The invention discloses a probe vulnerability detection method and device based on the method includes: receiving user request sent by the client, the user request includes at least one parameter; for every parameter structure detection probe and send the first detection probe request to the Web server; the Web server receives a response according to the first request, and according to the context information response of the target injection parameters, target output and the target output point; according to the request context information to construct the target feature point target output value. The embodiment of the invention is to obtain the target detection probe into the first output and contextual information output, according to each parameter requested by the user only need to construct a characteristic value request, which greatly reduces the number of test cases XSS detection tool in the number and improve the detection efficiency.
【技术实现步骤摘要】
本专利技术涉及Web应用测试
,尤其涉及一种基于探针的漏洞检测方法及其装置。
技术介绍
近年来,随着Web应用的广泛使用,Web安全问题也日益突出。其中,XSS(Cross-sitescripting,跨站脚本攻击)漏洞已成为Web应用程序中最常见的漏洞之一,因此,对XSS漏洞的自动化检测也成为了一项重要的技术。目前,一般采用XSS检测工具来检测XSS漏洞,其具体过程如下:(1)XSS检测工具捕获客户端(浏览器)所发送的http请求;(2)XSS检测工具根据http请求中的参数构造带有特征值的请求;(3)XSS检测工具将带有特征值的请求发送至Web服务器,Web服务器响应该请求;(4)XSS检测工具在该请求响应的页面源代码中检测特征值,若在某处检测到特征值,则认为此处为一个XSS漏洞。但是,对于一个http请求,并不是每个输入参数都能在响应中产生输出,因此传统的、基于特征值检测技术构造出的测试用例(即带有特征值的请求)有很大一部分都是无效的。同时传统的XSS检测工具由于对可能的XSS输出点的上下文信息不了解,因此针对每一个可能的输出点,都需要构造多种特征值以确保能够成功注入。故,以上这两点都造成了传统的XSS检测工具需要大量的测试用例,检测效率很低。
技术实现思路
本专利技术实施例所要解决的技术问题是:提供一种基于探针的漏洞检测方法,以提高检测效率。为解决上述技术问题,本专利技术实施例采用的技术方案如下:提供一种基于探针的漏洞检测方法,包括:接收客户端所发送的用户请求,所述用户请求中包括至少一个参数;对每一个所述参数构造检测探针并发送带有所述检测探针的 ...
【技术保护点】
一种基于探针的漏洞检测方法,其特征在于,包括:接收客户端所发送的用户请求,所述用户请求中包括至少一个参数;对每一个所述参数构造检测探针并发送带有所述检测探针的第一请求至Web服务器,且所述检测探针具有唯一性;接收所述Web服务器针对所述第一请求的响应结果,并根据所述响应结果获取目标注入参数、目标输出点以及所述目标输出点的上下文信息;根据所述目标输出点的上下文信息构造目标特征值请求。
【技术特征摘要】
1.一种基于探针的漏洞检测方法,其特征在于,包括:接收客户端所发送的用户请求,所述用户请求中包括至少一个参数;对每一个所述参数构造检测探针并发送带有所述检测探针的第一请求至Web服务器,且所述检测探针具有唯一性;接收所述Web服务器针对所述第一请求的响应结果,并根据所述响应结果获取目标注入参数、目标输出点以及所述目标输出点的上下文信息;根据所述目标输出点的上下文信息构造目标特征值请求。2.如权利要求1所述的基于探针的漏洞检测方法,其特征在于,所述响应结果包括页面源代码,根据所述响应结果获取目标注入参数、目标输出点以及所述目标输出点的上下文信息具体包括:检测所述页面源代码中是否存在所述检测探针;若存在,则确定所述检测探针所在的位置为所述目标输出点,同时确定所述检测探针所对应的参数为所述目标注入参数,并获取所述目标输出点的上下文信息。3.如权利要求1所述的基于探针的漏洞检测方法,其特征在于,所述响应结果包括页面源代码,根据所述响应结果获取目标注入参数、目标输出点以及所述目标输出点的上下文信息具体包括:根据虚拟解析器对所述页面源代码进行解析以得到解析界面;检测所述解析界面中是否存在所述检测探针;若存在,则确定所述检测探针所在的位置为所述目标输出点,同时确定所述检测探针所对应的参数为所述目标注入参数,并获取所述目标输出点的上下文信息。4.如权利要求1-3任一项所述的基于探针的漏洞检测方法,其特征在于,构造目标特征值请求之后,所述方法还包括:发送所述目标特征值请求至所述Web服务器;接收所述Web服务器针对所述目标特征值请求的响应结果;对所述目标特征值请求的响应结果进行特征值检测以得到XSS漏洞。5.如权利要求4所述的基于探针的漏洞检测方法,其特征在于,所述用...
【专利技术属性】
技术研发人员:万振华,
申请(专利权)人:深圳市九州安域科技有限公司,深圳开源互联网安全技术有限公司,安徽开源互联网安全技术有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。