【技术实现步骤摘要】
跨站脚本风险检测方法、装置、计算机设备和存储介质
本申请涉及计算机
,特别是涉及一种跨站脚本风险检测方法、装置、计算机设备和存储介质。
技术介绍
目前跨站脚本(CrossSiteScripting,XSS)攻击方式是一种常见网络攻击方式,攻击者可以利用XSS漏洞得到更高的权限、私密网页内容、会话和存储在本地终端上的数据cookie等各种内容,严重危害到用户的个人数据安全,对数据保密具有严重威胁。一般的,针对网站的前端页面,通常包括页面展示数据以及体现页面展示数据功能结构的页面结构数据。以页面展示数据为例,现阶段通过人工制定并提交表单数据,表单数据中包括XSS特殊字符与合法字符的对应关系,计算机设备根据表单数据中的对应关系对XSS特殊字符进行合法转义,从而预防或阻止大多数的XSS攻击。但是,针对网站的页面结构数据,由于其自身的复杂性,采用传统技术对页面结构数据进行XSS漏洞检测时,经常会出现漏检或者错检的可能性,XSS攻击风险依然很高。
技术实现思路
基于此,有必要针对上述技术问题,提...
【技术保护点】
1.一种跨站脚本风险检测方法,其特征在于,所述方法包括:/n获取目标网页的待加载的页面展示数据和待加载的页面结构脚本;所述页面结构脚本中包括页面结构数据;/n通过扫描各所述页面结构脚本中的页面结构数据,确定所述页面展示数据在各所述页面结构脚本中对应的目标数据;所述目标数据为不受信任的数据;/n若所述页面结构脚本中对应的目标数据的字符长度超过预设长度阈值,则输出第一提醒信息;所述第一提醒信息用于提醒所述目标网页存在XSS风险。/n
【技术特征摘要】
1.一种跨站脚本风险检测方法,其特征在于,所述方法包括:
获取目标网页的待加载的页面展示数据和待加载的页面结构脚本;所述页面结构脚本中包括页面结构数据;
通过扫描各所述页面结构脚本中的页面结构数据,确定所述页面展示数据在各所述页面结构脚本中对应的目标数据;所述目标数据为不受信任的数据;
若所述页面结构脚本中对应的目标数据的字符长度超过预设长度阈值,则输出第一提醒信息;所述第一提醒信息用于提醒所述目标网页存在XSS风险。
2.根据权利要求1所述的方法,其特征在于,所述页面展示数据中包括页面展示数据标识;所述页面结构数据包括页面结构数据标识;所述通过扫描各所述页面结构脚本中的页面结构数据,确定所述页面展示数据在各所述页面结构脚本中对应的目标数据,包括:
通过扫描各所述页面结构脚本中的页面结构数据,根据页面展示数据标识和页面结构数据标识之间的对应关系,确定所述页面展示数据中的页面展示数据标识对应的目标页面结构数据标识;
将所述目标页面结构数据标识对应的页面结构数据确定为所述目标数据。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
将所述页面展示数据的字符逐个与预设的非法字符集合中的字符匹配,确定所述页面展示数据中的非法字符;
根据预设的转义规则,对所述非法字符进行转义处理,得到并展示转义后的页面展示数据。
4.根据权利要求3所述的方法,其特征在于,所述根据预设的转义规则,对所述非法字符进行转义处理,得到并展示转义后的页面展示数据,包括:
获取所述目标网页的编码方式;
根据编码方式和编码映射表的对应关系,确定所述目标网页的编码方式对应的目标编码映射表;所述编码映射表包括非法字符和编码信息之间的对应关系;
根据所述目标编码映射表,确定每个所述非法字符对应的目标编码信息;
将各所述目标编码信息替换所述页面展示数据中对应的非法字符,得到并展示转义后的页面展示数据。
5.根据权利要求1所述的方法,其特征在于,所述...
【专利技术属性】
技术研发人员:张瑜,吕灼恒,张晋锋,李斌,沙超群,
申请(专利权)人:曙光信息产业北京有限公司,曙光信息产业股份有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。