设备进行交互的接口。
可选的,该电子设备的上述各个器件之间可以通过系统总线连接。
可选的,收发器52用于和其他计算机进行通信,该收发器52构成通信接口。
可选的,在硬件实现上,上述图4所示实施例中的:发送模块42和获取模块43对应于本实施例中的收发器52,上述图4所示实施例中的处理模块41对应于本实施例中的处理器51。
存储器53可以是单独的存储单元,也可以是集成在处理器中的存储单元。处理器的数量为一个或者多个。
应理解,处理器51可以是中央处理单元(Central Processing Unit,CPU),还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本申请所公开的方法的步骤可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。
系统总线可以是外设部件互连标准(peripheral component interconnect,PCI)总线或扩展工业标准结构(extended industry standard architecture,EISA)总线等。系统总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。存储器可能包括随机存取存储器(randomaccess memory,RAM),也可能还包括非易失性存储器(non-volatile memory,NVM),例如至少一个磁盘存储器。
实现上述各方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于一可读取存储器中。该程序在执行时,执行包括上述各方法实施例的步骤;而前述的存储器(存储介质)包括:只读存储器(read-only memory,ROM)、RAM、快闪存储器、硬盘、固态硬盘、磁带(英文:magnetic tape)、软盘(英文:floppy disk)、光盘(英文:optical disc)及其任意组合。
本申请实施例提供的电子设备,可用于执行上述任一方法实施例提供的XSS漏洞的检测方法,其实现原理和技术效果类似,在此不再赘述。
本申请实施例提供一种计算机可读存储介质,该计算机可读存储介质中存储有计算机指令,当该计算机指令在计算机上运行时,使得计算机执行上述XSS漏洞的检测方法。
上述的计算机可读存储介质,上述可读存储介质可以是由任何类型的易失性或非易失性存储设备或者它们的组合实现,如静态随机存取存储器,电可擦除可编程只读存储器,可擦除可编程只读存储器,可编程只读存储器,只读存储器,磁存储器,快闪存储器,磁盘或光盘。可读存储介质可以是通用或专用计算机能够存取的任何可用介质。
可选的,将可读存储介质耦合至处理器,从而使处理器能够从该可读存储介质读取信息,且可向该可读存储介质写入信息。当然,可读存储介质也可以是处理器的组成部分。处理器和可读存储介质可以位于专用集成电路(Application Specific IntegratedCircuits,ASIC)中。当然,处理器和可读存储介质也可以作为分立组件存在于设备中。
本申请实施例还提供一种计算机程序产品,该计算机程序产品包括计算机程序,该计算机程序存储在计算机可读存储介质中,至少一个处理器可以从该计算机可读存储介质中读取该计算机程序,所述至少一个处理器执行所述计算机程序时可实现上述XSS漏洞的检测方法。
应当理解的是,本公开并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本公开的范围仅由所附的权利要求书来限制。
Claims (19)
1.一种XSS漏洞的检测方法,其特征在于,包括:
将第一请求包中的任一用户属性参数删除,并在被删除的所述用户属性参数的原先位置处添加对应的请求包标识,生成至少一个第二请求包,所述第一请求包是待检测全球广域网Web应用程序生成的,所述第一请求包包括至少一个用户属性参数;
将所述至少一个第二请求包发送给所述待检测Web应用程序对应的服务器;
接收所述服务器返回的至少一个第一响应包,在任一第一响应包中存在目标请求包标识时,从第一请求包中获取所述目标请求包标识对应的目标第一请求包,每个第一响应包是所述服务器根据一个第二请求包处理得到的;
将所述目标第一请求包中的目标请求包标识删除,并根据所述目标第一请求包中的参数组织形式,在所述目标第一请求包中添加可以使跨站脚本攻击XSS漏洞攻击成功的负载,生成目标请求包;
将所述目标请求包发送至所述服务器;
接收所述服务器返回的第二响应包,并控制所述待检测Web应用程序渲染所述第二响应包,获得第一检测结果,所述第一检测结果包括所述服务器存在XSS漏洞或所述服务器不存在XSS漏洞。
2.根据权利要求1所述的方法,其特征在于,所述控制所述待检测Web应用程序渲染所述第二响应包,获得第一检测结果,包括:
向所述待检测Web应用程序所在的终端设备发送渲染指令,所述渲染指令用于指示所述待检测Web应用程序对所述第二响应包进行渲染;
接收所述终端设备发送的第一检测结果,所述第一检测结果是所述待检测Web应用程序执行所述渲染指令后,根据渲染结果得到的。
3.根据权利要求1所述的方法,其特征在于,所述控制所述待检测Web应用程序渲染所述第二响应包,获得第一检测结果,包括:
控制所述待检测Web应用程序渲染所述第二响应包;
利用所述待检测Web应用程序中预先安装的浏览器插件获取所述文档对象模型DOM树的当前数据值;
在所述当前数据值与所述DOM树的原始数据不一致时,所述第一检测结果为所述服务器存在XSS漏洞;
在所述当前数据值与所述DOM树的原始数据一致时,所述第一检测结果为所述服务器不存在XSS漏洞。
4.根据权利要求3所述的方法,其特征在于,所述待检测Web应用程序中预先安装有代理插件,所述代理插件用于对所述待检测Web应用程序的超文本传输协议HTTP流量进行代理。
5.根据权利要求1所述的方法,其特征在于,所述接收所述服务器返回的至少一个第一响应包之后,所述方法还包括:
在任一第一响应包中均不存在请求包标识时,生成第二检测结果,所述第二检测结果用于指示所述服务器不存在XSS漏洞。
6.根据权利要求1所述的方法,其特征在于,所述遍历第一请求包中的用户属性参数之前,所述方法还包括:-
获取所述第一请求包。
7.根据权利要求6所述的方法,其特征在于,所述获取所述第一请求包,包括:
接收所述待检测Web应用程序发送的第一请求包;
或,
响应于用户对于所述待检测Web应用程序中控件的点击操作,生成第一请求包。
8.根据权利要求6所述的方法,其特征在于,所述方法还包括:
根据所述第一请求包中的数据的数据类型,获取所述第一请求包中的用户属性参数。
9.一种XSS漏洞的检测装置,其特征在于,包括:
处理模块,用于将第一请求包中的任一用户属性参数删除,并在被删除的所述用户属性参数的原先位置处添加对应的请求包标识,生成至少一个第二请求包,所述第一请求包是待检测全球广域网Web应用程序生成的,所述第一请求包包括至少一个用户属性参数;
发送模块,用于将所述至少一个第二请求包发送给所述待检测Web应用程序对应的服务器;
获取模块,用于接收所述服务器返回的至少一个第一响应包,在任一第一响应包中存在目标请求包标识时,从第一请求包中获取所述目标请求包标识对应的目标第一请求包,每个第一响应包是所述服务器根据一个第二请求包处理得到的;
所述处理模块,还用于将所述目标第一请求包中的目标请求包标识删除,并根据所述目标第一请求包中的参数组织形式,在所述目标第一请求包中添加可以使跨站脚本攻击XSS漏洞攻击成功的负载,生成目标请求包;
所述发送模块,还用于将所述目标请求包发送至所述服务器;
所述处理模块,还用于接收所述服务器返回的第二响应包,并控制所述待检测Web应用程序渲染所述第二响应包,获得第一检测结果,所述第一检测结果包括所述服务器存在XSS漏洞或所述服务器不存在XSS漏洞。
10.根据权利要求9所述的装置,其特征在于,所述处理模块,具体用于:
向所述待检测Web应用程序所在的终端设备发送渲染指令,所述渲染指令用于指示所述待检测Web应用程序对所述第二响应包进行渲染;
接收所述终端设备发送的第一检测结果,所述第一检测结果是所述待检测Web应用程序执行所述渲染指令后,根据渲染结果得到的。
11.根据权利要求9所述的装置,其特征在于,所述处理模块,具体用于:
控制所述待检测Web应用程序渲染所述第二响应包;
利用所述待检测Web应用程序中预先安装的浏览器插件获取所述文档对象模型DOM树的当前数据值;
在所述当前数据值与所述DOM树的原始数据不一致时,所述第一检测结果为所述服务器存在XSS漏洞;
在所述当前数据值与所述DOM树的原始数据一致时,所述第一检测结果为所述服务器不存在XSS漏洞。
12.根据权利要求11所述的装置,其特征在于,所述待检测Web应用程序中预先安装有代理插件,所述代理插件用于对所述待检测Web应用程序的超文本传输协议HTTP流量进行代理。
13.根据权利要求9所述的装置,其特征在于,所述接收所述服务器返回的至少一个第一响应包之后,所述处理模块,还用于在任一第一响应包中均不存在请求包标识时,生成第二检测结果,所述第二检测结果用于指示所述服务器不存在XSS漏洞。
14.根据权利要求9所述的装置,其特征在于,所述遍历第一请求包中的用户属性参数之前,所述获取模块,还用于获取所述第一请求包。
15.根据权利要求14所述的装置,其特征在于,所述获取模块,具体用于:接收所述待检测Web应用程序发送的第一请求包;
或,
响应于用户对于所述待检测Web应用程序中控件的点击操作,生成第一请求包。
16.根据权利要求14所述的装置,其特征在于,所述获取模块,还用于根据所述第一请求包中的数据的数据类型,获取所述第一请求包中的用户属性参数。
17.一种电子设备,包括:处理器、收发器、存储器及存储在所述存储器上并可在处理器上运行的计算机程序指令,其特征在于,所述处理器执行所述计算机程序指令时用于实现如权利要求1至8任一项所述的XSS漏洞的检测方法。
18.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机执行指令,所述计算机执行指令被处理器执行时用于实现如权利要求1至8任一项所述的XSS漏洞的检测方法。
19.一种计算机程序产品,包括计算机程序,其特征在于,所述计算机程序被处理器执行时用于实现如权利要求1至8任一项所述的XSS漏洞的检测方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111329252.5A CN114048483A (zh) | 2021-11-10 | 2021-11-10 | Xss漏洞的检测方法、装置、设备及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111329252.5A CN114048483A (zh) | 2021-11-10 | 2021-11-10 | Xss漏洞的检测方法、装置、设备及介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114048483A true CN114048483A (zh) | 2022-02-15 |
Family
ID=80208571
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111329252.5A Pending CN114048483A (zh) | 2021-11-10 | 2021-11-10 | Xss漏洞的检测方法、装置、设备及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114048483A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114598524A (zh) * | 2022-03-07 | 2022-06-07 | 北京百度网讯科技有限公司 | 检测代理工具的方法、装置、设备以及存储介质 |
-
2021
- 2021-11-10 CN CN202111329252.5A patent/CN114048483A/zh active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114598524A (zh) * | 2022-03-07 | 2022-06-07 | 北京百度网讯科技有限公司 | 检测代理工具的方法、装置、设备以及存储介质 |
| CN114598524B (zh) * | 2022-03-07 | 2023-11-17 | 北京百度网讯科技有限公司 | 检测代理工具的方法、装置、设备以及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9954855B2 (en) | Login method and apparatus, and open platform system | |
| US9900346B2 (en) | Identification of and countermeasures against forged websites | |
| KR101672791B1 (ko) | 모바일 웹 애플리케이션 환경에서의 취약점 탐지 방법 및 시스템 | |
| US10601865B1 (en) | Detection of credential spearphishing attacks using email analysis | |
| EP3113064B1 (en) | System and method for determining modified web pages | |
| US8826411B2 (en) | Client-side extensions for use in connection with HTTP proxy policy enforcement | |
| Kirda et al. | Client-side cross-site scripting protection | |
| CN111400722B (zh) | 扫描小程序的方法、装置、计算机设备和存储介质 | |
| US9813429B2 (en) | Method for secure web browsing | |
| EP3830726B1 (en) | Content policy based notification of application users about malicious browser plugins | |
| US11770385B2 (en) | Systems and methods for malicious client detection through property analysis | |
| CN108259619B (zh) | 网络请求防护方法及网络通信系统 | |
| US20190222587A1 (en) | System and method for detection of attacks in a computer network using deception elements | |
| CN113645234B (zh) | 基于蜜罐的网络防御方法、系统、介质及装置 | |
| US10474810B2 (en) | Controlling access to web resources | |
| CN114048483A (zh) | Xss漏洞的检测方法、装置、设备及介质 | |
| US10360379B2 (en) | Method and apparatus for detecting exploits | |
| US10757118B2 (en) | Method of aiding the detection of infection of a terminal by malware | |
| US11128639B2 (en) | Dynamic injection or modification of headers to provide intelligence | |
| JP6840708B2 (ja) | ウェブリソースの変更を検出するシステムおよび方法 | |
| Selvamani et al. | Protection of web applications from cross-site scripting attacks in browser side | |
| Patil | Request dependency integrity: validating web requests using dependencies in the browser environment | |
| Zammouri et al. | SafeBrowse: A new tool for strengthening and monitoring the security configuration of web browsers | |
| CN114285588A (zh) | 获取攻击对象信息的方法、装置、设备及存储介质 | |
| CN115695050B (zh) | 点击劫持攻击的防范方法、装置、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |