本发明专利技术实施例提供一种XSS攻击检测方法及装置。其中,该方法包括:检测接收到的用户请求,判断是否为XSS攻击;若是XSS攻击,则从用户请求中提取XSS攻击向量;获取对应用户请求的应答报文,将应答报文放入JS沙箱中运行并执行监听事件,将监听到的对应应答报文的事件与XSS攻击向量对比,若对比结果一致,则XSS攻击成功。针对XSS攻击的的特点,提取XSS攻击向量和应答报文在JS沙箱中运行结果,将提取的攻击向量和JS沙箱运行结果进行比对,对攻击结果进行研判,减少了维护成本。减少了维护成本。减少了维护成本。
【技术实现步骤摘要】
一种XSS攻击检测方法及装置
[0001]本专利技术涉及信息安全领域,尤其涉及一种XSS攻击检测方法及装置。
技术介绍
[0002]攻击者为了达到恶意攻击用户的目的,会在web页面中插入一些恶意的script代码,当用户浏览该页面的时候,可能会执行攻击者恶意插入的script代码,以此完成XSS攻击。
[0003]目前,检测XSS攻击可以使用基于正则的规则检测、基于机器学习的算法预测判断检测或基于语义分析的检测等方法。而这些方法都没有进入到浏览器真实执行JS脚本的环节,都是基于文本的解析检测,因此,存在一定的误报和漏报。现有技术中还可以通过应答页面的规则匹配检测XSS攻击:通过注入特定的攻击payload(payload,在病毒代码中实现一些有害的或者恶性的动作的功能的部分叫做“有效负载”),然后通过正则表达式检查对应的应答页面中攻击payload的JS脚本是否被网站编码。如果没有被编码则认为攻击成功。但是这种方式容易出现误报,因为payload没有被编码不代表浏览器会执行payload,有可能payload是被当作文本显示出来,因此,造成误报。
[0004]而且,由于web攻击在网络中存在大量扫描攻击,其中大部分是扫描器,大量攻击是无效的。而传统的入侵检测系统(Intrusion Detection Systems,简称IDS)会将所有攻击都进行告警,而防护人员只需要关心攻击成功的攻击,因此将所有攻击都进行告警会对维护人员造成巨大成本。
技术实现思路
[0005]针对现有技术中的问题,本专利技术实施例提供一种XSS攻击检测方法及装置。
[0006]具体地,本专利技术实施例提供了以下技术方案:
[0007]第一方面,本专利技术实施例提供了一种SQL注入检测方法,包括:检测接收到的用户请求,判断是否为XSS攻击;若是XSS攻击,则从所述用户请求中提取XSS攻击向量;获取对应所述用户请求的应答报文,将所述应答报文放入JS沙箱中运行并执行监听事件,将监听到的对应所述应答报文的事件与所述XSS攻击向量对比,若对比结果一致,则XSS攻击成功。
[0008]进一步地,所述检测接收到的用户请求,包括:通过XSS攻击检测规则检测接收到的用户请求;和/或通过语义分析方法检测接收到的用户请求;和/或通过沙箱检测方法检测接收到的用户请求。
[0009]进一步地,所述用户请求包括http请求。
[0010]进一步地,所述从所述用户请求中提取XSS攻击向量,包括:判断所述用户请求中是否包括用户参数,若包括所述用户参数,则从所述用户请求中解析出所述用户参数,将所述用户参数对应的参数值作为所述XSS攻击向量。
[0011]进一步地,所述将监听到的对应所述应答报文的事件与所述XSS攻击向量对比,包括:将监听到的对应所述应答报文的事件的函数与所述用户参数对应的参数值对比。
[0012]进一步地,所述获取对应所述用户请求的应答报文,将所述应答报文放入JS沙箱中运行并执行监听事件,包括:获取对应所述用户请求的应答报文,从所述应答报文中解析出对应所述用户请求的应答页面,将所述应答页面放入JS沙箱中运行并执行监听事件。
[0013]第二方面,本专利技术实施例还提供了一种XSS攻击检测装置,包括:第一处理模块,用于检测接收到的用户请求,判断是否为XSS攻击;第二处理模块,用于若是XSS攻击,则从所述用户请求中提取XSS攻击向量;第三处理模块,用于获取对应所述用户请求的应答报文,将所述应答报文放入JS沙箱中运行并执行监听事件,将监听到的对应所述应答报文的事件与所述XSS攻击向量对比,若对比结果一致,则XSS攻击成功。
[0014]第三方面,本专利技术实施例还提供了一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如第一方面所述XSS攻击检测方法的步骤。
[0015]第四方面,本专利技术实施例还提供了一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如第一方面所述XSS攻击检测方法的步骤。
[0016]第五方面,本专利技术实施例还提供了一种计算机程序产品,其上存储有可执行指令,该指令被处理器执行时使处理器实现第一方面所述XSS攻击检测方法的步骤。
[0017]本专利技术实施例提供的XSS攻击检测方法及装置,本专利技术通过检测接收到的用户请求,判断是否为XSS攻击;若是XSS攻击,则从用户请求中提取XSS攻击向量;获取对应用户请求的应答报文,将应答报文放入JS沙箱中运行并执行监听事件,将监听到的对应应答报文的事件与XSS攻击向量对比,若对比结果一致,则XSS攻击成功。其中,通过检测接收到的用户请求,判断是否为XSS攻击,确定了要监控的应答报文;通过将应答报文放入JS沙箱中运行并执行监听事件,将监听到的对应应答报文的事件与XSS攻击向量对比,确定了XSS攻击是否成功。实现了对XSS攻击攻击结果的预判,减少了维护成本。
附图说明
[0018]为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0019]图1为本专利技术一种XSS攻击检测方法实施例流程图;
[0020]图2为本专利技术一种XSS攻击检测方法的另一些实施例流程图;
[0021]图3为本专利技术一种XSS攻击检测方法的再一些实施例流程图;
[0022]图4为本专利技术一种XSS攻击检测方法的一个应用场景的流程示意图;
[0023]图5为本专利技术检测装置实施例结构示意图;
[0024]图6为本专利技术电子设备实体实施例结构示意图。
具体实施方式
[0025]为使本专利技术实施例的目的、技术方案和优点更加清楚,下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员
在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。
[0026]图1为本专利技术一种XSS攻击检测方法实施例流程图。如图1所示,本专利技术实施例的方法包括:
[0027]S101,检测接收到的用户请求,判断是否为XSS攻击。
[0028]XSS攻击通常指的是通过利用网页开发时留下的漏洞,利用巧妙的方法在网页中注入恶意指令代码,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序的语言可以是JavaScript、Java、VBScript、ActiveX、Flash或者是普通的HTML。
[0029]利用XSS攻击可以盗取用户密码,强迫用户访问特定网站等等。XSS漏洞和SQL注入一样,都是利用了Web页面的编写不完善。
[0030]XSS攻击可以分为:
本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种XSS攻击检测方法,其特征在于,所述方法包括:检测接收到的用户请求,判断是否为XSS攻击;若是XSS攻击,则从所述用户请求中提取XSS攻击向量;获取对应所述用户请求的应答报文,将所述应答报文放入JS沙箱中运行并执行监听事件,将监听到的对应所述应答报文的事件与所述XSS攻击向量对比,若对比结果一致,则XSS攻击成功。2.根据权利要求1所述的XSS攻击检测方法,其特征在于,所述检测接收到的用户请求,包括:通过XSS攻击检测规则检测接收到的用户请求;和/或通过语义分析方法检测接收到的用户请求;和/或通过沙箱检测方法检测接收到的用户请求。3.根据权利要求1
‑
2任一项所述的XSS攻击检测方法,其特征在于,所述用户请求包括http请求。4.根据权利要求1所述的XSS攻击检测方法,其特征在于,所述从所述用户请求中提取XSS攻击向量,包括:从所述用户请求中解析出用户参数,将所述用户参数对应的参数值中的函数作为所述XSS攻击向量。5.根据权利要求4所述的XSS攻击检测方法,其特征在于,所述将监听到的对应所述应答报文的事件与所述XSS攻击向量对比,包括:将监听到的对应所述应答报文的事件的函数与所述用户参数对应的参数值中的函数对比。6.根据权利要求1所述的XSS攻击检...
【专利技术属性】
技术研发人员:刘大光,
申请(专利权)人:网神信息技术北京股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。