The invention is applicable to the application field of Web programs, and provides an interactive XSS vulnerability detection method and system thereof. The method includes: detecting a request to the Web server to send with the characteristics of constructed values, and receives the Web response page returned by the server; in the pre analytical response page DOM listener injection, and then advance the response analysis of intelligent event simulator into the page, through the intelligent event simulator found and automatically trigger the response of DOM structure on the event page; according to the DOM listener monitoring results, to determine whether there is XSS vulnerabilities. Through the above method, the effect of the user interaction can be recognized and simulated by the execution of the intelligent event simulator, so that the XSS detection tool will obtain a complete DOM structure. Through the DOM listener, to realize the real-time monitoring of the change of the DOM structure of the response page, and then to realize the successful detection of the interactive XSS vulnerability of the response page.
【技术实现步骤摘要】
一种交互XSS漏洞的检测方法及其系统
本专利技术实施例属于Web程序应用领域,尤其涉及一种交互XSS漏洞的检测方法及其系统。
技术介绍
随着Web应用的广泛使用,Web安全问题也日益突出,跨站脚本攻击(Cross-sitescripting,XSS)是攻击者通过向web应用的页面中注入特定的脚本,当用户浏览该页面时,攻击者注入的脚本就会被执行,从而达到攻击的目的。XSS已经成为Web应用程序中最常见的漏洞之一,对XSS漏洞的自动化检测也成为一项重要的技术。Web2.0技术的发展,使Web应用的页面不仅仅能展示静态内容,还有越来越多的与用户交互的功能,这部分交互功能往往通过在Web页面嵌入JavaScript和CSS脚本来实现。通过ajax技术,甚至可以实现在页面不刷新和不提交的情况下,与服务端进行交互。这些动态交互可以动态修改或者生成一些页面的元素,在这一过程中,也会有XSS漏洞产生。传统的XSS检测方法大多是是靠检测响应中的特征值来发现XSS漏洞的,具体地,首先捕获Web应用的http请求,然后构造并向Web服务器发送带有检测特征值的请求,再在这些请求响应的页面源代码中检测特征值。如果在某处检测到特征值,则认为此处即为一个XSS漏洞。但由于现有的部分交互功能,通过ajax技术甚至可以实现在页面不刷新和不提交的情况下,与Web服务器进行交互,即不用发送http请求也能与Web服务器交互,而这些动态交互可以动态修改或者生成一些页面的元素,在这一过程中,也会有XSS漏洞产生,因此,现有方法不能发现由脚本动态执行产生的XSS漏洞。故需要提出一种针对用户交互过程中 ...
【技术保护点】
一种交互XSS漏洞的检测方法,其特征在于,所述交互XSS漏洞的检测方法包括:发送构造的带有特征值的检测请求至Web服务器,并接收所述Web服务器返回的响应页面;解析预先在所述响应页面注入的DOM监听器,以随时监听所述响应页面的DOM结构的变化情况;解析预先在所述响应页面注入的智能事件模拟器,以通过所述智能事件模拟器发现并自动触发所述响应页面的DOM结构上的事件;根据所述响应页面的DOM结构上的事件的被触发情况及所述DOM监听器的监听结果,判断是否存在XSS漏洞。
【技术特征摘要】
1.一种交互XSS漏洞的检测方法,其特征在于,所述交互XSS漏洞的检测方法包括:发送构造的带有特征值的检测请求至Web服务器,并接收所述Web服务器返回的响应页面;解析预先在所述响应页面注入的DOM监听器,以随时监听所述响应页面的DOM结构的变化情况;解析预先在所述响应页面注入的智能事件模拟器,以通过所述智能事件模拟器发现并自动触发所述响应页面的DOM结构上的事件;根据所述响应页面的DOM结构上的事件的被触发情况及所述DOM监听器的监听结果,判断是否存在XSS漏洞。2.根据权利要求1所述的检测方法,其特征在于,在所述解析预先在所述响应页面注入的智能事件模拟器之前,包括:解析所述响应页面,以检测所述响应页面在页面初始化时生成的页面元素的XSS漏洞。3.根据权利要求1所述的检测方法,其特征在于,所述通过所述智能事件模拟器发现并自动触发所述响应页面的DOM结构上的事件,具体包括:遍历经解析后的所述响应页面的DOM结构中所有控件;模拟触发所述控件包含的各种事件。4.根据权利要求1所述的检测方法,其特征在于,所述根据所述响应页面的DOM结构上的事件的被触发情况及所述DOM监听器的监听结果,判断是否存在XSS漏洞,具体包括:解析智能事件模拟器,以使所述DOM监听器随时监听所述响应页面的DOM结构上的事件被触发后,所述响应页面的DOM结构的变化情况;根据监听到的响应页面的DOM结构中是否存在新增加的所述特征值,判断是否发现XSS漏洞。5.根据权利要求1所述的检测方法,其特征在于,在根据所述响应页面的DOM结构上的事件的被触发情况及所述DOM监听器的监听结果,判断是否存在XSS漏洞之后,还包括:在确认发现XSS漏洞时,上报检测结...
【专利技术属性】
技术研发人员:万振华,徐瑞祝,
申请(专利权)人:深圳市九州安域科技有限公司,深圳开源互联网安全技术有限公司,安徽开源互联网安全技术有限公司,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。