跨站式腳本漏洞檢測(cè)方法及裝置的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)安全領(lǐng)域�����,特別涉及一種跨站式腳本漏洞檢測(cè)方法及裝置���。
【背景技術(shù)】
[0002]跨站式腳本(Cross-Site Scripting�����,通常簡(jiǎn)稱為XSS)漏洞是指攻擊者在統(tǒng)一資源定位符(Uniform Resource Locator, URL)中插入惡意代碼,由于網(wǎng)絡(luò)服務(wù)器沒有過濾URL中的這些惡意代碼�����,因此導(dǎo)致URL所對(duì)應(yīng)的網(wǎng)頁內(nèi)容中具有惡意代碼���,從而導(dǎo)致這些惡意代碼被執(zhí)行��,達(dá)到攻擊正常用戶的目的。因此很有必要對(duì)URL進(jìn)行XSS漏洞的檢測(cè)�����。
[0003]在對(duì)URL進(jìn)行XSS漏洞檢測(cè)時(shí)����,首先對(duì)該URL進(jìn)行探測(cè),當(dāng)探測(cè)出該URL很可能存在XSS漏洞時(shí)�,則依次利用各個(gè)測(cè)試用例對(duì)該URL進(jìn)行XSS漏洞檢測(cè)�����,即將選取的一個(gè)測(cè)試用例添加至該URL中���,并將攜帶有該URL的請(qǐng)求發(fā)送給服務(wù)器���,接收服務(wù)器針對(duì)該請(qǐng)求返回的網(wǎng)頁內(nèi)容,檢測(cè)該網(wǎng)頁內(nèi)容中是否存在與該測(cè)試用例對(duì)應(yīng)的匹配值�����,若存在��,則表明該URL存在XSS漏洞��,否則��,使用下一個(gè)測(cè)試用例繼續(xù)對(duì)該URL進(jìn)行XSS漏洞檢測(cè)的步驟��。
[0004]在實(shí)現(xiàn)本發(fā)明的過程中,發(fā)明人發(fā)現(xiàn)現(xiàn)有技術(shù)至少存在以下問題:在探測(cè)到URL可能會(huì)存在XSS漏洞時(shí)���,需要依次通過測(cè)試用例對(duì)該URL進(jìn)行XSS漏洞的檢測(cè),直到確定出該URL存在XSS漏洞��,或者使用完所有測(cè)試用例確定出該URL不存在XSS漏洞為止����,檢測(cè)效率非常低。
【發(fā)明內(nèi)容】
[0005]為了解決現(xiàn)有技術(shù)中對(duì)URL進(jìn)行XSS漏洞檢測(cè)時(shí)��,檢測(cè)效率非常低的問題,本發(fā)明實(shí)施例提供了一種跨站式腳本漏洞檢測(cè)方法及裝置����。所述技術(shù)方案如下:
[0006]第一方面�����,提供了一種跨站式腳本漏洞檢測(cè)方法�����,所述方法包括:
[0007]利用預(yù)定的探測(cè)參數(shù)修改統(tǒng)一資源定位URL中的參數(shù)值�,向服務(wù)器發(fā)送用于獲取參數(shù)值被所述探測(cè)參數(shù)修改后的所述URL的網(wǎng)頁內(nèi)容的請(qǐng)求,以便所述服務(wù)器根據(jù)所述URL返回與所述URL相關(guān)的網(wǎng)頁內(nèi)容�;
[0008]當(dāng)接收到的所述服務(wù)器返回的所述網(wǎng)頁內(nèi)容中存在所述探測(cè)參數(shù)時(shí),則獲取所述探測(cè)參數(shù)在所述網(wǎng)頁內(nèi)容中的位置����;
[0009]根據(jù)所述位置處的標(biāo)簽屬性確定需要的測(cè)試用例的類型�;
[0010]根據(jù)所述類型下的測(cè)試用例對(duì)原始的所述URL進(jìn)行跨站式腳本漏洞的檢測(cè)�。
[0011]第二方面,提供了一種跨站式腳本漏洞檢測(cè)裝置�����,所述裝置包括:
[0012]參數(shù)修改模塊,用于利用預(yù)定的探測(cè)參數(shù)修改統(tǒng)一資源定位URL中的參數(shù)值����,向服務(wù)器發(fā)送用于獲取參數(shù)值被所述探測(cè)參數(shù)修改后的所述URL的網(wǎng)頁內(nèi)容的請(qǐng)求,以便所述服務(wù)器根據(jù)所述URL返回與所述URL相關(guān)的網(wǎng)頁內(nèi)容�����;
[0013]位置獲取模塊�����,用于當(dāng)接收到的所述服務(wù)器返回的所述網(wǎng)頁內(nèi)容中存在所述探測(cè)參數(shù)時(shí),則獲取所述探測(cè)參數(shù)在所述網(wǎng)頁內(nèi)容中的位置��;
[0014]類型確定模塊����,用于根據(jù)所述位置獲取模塊獲取的所述位置處的標(biāo)簽屬性確定需要的測(cè)試用例的類型����;
[0015]漏洞檢測(cè)模塊��,用于根據(jù)所述類型確定模塊確定的所述類型下的測(cè)試用例對(duì)原始的所述URL進(jìn)行跨站式腳本漏洞的檢測(cè)�����。
[0016]本發(fā)明實(shí)施例提供的技術(shù)方案帶來的有益效果是:
[0017]通過在探測(cè)出URL具有存在XSS漏洞的可能性時(shí)�,確定出對(duì)XSS漏洞進(jìn)行檢測(cè)時(shí)需要的測(cè)試用例的類型�,根據(jù)該類型下的測(cè)試用例對(duì)URL進(jìn)行XSS漏洞的檢測(cè)��;解決了現(xiàn)有技術(shù)中對(duì)URL進(jìn)行XSS漏洞檢測(cè)時(shí)�����,檢測(cè)效率非常低的問題�����;由于可以確定出URL中可能存在的XSS漏洞的類型,因此僅需要選取可以檢測(cè)到該類型XSS漏洞的測(cè)試用例即可實(shí)現(xiàn)對(duì)URL中XSS漏洞的檢測(cè)�,極大地降低了測(cè)試用例的個(gè)數(shù)�����,達(dá)到了很大程度上提高檢測(cè)的效率的效果。
【附圖說明】
[0018]為了更清楚地說明本發(fā)明實(shí)施例中的技術(shù)方案,下面將對(duì)實(shí)施例描述中所需要使用的附圖作簡(jiǎn)單地介紹�����,顯而易見地����,下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例����,對(duì)于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動(dòng)的前提下��,還可以根據(jù)這些附圖獲得其他的附圖�。
[0019]圖1是本發(fā)明部分實(shí)施例中提供的跨站式腳本漏洞檢測(cè)方法所涉及的實(shí)施環(huán)境示意圖����;
[0020]圖2是本發(fā)明一個(gè)實(shí)施例中提供的跨站式腳本漏洞檢測(cè)方法的方法流程圖;
[0021]圖3是本發(fā)明另一個(gè)實(shí)施例中提供的跨站式腳本漏洞檢測(cè)方法的方法流程圖�����;
[0022]圖4是本發(fā)明部分實(shí)施例中提供的確定測(cè)試用例的類型的流程圖�����;
[0023]圖5是本發(fā)明一個(gè)實(shí)施例中提供的跨站式腳本漏洞檢測(cè)裝置的結(jié)構(gòu)示意圖�;
[0024]圖6是本發(fā)明另一個(gè)實(shí)施例中提供的跨站式腳本漏洞檢測(cè)裝置的結(jié)構(gòu)示意圖�;
[0025]圖7是本發(fā)明一部分實(shí)施例中提供的終端的結(jié)構(gòu)方框圖�����;
[0026]圖8是本發(fā)明另一部分實(shí)施例中提供的終端的結(jié)構(gòu)方框圖���。
【具體實(shí)施方式】
[0027]為使本發(fā)明的目的��、技術(shù)方案和優(yōu)點(diǎn)更加清楚�,下面將結(jié)合附圖對(duì)本發(fā)明實(shí)施方式作進(jìn)一步地詳細(xì)描述。為了便于說明,文中在部分描述中將“跨站式腳本漏洞”描述為“XSS漏洞”����。
[0028]請(qǐng)參見圖1所示��,其示出了本發(fā)明部分實(shí)施例中提供的跨站式腳本漏洞檢測(cè)方法所涉及的實(shí)施環(huán)境示意圖,該實(shí)施環(huán)境可以包括終端120和服務(wù)器140�,終端120可以通過有線網(wǎng)絡(luò)方式或無線網(wǎng)絡(luò)方式與服務(wù)器140連接。
[0029]終端120中通常可以安裝有瀏覽器��,終端120可以將攜帶有URL的HTTP(HyperText Transfer Protocol,超文本傳輸協(xié)議)請(qǐng)求發(fā)送至服務(wù)器140���。終端120可以包括智能手機(jī)、臺(tái)式電腦����、平板電腦���、智能電視���、電子書閱讀器����、MP3播放器(Moving PictureExperts Group Aud1 Layer III,動(dòng)態(tài)影像專家壓縮標(biāo)準(zhǔn)音頻層面3)�����、MP4 (MovingPicture Experts Group Aud1 Layer IV,動(dòng)態(tài)影像專家壓縮標(biāo)準(zhǔn)音頻層面4)播放器、膝上型便攜計(jì)算機(jī)和臺(tái)式計(jì)算機(jī)等等。
[0030]服務(wù)器140可以對(duì)終端120發(fā)送的HTTP請(qǐng)求進(jìn)行解析,并將解析后得到的URL的網(wǎng)頁內(nèi)容返回給終端120��。服務(wù)器140可以是一臺(tái)服務(wù)器��,或者由若干臺(tái)服務(wù)器組成的服務(wù)器集群���,或者是一個(gè)云計(jì)算服務(wù)中心。
[0031]請(qǐng)參見圖2所示����,其示出了本發(fā)明一個(gè)實(shí)施例中提供的跨站式腳本漏洞檢測(cè)方法的方法流程圖,該跨站式腳本漏洞檢測(cè)方法主要以應(yīng)用于圖1所示的實(shí)施環(huán)境中的終端120中進(jìn)行舉例說明。該跨站式腳本漏洞檢測(cè)方法可以包括:
[0032]201���,利用預(yù)定的探測(cè)參數(shù)修改統(tǒng)一資源定位URL中的參數(shù)值���,向服務(wù)器發(fā)送用于獲取參數(shù)值被探測(cè)參數(shù)修改后的URL的網(wǎng)頁內(nèi)容的請(qǐng)求���,以便服務(wù)器根據(jù)該請(qǐng)求返回與URL相關(guān)的網(wǎng)頁內(nèi)容;
[0033]202���,當(dāng)接收到的服務(wù)器返回的網(wǎng)頁內(nèi)容中存在探測(cè)參數(shù)時(shí)�����,則獲取探測(cè)參數(shù)在網(wǎng)頁內(nèi)容中的位置�;
[0034]203��,根據(jù)位置處的標(biāo)簽屬性確定需要的測(cè)試用例的類型���;
[0035]204�,根據(jù)類型下的測(cè)試用例對(duì)原始的URL進(jìn)行跨站式腳本漏洞的檢測(cè)��。
[0036]綜上所述�,本發(fā)明實(shí)施例中提供的跨站式腳本漏洞檢測(cè)方法,通過在探測(cè)出URL具有存在跨站式腳本XSS漏洞的可能性時(shí)���,確定出對(duì)XSS漏洞進(jìn)行檢測(cè)時(shí)需要的測(cè)試用例的類型����,根據(jù)該類型下的測(cè)試用例對(duì)URL進(jìn)行XSS漏洞的檢測(cè)�����;解決了現(xiàn)有技術(shù)中對(duì)URL進(jìn)行XSS漏洞檢測(cè)時(shí),檢測(cè)效率非常低的問題;由于可以確定出URL中可能存在的XSS漏洞的類型��,因此僅需要選取可以檢測(cè)到該類型XSS漏洞的測(cè)試用例即可實(shí)現(xiàn)對(duì)URL中XSS漏洞的檢測(cè),極大地降低了測(cè)試用例的個(gè)數(shù),達(dá)到了很大程度上提高檢測(cè)的效率的效果�����,且由于可以探測(cè)參數(shù)所在的位置也就是非法代碼所在的位置,因此根據(jù)該位置確定的檢測(cè)用例能準(zhǔn)確的判定出URL是否存在XSS漏洞����,達(dá)到了可以提高檢測(cè)的準(zhǔn)確性的效果��。
[0037]請(qǐng)參見圖3所示����,其示出了本發(fā)明另一個(gè)實(shí)施例中提供的跨站式腳本漏洞檢測(cè)方法的方法流程圖,該跨站式腳本漏洞檢測(cè)方法主要以應(yīng)用于圖1所示的實(shí)施環(huán)境中的終端120中進(jìn)行舉例說明。該跨站式腳本漏洞檢測(cè)方法可以包括:
[0038]301�,利用預(yù)定的探測(cè)參數(shù)修改統(tǒng)一資源定位URL中的參數(shù)值���,向服務(wù)器發(fā)送用于獲取參數(shù)值被探測(cè)參數(shù)修改后的URL的網(wǎng)頁內(nèi)容的請(qǐng)求��,以便服務(wù)器根據(jù)該請(qǐng)求返回與URL相關(guān)的網(wǎng)頁內(nèi)容����;
[0039]這里的探測(cè)參數(shù)是預(yù)先設(shè)定的�,該探測(cè)參數(shù)可以是字符串�����,為了能夠?qū)崿F(xiàn)探測(cè)的目的����,探測(cè)參數(shù)通常與原始的URL所對(duì)應(yīng)的網(wǎng)頁內(nèi)容的代碼中的字符串不同�,也即在原始的URL所對(duì)應(yīng)的網(wǎng)頁內(nèi)容的代碼中查找不到與該探測(cè)參數(shù)相同的字符串�。
[0040]在實(shí)際應(yīng)用中�,在檢測(cè)該URL是否具有XSS漏洞的風(fēng)險(xiǎn)時(shí),可以利用預(yù)定的探測(cè)參數(shù)修改URL中的參數(shù)值����,具體可以為:利用該預(yù)定的探測(cè)參數(shù)替換URL中的參數(shù)值或?qū)⒃擃A(yù)定的探測(cè)參數(shù)添加至該URL中參數(shù)值的后面�。
[0041]舉例來講��,存在一個(gè)URL 為:http://moll.baota0.com/name=hekou,如果預(yù)定的探測(cè)參數(shù)為“tancecanshu”,則將該探測(cè)參數(shù)添加至該URL中參數(shù)name所對(duì)應(yīng)的參數(shù)值“hekou”的后面�,則加載后的URL可以為:http://moll.baota0.com/name=hekoutancecanshu,而如果利用該探測(cè)參數(shù)替換該URL中參數(shù)name所對(duì)應(yīng)的參數(shù)值“hekou”,則加載后的 URL 可以為:http://moll.baota0.com/name=tancecanshu。
[0042]當(dāng)攜帶有參數(shù)值被探測(cè)參數(shù)修改后的URL的http請(qǐng)求發(fā)送給服務(wù)器之后���,服務(wù)器則會(huì)對(duì)在接收到該HTTP請(qǐng)求之后對(duì)該URL進(jìn)行解析�,并返回與參數(shù)值被探測(cè)參數(shù)修改后的該URL對(duì)應(yīng)的網(wǎng)頁內(nèi)容����。
[0043]302�����,檢