網(wǎng)站xss漏洞檢測方法和設備的制造方法
【技術(shù)領域】
[0001]本發(fā)明涉及網(wǎng)絡安全技術(shù)領域��,具體而言,涉及一種網(wǎng)站XSS漏洞檢測方法和一種網(wǎng)站XSS漏洞檢測設備��。
【背景技術(shù)】
[0002]XSS即跨站腳本攻擊��,當網(wǎng)站存在XSS漏洞時���,攻擊者就可以將代碼植入到網(wǎng)站的頁面中,例如像網(wǎng)站的頁面里插入惡意html代碼,當用戶瀏覽該頁面時�����,嵌入網(wǎng)頁中的html代碼會被執(zhí)行��,這些代碼包括HTML代碼和客戶端腳本����,攻擊者利用XSS漏洞旁路掉訪問控制�,從而達到惡意攻擊用戶的特殊目的��。
[0003]XSS漏洞問題會進一步導致用戶數(shù)據(jù)的安全問題��。因此���,網(wǎng)站訪問者希望了解網(wǎng)站的安全程度��,自然地傾向于使用較為安全的網(wǎng)站,而網(wǎng)站管理者更希望能夠及時修復漏洞,克服其網(wǎng)站的安全問題���,為網(wǎng)站訪問者提供更加安全的瀏覽平臺�。
[0004]現(xiàn)有技術(shù)中,對于網(wǎng)站安全的檢測�����,通常是借助掃描器通過爬蟲技術(shù)去主動抓取網(wǎng)頁,并針對所抓取的網(wǎng)頁進行安全性測試����。基于這種主動抓取的思想檢測網(wǎng)站漏洞的XSS方法則是通過向網(wǎng)站發(fā)送測試包,然后等待響應�����,以確定網(wǎng)站是否存在漏洞。但是,這種發(fā)包等響應的方式需要特定的條件才能完成檢測�,例如添加測試腳本的網(wǎng)頁并不一定會被顯示或者立即顯示,這就導致現(xiàn)有技術(shù)中檢測漏洞無法完全覆蓋���。
[0005]另外�,現(xiàn)有技術(shù)中的XSS漏洞檢測通過定時或者用戶手動觸發(fā)的方式去執(zhí)行發(fā)包操作以及響應分析,這種檢測方式一方面由于人為主觀因素的存在�,難以精準地根據(jù)響應確定漏洞的具體情況和參數(shù)����,另一方面由于在檢測網(wǎng)站的數(shù)據(jù)量較大����,手動發(fā)包和分析響應難以及時有效地完成測試����。
【發(fā)明內(nèi)容】
[0006]本發(fā)明的目的在于克服上述問題的一個或多個方面�,而提供一種網(wǎng)站XSS漏洞檢測方法和設備�����。
[0007]為實現(xiàn)本發(fā)明的目的�,本發(fā)明采取如下技術(shù)方案:
[0008]本發(fā)明提供的一種網(wǎng)站XSS漏洞檢測方法�����,包括:
[0009]獲取網(wǎng)站待檢測的鏈接��;
[0010]在所述待檢測的鏈接中加入XSS測試字符串形成測試鏈接���,其中,所述測試字符串中包括遠程訪問代碼����,所述遠程訪問代碼執(zhí)行時向指定地址發(fā)送訪問請求����;
[0011 ] 根據(jù)所述測試鏈接發(fā)送超文本傳輸協(xié)議請求��;
[0012]如果指定地址獲取到來自所述網(wǎng)站的訪問請求��,則確定所述網(wǎng)站存在XSS漏洞。
[0013]優(yōu)選地,所述獲取網(wǎng)站待檢測的鏈接包括:
[0014]獲取用戶指定網(wǎng)站的鏈接以及與指定網(wǎng)站相關聯(lián)的其他鏈接。
[0015]優(yōu)選地�,所述獲取網(wǎng)站待檢測的鏈接包括:
[0016]通過旁路偵聽而獲得的超文本傳輸協(xié)議請求包���;利用所述請求包所包含的鏈接確定屬于已知特定網(wǎng)站的關聯(lián)新鏈接;
[0017]將所述關聯(lián)新鏈接作為待檢測的鏈接。
[0018]根據(jù)本發(fā)明實施例之一所揭示,所述在所述待檢測的鏈接中加入XSS測試字符串形成測試鏈接包括:
[0019]識別出所述待檢測的鏈接參數(shù)部分�,在所述參數(shù)部分加入XSS測試字符串��,以形成測試鏈接�����。
[0020]根據(jù)本發(fā)明實施例之一所揭示���,所述指定地址獲取到來自所述網(wǎng)站的訪問請求包括:
[0021]所述指定地址接收到來自所述網(wǎng)站發(fā)送的超文本傳輸協(xié)議請求�;
[0022]或者
[0023]所述指定地址的腳本程序被所述網(wǎng)站執(zhí)行�����。
[0024]優(yōu)選地���,所述方法包括后續(xù)步驟:顯示圖形用戶界面以輸出XSS漏洞的具體信息����。
[0025]本發(fā)明提出的一種網(wǎng)站XSS漏洞檢測設備�����,包括:
[0026]獲取單元����,用于獲取網(wǎng)站待檢測的鏈接���;
[0027]添加單元,用于在所述待檢測的鏈接中加入XSS測試字符串形成測試鏈接�,
[0028]其中�,所述測試字符串中包括遠程訪問代碼�����,所述遠程訪問代碼執(zhí)行時向指定地址發(fā)送訪問請求���,所述網(wǎng)站根據(jù)所述測試鏈接發(fā)送超文本傳輸協(xié)議請求��;
[0029]接收單元�,用于接收訪問請求��,當通過所述指定地址獲取到來自所述網(wǎng)站的訪問請求�,則確定所述網(wǎng)站存在XSS漏洞����。
[0030]優(yōu)選地��,還包括:
[0031]指令單元,用于接收并解析用戶輸入指令���,以確定用戶指定網(wǎng)站的鏈接����,
[0032]其中,所述獲取單元用于獲取用戶指定網(wǎng)站的鏈接以及與指定網(wǎng)站相關聯(lián)的其他鏈接���。
[0033]根據(jù)本發(fā)明實施例之一所揭示��,所述獲取單元包括:
[0034]監(jiān)聽子單元�����,用于通過旁路偵聽而獲得的超文本傳輸協(xié)議請求包;
[0035]確定子單元���,用于利用所述請求包所包含的鏈接確定屬于已知特定網(wǎng)站的關聯(lián)新鏈接,將所述關聯(lián)新鏈接作為待檢測的鏈接�����。
[0036]根據(jù)本發(fā)明實施例之一所揭示,所述添加單元包括:
[0037]識別子單元�����,用于識別出所述待檢測的鏈接參數(shù)部分��;
[0038]字符串子單元��,用于在所述參數(shù)部分加入XSS測試字符串,以形成測試鏈接��。
[0039]優(yōu)選地,所述接收單元通過指定地址接收到來自所述網(wǎng)站發(fā)送的超文本傳輸協(xié)議請求�����,或在所述指定地址的腳本程序被所述網(wǎng)站執(zhí)行時,通過所述指定地址獲取到來自所述網(wǎng)站的訪問請求����。
[0040]優(yōu)選地�����,該設備還包括:顯示單元�����,用于顯示XSS漏洞的具體信息��。
[0041]相較于現(xiàn)有技術(shù)���,本發(fā)明至少具有如下優(yōu)點:
[0042]1�����、本發(fā)明能夠向待測試的鏈接添加測試字符串來形成測試鏈接��,并通過指定地址獲取測試字符串中遠程訪問代碼執(zhí)行時發(fā)送的訪問請求�����,由于添加測試字符串的待測試鏈接包括網(wǎng)站的所有鏈接,或用戶指定的部分鏈接��,為每個鏈接可以分別添加一個測試字符串���,從而在其中任意一個鏈接對應網(wǎng)頁被顯示時���,指定地址就可以接收到網(wǎng)站的訪問請求,從而確定網(wǎng)站存在XSS漏洞��。無需為指定鏈接發(fā)包來等待指定鏈接的響應,從而實現(xiàn)大范圍鏈接的漏洞檢測�。
[0043]2����、本發(fā)明中的XSS測試字符串的添加和XSS漏洞的判定都由程序?qū)崿F(xiàn)�,一方面無需人工添加測試字符串,節(jié)約了人力資源的同時���,保證了對大量鏈接測試的實現(xiàn)����,另一方面無需人工判定漏洞�����,能夠更加準確且全面地對漏洞進行檢測和評估。
[0044]3����、本發(fā)明通過旁路偵聽的方式,可以從網(wǎng)站接收交換機的數(shù)據(jù)��,借助交換機獲取接入該交換機的架設有已知特定網(wǎng)站的服務器即將收到的請求包。從而對于無論是通過本機監(jiān)聽網(wǎng)卡而獲取所述的請求包�����,還是由其他設備監(jiān)聽網(wǎng)卡獲取所述的請求包后匯聚到本機�����,本發(fā)明均能對這些請求包進行集中的后續(xù)處理�,確定出這些請求包中的新鏈接����,然后針對這些新鏈接所指向的網(wǎng)頁實施漏洞掃描���。一方面實現(xiàn)了明確針對已知特定網(wǎng)站篩選新鏈接實施掃描���,另一方面避免出現(xiàn)定時或不定時掃描所形成的時間空檔期間造成的漏掃描而可能出現(xiàn)的安全事故�����,為網(wǎng)絡管理者提供了更為有效的漏洞檢測技術(shù)工具��。
[0045]4��、本發(fā)明允許用戶根據(jù)實際情況指定需要檢測漏洞的網(wǎng)站,具體可以通過圖形用戶界面添加已知特定網(wǎng)站�,并且,在漏洞掃描后還能進行相應的警示���,具有非常強的交互性和較為優(yōu)異的人機交互效果���。
[0046]綜上所述,本發(fā)明實現(xiàn)了更加全面�����、高效且智能的網(wǎng)站安全檢測技術(shù)方案���。
[0047]上述說明僅是本發(fā)明技術(shù)方案的概述,為了能夠更清楚了解本發(fā)明的技術(shù)手段�,而可依照說明書的內(nèi)容予以實施,并且為了讓本發(fā)明的上述和其它目的����、特征和優(yōu)點能夠更明顯易懂,以下特舉本發(fā)明的【具體實施方式】�����。
【附圖說明】
[0048]通過參考附圖會更加清楚的理解本發(fā)明的特征和優(yōu)點���,附圖是示意性的而不應理解為對本發(fā)明進行任何限制���,在附圖中:
[0049]圖1示出了根據(jù)本發(fā)明一個實施例的網(wǎng)站XSS漏洞檢測方法流程示意圖;
[0050]圖2示出了根據(jù)本發(fā)明一個實施例的獲取網(wǎng)站待檢測的鏈接的具體流程示意圖���;
[0051]圖3示出了根據(jù)本發(fā)明一個實施例的在待檢測的鏈接中加入XSS測試字符串形成測試鏈接的具體流程示意圖�;
[0052]圖4示出了根據(jù)本發(fā)明一個實施例的網(wǎng)站XSS漏洞檢測設備的示意框圖���。
【具體實施方式】
[0053]為了能夠更清楚地理解本發(fā)明的上述目的、特征和優(yōu)點�����,下面結(jié)合附圖和【具體實施方式】對本發(fā)明進行進一步的詳細描述��。需要說明的是���,在不沖突的情況下,本申請的實施例及實施例中的特征可以相互組合���。
[0054]在下面的描述中闡述了很多具體細節(jié)以便于充分理解本發(fā)明���,但是,本發(fā)明還可以采用其他不同于在此描述的其他方式來實施����,因此,本發(fā)明的保護范圍并不受下面公開的具體實施例的限制。
[0055]本技術(shù)