本发明专利技术提供了一种基于web应用运行时的零规则XSS攻击检测方法,所述检测方法包括:获取用户访问数据,其中,所述用户访问数据至少包括用户访问请求、验证信息和Cookie;将所述访问数据发送至镜像服务器,其中,所述镜像服务器至少包括服务器内web应用及空白信息;记录所述访问数据在镜像服务器内的行为,判断用户此次访问行为是否包含XSS攻击,其中,所述行为至少包括脚本运行、读取数据、存储数据、发送数据和篡改数据;本发明专利技术实施例提供的检测方法能够有效的解决目前的XSS攻击检测方法存在漏报和误报的问题,提高了XSS攻击检测的准确度。提高了XSS攻击检测的准确度。提高了XSS攻击检测的准确度。
【技术实现步骤摘要】
一种基于web应用运行时的零规则XSS攻击检测方法
[0001]本专利技术涉及网络防护
,尤其涉及一种基于web应用运行时的零规则XSS攻击检测方法。
技术介绍
[0002]跨站脚本(XSS)攻击是一种注入式安全攻击,攻击者将数据(如恶意脚本)注入其他受信任网站的Web应用程序中,该数据(恶意脚本)将被包含在传递给受害者浏览器的动态内容中,受害者将在不知情的情况下载打开浏览器时执行了该该数据(恶意脚本),攻击者此时就可以利用此漏洞盗取用户账号,并可以完成非法转账、非法转账、网页挂马、控制受害者的机器进行DDOS攻击等恶意行为,跨站脚本(XSS)攻击有着极大的安全隐患。
[0003]对于web应用,用户通过浏览器访问应用的时候,用户的输入通过html表单(form)来实现,最终用户所有的输入以表单(form)的形式发送到web服务端,xss攻击就是发生在这个时候,黑客利用技术手段,将恶意脚本,混淆在用户输入的表单中,导致xss攻击。
[0004]防御xss攻击,最主要就是对用户的输入要进行安全过滤,比如对用户的输入过滤掉<script>、alert、iframe等关键字,但黑客通过在上述关键字中间加入空格,即可轻松的避开对scriptalertiframe的过滤,例如将javascript写为javascript;对于安全过滤的策略,还可以通过白名单策略和黑名单策略,但是,无论白名单策略或黑名单策略,均基于已知的字符和关键词,而随着系统的升级和新技术的不断研发,会出现新的XSS攻击策略,曾经的白名单会存在漏报的问题,曾经的黑名单会存在误报的问题,使得目前的防范XSS攻击的方式存在着误报和漏报的问题,因此,本申请提出了一种基于web应用运行时的零规则XSS攻击检测方法。
技术实现思路
[0005]本专利技术的目的在于提供一种基于web应用运行时的零规则XSS攻击检测方法,以解决目前的XSS攻击检测方法容易误报或漏报的问题。
[0006]本专利技术的目的是通过以下技术方案实现的:
[0007]一种基于web应用运行时的零规则XSS攻击检测方法,包括:
[0008]获取用户访问数据,其中,所述用户访问数据至少包括用户访问请求、验证信息和Cookie;
[0009]将所述访问数据发送至镜像服务器,其中,所述镜像服务器至少包括服务器内web应用及空白信息;
[0010]记录所述访问数据在镜像服务器内的行为,判断用户此次访问行为是否包含XSS攻击,其中,所述行为至少包括脚本运行、读取数据、存储数据、发送数据和篡改数据;
[0011]输出判断结果。
[0012]进一步的,在所述获取用户访问数据之前,所述检测方法还包括:
[0013]获取用户登录信息,其中,所述用户登录信息包括用户ID及登录密码;
[0014]验证用户登录信息;
[0015]基于用户登录信息的验证结果给予用户访问权限。
[0016]进一步的,所述验证登录信息的步骤具体包括:
[0017]基于用户ID获取预设的用户信息,检索存储在服务器内的数据库,验证所述登录密码与预设的用户信息内密码是否匹配;
[0018]基于用户ID检索用户白名单,判断所述用户ID是否存储于用户白名单内;
[0019]输出判断结果。
[0020]进一步的,所述记录所述访问数据在镜像服务器内的行为的具体步骤包括:
[0021]在镜像服务器内执行所述用户数据包含的命令或请求;
[0022]监测所述用户数据在所述镜像服务器内执行后的执行结果,其中,所述执行结果至少包括:注入脚本代码、执行脚本、读取数据、存储数据、发送数据和篡改数据。
[0023]进一步的,所述判断用户此次访问行为是否包含XSS攻击的具体步骤包括:
[0024]获取所述访问数据后执行由访问用户注入的脚本代码;
[0025]在镜像服务器内执行所述脚本代码;
[0026]获取所述脚本代码的运行结果,其中,所述运行结果至少包括读取数据、存储数据、发送数据和篡改数据;
[0027]基于所述脚本代码的运行结果判断此次访问是否为XSS攻击。
[0028]进一步的,所述判断用户此次访问行为是否包含XSS攻击的具体步骤包括:
[0029]基于所述访问数据所包含的访问命令或请求与运行存储于镜像服务器内的web应用;
[0030]监测web应用运行的运行结果,其中,所述运行结果包括:注入脚本代码、执行脚本、读取数据、存储数据、发送数据和篡改数据;
[0031]基于web应用运行时的结果判断此次访问是否为XSS攻击。
[0032]进一步的,获取用户登录信息时,所述检测方法还包括:
[0033]获取用户登录终端的终端信息,其中,所述终端信息至少包括登录地址、用户终端识别码。
[0034]进一步的,所述检测方法还包括::
[0035]基于判断结果,将包含XSS攻击的用户写入用户黑名单,其中,所述用户黑名单至少包括用户ID、登录终端地址和登录终端的识别码
[0036]将所述用户黑名单存储在主服务器和镜像服务器内。
[0037]进一步的,所述检测方法还包括:
[0038]基于判断结果将包含有XSS攻击的脚本代码写入脚本代码黑名单,其中,所述脚本代码黑名单存储在镜像服务器内。
[0039]进一步的,所述判断用户此次访问行为是否包含XSS攻击的具体步骤包括:
[0040]解析所述访问数据,判断所述访问数据是否包含的代码;
[0041]基于解析结果,提取解析出的代码,将解析出的代码与脚本代码黑名单内的进行匹配,判断所述访问数据内是否包含脚本代码黑名单内的代码;
[0042]输出判断结果。
[0043]综上所述,本专利技术与现有技术相比具有以下有益效果:
[0044]本专利技术在镜像服务器中运行web应用和提供用户访问,通过在观察访问用户在镜像服务器内的行为判断此次访问是否含有XSS攻击,本专利技术提供的检测方法能够有效的解决目前的XSS攻击检测方法存在漏报和误报的问题,提高了XSS攻击检测的准确度。
[0045]本专利技术的其他优点、目标和特征在某种程度上将在随后的说明书中进行阐述,并且在某种程度上,基于对下文的考察研究对本领域技术人员而言将是显而易见的,或者可以从本专利技术的实践中得到教导。本专利技术的目标和其他优点可以通过下面的说明书和前述的权利要求书来实现和获得。
附图说明
[0046]为了使本专利技术的目的、技术方案和优点更加清楚,下面将结合附图对本专利技术作进一步的详细描述,其中:
[0047]图1为本专利技术实施例提供的基于web应用运行时的零规则XSS攻击检测方法的系统架构图。
[0048]图2为本专利技术实施例提供的基于web应用运行时的零规则XSS攻击检测方法的一个实现流程框图。
[0049]图3为本专利技术实施例提供的基于w本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于web应用运行时的零规则XSS攻击检测方法,其特征在于,所述检测方法包括:获取用户访问数据,其中,所述用户访问数据至少包括用户访问请求、验证信息和Cookie;将所述访问数据发送至镜像服务器,其中,所述镜像服务器至少包括服务器内web应用及空白信息;记录所述访问数据在镜像服务器内的行为,判断用户此次访问行为是否包含XSS攻击,其中,所述行为至少包括脚本运行、读取数据、存储数据、发送数据和篡改数据;输出判断结果。2.根据权利要求1所述的基于web应用运行时的零规则XSS攻击检测方法,其特征在于,在所述获取用户访问数据之前,所述检测方法还包括:获取用户登录信息,其中,所述用户登录信息包括用户ID及登录密码;验证用户登录信息;基于用户登录信息的验证结果给予用户访问权限。3.根据权利要求2所述的基于web应用运行时的零规则XSS攻击检测方法,其特征在于,所述验证登录信息的步骤具体包括:基于用户ID获取预设的用户信息,检索存储在服务器内的数据库,验证所述登录密码与预设的用户信息内密码是否匹配;基于用户ID检索用户白名单,判断所述用户ID是否存储于用户白名单内;输出判断结果。4.根据权利要求1所述的基于web应用运行时的零规则XSS攻击检测方法,其特征在于,所述记录所述访问数据在镜像服务器内的行为的具体步骤包括:在镜像服务器内执行所述用户数据包含的命令或请求;监测所述用户数据在所述镜像服务器内执行后的执行结果,其中,所述执行结果至少包括:注入脚本代码、执行脚本、读取数据、存储数据、发送数据和篡改数据。5.根据权利要求4所述的基于web应用运行时的零规则XSS攻击检测方法,其特征在于,所述判断用户此次访问行为是否包含XSS攻击的具体步骤包括:获取所述访问数据后执行由访问用户注入的脚本代码;在镜像服务器内执行所述脚本代码;获取所述脚本代码的运行结果,其中,所述运行结果至少包括读取数据...
【专利技术属性】
技术研发人员:魏力鹏,陈卿,袁捷,吕嵘晶,王皓然,刘俊荣,陶佳冶,周泽元,班秋成,周琳妍,舒彧,冯光璐,纪元,陆岫昶,
申请(专利权)人:贵州电网有限责任公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。