【技术实现步骤摘要】
一种漏洞扫描方法及相关装置
[0001]本申请涉及计算机安全
,特别涉及一种漏洞扫描方法、漏洞扫描装置、设备以及计算机可读存储介质。
技术介绍
[0002]在网络安全领域中,XSS(Cross Site Scripting,跨站脚本)漏洞是一种针对Web应用程序的安全漏洞,其允许攻击者将恶意脚本代码注入网页客户端。当用户使用浏览器浏览被嵌入恶意代码的网站时,恶意代码将在此用户浏览器上执行,触发XSS漏洞。
[0003]相关技术中,一般是通过污点分析技术对网页中的XSS漏洞进行扫描检测。但是,在污点分析技术中无论是静态污点技术还是动态污点技术都存在漏洞检测出率不高、检测耗时严重的问题。
[0004]因此,如何提高页面漏洞的检出率,降低检测耗时是本领域技术人员关注的重点问题。
技术实现思路
[0005]本申请的目的是提供一种漏洞扫描方法、漏洞扫描装置、设备以及计算机可读存储介质,以提高页面漏洞的检出率,降低检测耗时。
[0006]为解决上述技术问题,本申请提供一种漏洞扫描方法,包括:...
【技术保护点】
【技术特征摘要】
1.一种漏洞扫描方法,其特征在于,包括:获取待扫描网页;对所述待扫描网页的源代码进行抽象语法树解析处理,得到对应的抽象语法树;基于漏洞分析规则对所述抽象语法树进行漏洞分析,得到漏洞扫描结果;其中,所述漏洞分析规则包括:渲染类分析规则、绑定标签属性类分析规则、双向绑定类分析规则中的一种或多种。2.根据权利要求1所述的漏洞扫描方法,其特征在于,若所述漏洞分析规则包括渲染类分析规则,基于漏洞分析规则对所述抽象语法树进行漏洞分析,得到漏洞扫描结果,包括:对所述抽象语法树搜索包含字符串的有效负载所在的语法树节点;其中,所述字符串为对所述待扫描网页的每个参数发送的字符串;判断每个所述语法树节点的有效负载是否出现在页面代码或动态代码段或模板代码中;若是,则将所述待扫描网页标记为漏洞页面。3.根据权利要求1所述的漏洞扫描方法,其特征在于,若所述漏洞分析规则包括绑定标签属性类分析规则,基于漏洞分析规则对所述抽象语法树进行漏洞分析,得到漏洞扫描结果,包括:对所述抽象语法树搜索包含字符串的有效负载;其中,所述字符串为对所述待扫描网页的每个参数发送的字符串;判断所述有效负载的标签或所述有效负载的前置节点的标签是否存在于危险标签集合中,或所述有效负载是否位于网页代码内部函数的参数中;其中,危险标签集合为获取的危险标签组成的集合;若是,则将所述待扫描网页标记为漏洞页面。4.根据权利要求1所述的漏洞扫描方法,其特征在于,若所述漏洞分析规则包括双向绑定类分析规则,基于漏洞分析规则对所述抽象语法树进行漏洞分析,得到漏洞扫描结果,包括:对所述抽象语法树搜索包含类型为标识符的节点;若所述节点...
【专利技术属性】
技术研发人员:陈松,何灿,吴鹤意,闫凡,
申请(专利权)人:深信服科技股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。