[发明专利]一种脚本注入攻击检测方法和系统

说明书

技术领域

本发明涉及一种脚本注入攻击检测方法和系统，属于计算机网络技术领域。

背景技术

Web技术诞生以来，互联网络得到了飞速发展，Web服务也成为当前互联网中最主要的网络内容提供方式。随着Web技术的发展，Web不再只为互联网用户提供静态内容服务，而可以根据用户需要提供各种动态Web内容服务。由于Web服务具有易部署和易用等优点，现在很多传统客户机/服务器模式的应用都开始转变成基于Web的应用，包括那些对安全要求非常高的电子银行和电子证券等应用。

Web服务在为人们的生活和工作带来便利的同时，也带来了很多安全问题。这些安全问题包括威胁到Web服务器安全的SQL注入攻击、可疑文件执行和越权对象访问等安全攻击事件，也包括威胁到Web客户端安全的脚本注入攻击等安全攻击事件。据国际著名Web安全开放组织OWASP统计，2007年，脚本注入攻击事件(包括跨站脚本攻击事件，它属于脚本注入攻击范畴)居于十大Web安全事件之首。从国际漏洞库组织CVE库2002年至2007年关于脚本注入攻击事件的统计来看，脚本注入攻击安全事件的发生频率正呈逐年增长趋势。

脚本注入攻击存在的根源在于：Web服务器方程序代码存在缺陷，它未能对用户输入数据进行严格检查和过滤，以至于恶意攻击者可以通过用户输入域注入恶意脚本，这些注入的恶意脚本可通过Web服务器反射到受害者Web浏览器执行，从而达到偷取受害者敏感数据或者在受害者安全上下文环境下执行恶意动作等目的。

自从脚本注入攻击被发现以来，人们开始了脚本注入攻击检测和防御方面的研究。我们可以将这些研究分为两类：基于Web服务端和基于Web客户端的脚本注入攻击检测和防御。基于Web服务端脚本注入攻击检测和防御方法主要包括内容安全编码、HTML标签过滤，其中，内容安全编码方法是将用户输入数据进行统一文本格式编码，避免Web客户端将用户输入的文本当作HTML格式数据进行解释，该方法需要在Web应用服务开发时就考虑，很多Web应用开发者没有这方面的经验；HTML标签过滤是指在Web应用程序代码中对用户输入数据中存在的敏感标签进行过滤，或者通过部署于Web服务器前端的安全网关对用户输入数据中存在的敏感HTML标签进行过滤，该方法存在过滤不严格或者过滤规则易躲避等问题。基于Web客户端的脚本注入攻击检测和防御方法主要包括脚本执行禁止、HTTP响应消息净化和Web客户端数据流跟踪方法。其中，脚本执行禁止方法则是完全或者部分禁止脚本在Web客户端的执行，这将使得某些Web内容无法正确呈现；HTTP响应消息净化方法是对从Web服务端返回的Web页面内容进行过滤，清洗掉那些可能危害客户端安全的脚本，该种方法缺点是，存在数据清洗不干净或者清洗过分导致Web页面内容无法正确呈现；Web客户端数据流跟踪方法包括基于源代码级别的静态数据流跟踪和基于输入数据流和输出数据流的跟踪分析方法，该方法需要修改Web客户端软件，存在部署和实施困难。

发明内容

本发明提供一种脚本注入攻击检测方法和系统。本发明所述的脚本攻击检测方法和系统属于Web服务端解决方案，它保留了Web服务端模式脚本注入攻击检测方法和系统在部署和实施上的优势，同时利用用户输入数据解码、文档对象模型分析、文档对象模型脚本提取和脚本语法检测等技术，克服了传统Web服务端脚本注入攻击检测方法和系统存在的漏报较高等缺点，大大提高了Web服务端脚本注入攻击检测方法和系统的检测精确度。

本发明解决其技术问题所采用的技术方案是：

一种脚本注入攻击检测方法，包括：

HTTP请求获取的步骤；

从HTTP请求中提取用户输入数据的步骤；

对用户输入数据进行脚本注入攻击检测的步骤；

脚本注入攻击事件报警的步骤；

其中，所述的对用户输入数据进行脚本注入攻击检测的步骤；包括：

用户输入数据解码的步骤；

文档对象模型结构分析的步骤；

从文档对象模型树中提取脚本和对提取的脚本进行语法检测等的步骤；

只要从用户输入数据中提取到至少一段语法正确的脚本就产生脚本注入攻击报警。

优选地，所述的脚本注入攻击检测方法之用户输入数据解码步骤包括基于HTTP编码规范的解码步骤和基于HTML编码规范的解码步骤。

优选地，所述的脚本注入攻击检测方法之文档对象模型结构分析步骤为：将解码后的用户输入数据看成是一段HTML格式的内容，按照HTML文档对象模型规范将解码后的用户输入数据转换为一个符合HTML文档对象模型的文档对象模型树。