This application invents a XSS detection method based on the randomization of instruction set, and deploys the system on the proxy server. By encoding the HTML/JavaScript keyword in the Web application, the script of the user's malicious input and the Web application itself can be separated and the potential cross station script attack can be detected. Hit, monitor, and process all the output flow. For the existing reflection and storage type XSS attacks, the method described in this invention can also achieve good defense effect.
【技术实现步骤摘要】
一种基于指令集随机化的XSS检测方法
本专利技术涉及服务器安全检测领域,具体涉及一种基于指令集随机化的XSS检测方法。
技术介绍
XSS又叫CSS(CrossSiteScript跨站脚本攻击),它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。最初的XSS攻击是针对应用层的Web服务弱点,可以被恶意的第三方轻松盗取Cookie,导致个人隐私泄露。之后XSS攻击发展到可以挂马的阶段,只要用户浏览了带有XSS漏洞的恶意页面就会感染木马。Web2.0的出现虽然给网民们带来很多方便快捷的服务,但是这也意味着黑客有了更多的机会,例如,基于Ajax框架的XSS蠕虫已经造成了极大范围的危害。目前已存在许多针对Web程序的自动测试工具,如黑盒测试工具以及白盒测试工具,这些工具都已成功地在实际中得到应用,它们能够帮助网站管理人员发现程序可能的漏洞,但这些方法的误检率与漏检率普遍比较高。检测的思路通常情况下有三种:1、静态分析方法。该方法对JavaScript脚本的XMLHttpReques...
【技术保护点】
1.一种基于指令集随机化的XSS检测方法,其特征在于,该方法具体步骤包括:在客户端浏览器和Web服务器之间设置代理服务器,代理服务器监听流经Web服务器的所有流量,对于客户端浏览器发来的HTTP请求和用户输入,代理服务器原封不动地转发给Web服务器;Web服务器对返回给客户端浏览器页面的每一个HTML/JavaScript关键字,在末尾追加一串随机生成的随机码;代理服务器处理对于Web服务器返回给客户端浏览器的页面,进行解码和校验后,处理合格后再转发给用户。
【技术特征摘要】
1.一种基于指令集随机化的XSS检测方法,其特征在于,该方法具体步骤包括:在客户端浏览器和Web服务器之间设置代理服务器,代理服务器监听流经Web服务器的所有流量,对于客户端浏览器发来的HTTP请求和用户输入,代理服务器原封不动地转发给Web服务器;Web服务器对返回给客户端浏览器页面的每一个HTML/JavaScript关键字,在末尾追加一串随机生成的随机码;代理服务器处理对于Web服务器返回给客户端浏览器的页面,进...
【专利技术属性】
技术研发人员:刘浩,
申请(专利权)人:郑州云海信息技术有限公司,
类型:发明
国别省市:河南,41
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。