本发明专利技术涉及一种存储跨站攻击脚本漏洞检测方法、装置及系统。一个实施例中,上述的方法包括:获取目标网页的待检测参数;构造一个特征字符串,该特征字符串内包含可触发存储跨站脚本攻击的字符以及唯一标识符;将所述特征字符串作为所述待检测参数的值提交至所述目标网页;遍历所有可能输出所述提参数值的网页,并判断是否有网页中是否包含所述的唯一标识符;以及若有网页中包含所述的唯一标识符则记录所述待检测参数存在存储跨站攻击脚本漏洞。上述的方法、装置及系统可提升XSS漏洞检测的效率及准确性。
【技术实现步骤摘要】
一种存储跨站攻击脚本漏洞检测方法、装置及系统
本专利技术涉及计算机安全技术,尤其涉及一种存储跨站攻击脚本漏洞检测方法、装置及系统。
技术介绍
跨站脚本攻击(CrossSiteScript,XSS)是恶意攻击者通过在网页中加入恶意代码并诱使用户访问,当访问者浏览网页时恶意代码会在用户机器上执行,从而导致恶意攻击者盗取用户信息,或者在用户机器上挂载木马攻击并远程获得用户机器的控制权。XSS分为普通反射型XSS和存储XSS,存储XSS的恶意代码直接存储在目标网站的服务器上,因而比普通反射型XSS危害更大,影响面更广。由于存储XSS漏洞的攻击方式十分隐蔽且在攻击网页无直接回显特征,目前业界还没有有效的自动化检测工具。
技术实现思路
有鉴于此,有必要提供一种存储跨站攻击脚本漏洞检测方法、装置及系统,其能够高效的检测网站中的存储跨站攻击脚本漏洞。一种存储跨站攻击脚本漏洞检测方法,包括:获取目标网页的待检测参数;构造一个特征字符串,该特征字符串内包含可触发存储跨站脚本攻击的字符以及唯一标识符;将所述特征字符串作为所述待检测参数的值提交至所述目标网页;遍历所有可能输出所述提参数值的网页,并判断是否有网页中是否包含所述的唯一标识符;以及若有网页中包含所述的唯一标识符则记录所述待检测参数存在存储跨站攻击脚本漏洞。一种存储跨站攻击脚本漏洞检测装置,包括:参数获取模块,用于获取目标网页的待检测参数;字符串构造模块,用于构造一个特征字符串,该特征字符串内包含可触发存储跨站脚本攻击的字符以及唯一标识符;参数提交模块,用于将所述特征字符串作为所述待检测参数的值提交至所述目标网页;检测模块,用于遍历所有可能输出所述提参数值的网页,并判断是否有网页中是否包含所述的唯一标识符;以及漏洞记录模块,用于若有网页中包含所述的唯一标识符则记录所述待检测参数存在存储跨站攻击脚本漏洞。一种存储跨站攻击脚本漏洞检测系统,包括:漏洞检测服务器以及搜索引擎;所述漏洞检测服务器用于:获取目标网页的待检测参数;构造一个特征字符串,该特征字符串内包含可触发存储跨站脚本攻击的字符以及唯一标识符;将所述特征字符串作为所述待检测参数的值提交至所述目标网页;所述搜索引擎用于:遍历所有可能输出所述提参数值的网页;所述漏洞检测服务器还用于:将所述唯一标识符提交至所述搜索引擎进行检索,若所述搜索引擎返回的检索结果中包含至少一个匹配的网页则记录所述待检测参数存在存储跨站攻击脚本漏洞。根据上述的存储跨站攻击脚本漏洞检测方法、装置及系统,通过模拟存储XSS的攻击方式向被检测的网站提交参数值,而参数的值内包含唯一标识符,在后续的网页遍历过程中若检测到此唯一标识符,则可判定对应的URL以及参数存在XSS漏洞。此种检测方式可全自动的进行,具有很高的检测效率以及准确性。为让本专利技术的上述和其他目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附图式,作详细说明如下。附图说明图1为本专利技术实施例提供的方法及装置的运行环境示意图。图2为图1中的漏洞检测服务器的结构框图。图3为图1中的网站服务器的结构框图。图4为第一实施例提供的存储跨站攻击脚本漏洞检测方法流程图。图5为第二实施例提供的存储跨站攻击脚本漏洞检测方法流程图。图6及图7为第三实施例提供的存储跨站攻击脚本漏洞检测方法流程图。图8为第四实施例提供的存储跨站攻击脚本漏洞检测装置的结构框图。图9为第五实施例提供的存储跨站攻击脚本漏洞检测系统的示意图。具体实施方式为更进一步阐述本专利技术为实现预定专利技术目的所采取的技术手段及功效,以下结合附图及较佳实施例,对依据本专利技术的具体实施方式、结构、特征及其功效,详细说明如后。本专利技术实施例涉及一种存储跨站攻击脚本漏洞检测方法及装置。其用于在检测网站内存储的跨站攻击脚本漏洞。参阅图1,其为上述的方法及装置的运行环境示意图。一个或多个漏洞检测服务器100(图1中仅示出一个)可通过网络与一个或多个网站服务器200(图1中仅示出一个)相连。上述的网络例如可为互联网、局域网、企业内部网等。进一步参阅图2,其为上述的漏洞检测服务器100的一个实施例的结构框图。如图2所示,漏洞检测服务器100包括:存储器102、处理器104以及网络模块106。可以理解,图2所示的结构仅为示意,其并不对漏洞检测服务器100的结构造成限定。例如,漏洞检测服务器100还可包括比图2中所示更多或者更少的组件,或者具有与图1所示不同的配置。存储器102可用于存储软件程序以及模块,如本专利技术实施例中的跨站攻击脚本漏洞检测方法及装置对应的程序指令/模块,处理器104通过运行存储在存储器102内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述的跨站攻击脚本漏洞检测方法。存储器102可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器102可进一步包括相对于处理器104远程设置的存储器,这些远程存储器可以通过网络连接至漏洞检测服务器100。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。传输模块106用于接收以及发送网络信号。上述网络信号可包括无线信号或者有线信号。在一个实例中,上述网络信号为有线网络信号。此时,传输模块106可包括处理器、随机存储器、转换器、晶体振荡器等元件。上述的软件程序以及模块包括:操作系统122以及漏洞检测模块124。其中操作系统122例如可为LINUX,UNIX,WINDOWS,其可包括各种用于管理系统任务(例如内存管理、存储设备控制、电源管理等)的软件组件和/或驱动,并可与各种硬件或软件组件相互通讯,从而提供其他软件组件的运行环境。漏洞检测模块124运行在操作系统122的基础上,执行本专利技术实施例提供的存储跨站攻击脚本漏洞检测方法。进一步参阅图3,其为图1中的网站服务器200的一个实施例的结构框图。如图3所示,其与漏洞检测服务器100的结构相似,其不同之处在于,并不包括漏洞检测模块124,而包括网站服务器模块126。网站服务器模块126运行在操作系统122的基础上,并通过操作系统122的网络服务监听来自网络的网页访问请求,根据网页访问请求完成相应的数据处理,并返回结果网页或者其他格式的数据给客户端。上述的网站服务器模块126例如可包括动态网页脚本以及脚本解释器等。上述的脚本解释器例如可为Apache网站服务器程序,其用于将动态网页脚本处理成客户端可以接受的格式,例如超文本标记(HTML)语言格式或者可扩展标记语言(XML)格式等。在处理动态网页脚本的过程中,可能需要存取存储在数据库300中的数据。可以理解,在图1所示的实例中,数据库300独立于网站服务器200之外,然而,数据库300也可以运行于网站服务器200内。第一实施例本实施例的提供一种存储跨站攻击脚本漏洞检测方法,参阅图4,上述方法包括以下步骤:步骤S110、获取目标网页的待检测参数。目标网页是指对应于一个网址(UniformResourceLocator,URL),例如“http://www.test.com/publish.php”的网页。可以理解,一个网页是由网站服务器(如网站服务器200)内的一个或多个脚本生成并返回至客户端(如漏洞检测服务器本文档来自技高网...
【技术保护点】
一种存储跨站攻击脚本漏洞检测方法,其特征在于,包括:获取目标网页的待检测参数;构造一个特征字符串,该特征字符串内包含可触发存储跨站脚本攻击的字符以及唯一标识符;将所述特征字符串作为所述待检测参数的值提交至所述目标网页;遍历所有可能输出所述提参数值的网页,并判断是否有网页中是否包含所述的唯一标识符;以及若有网页中包含所述的唯一标识符则记录所述待检测参数存在存储跨站攻击脚本漏洞。
【技术特征摘要】
1.一种存储跨站攻击脚本漏洞检测方法,其特征在于,包括:获取目标网页的待检测参数,所述待检测参数是指所述目标网页中能被网站服务器接收并处理的参数;构造一个特征字符串,该特征字符串内包含可触发存储跨站脚本攻击的字符以及唯一标识符;将所述特征字符串作为所述待检测参数的值提交至对应的网站服务器;等待预定时间后将唯一标识符作为关键字提交至搜索引擎,利用所述搜索引擎的网络爬虫系统,遍历所有可能输出所述提交的参数的值的网页,并判断是否有网页中是否包含所述的唯一标识符;其中,所述所有可能输出所述提交的参数的值的网页包括关联网域内的所有网页,所述关联网域为与所述目标网页至少共用部分数据库的内容的网域;以及,若有网页中包含所述的唯一标识符则记录所述待检测参数存在存储跨站攻击脚本漏洞。2.如权利要求1所述的存储跨站攻击脚本漏洞检测方法,其特征在于,获取目标网页的待检测参数包括:获取所述目标网页中用户可输入的参数作为所述待检测参数。3.如权利要求1所述的存储跨站攻击脚本漏洞检测方法,其特征在于,遍历所有可能输出所述提交的参数的值的网页包括:遍历与所述目标网页在同一网域内的所有网页。4.如权利要求1所述的存储跨站攻击脚本漏洞检测方法,其特征在于,遍历所有可能输出所述提交的参数的值的网页包括:遍历与所述目标网页具有相同的顶级域名的所有网页。5.如权利要求1所述的存储跨站攻击脚本漏洞检测方法,其特征在于,遍历所有可能输出所述提交的参数的值的网页是由搜索引擎进行的;判断是否有网页中是否包含所述的唯一标识符包括:将所述的唯一标识符提交到所述搜索引擎进行检索,若检测到结果则有网页中包含所述唯一标识符。6.一种存储跨站攻击脚本漏洞检测装置,其特征在于,包括:参数获取模块,用于获取目标网页的待检测参数,所述待检测参数是指所述目标网页中能被网站服务器接收并处理的参数;字符串构造模块,用于构造一个特征字符串,该特征字符串内包含可触发存储跨站脚本攻...
【专利技术属性】
技术研发人员:翁家才,
申请(专利权)人:腾讯科技深圳有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。