[发明专利]一种脚本漏洞的检测方法、设备、系统及总控服务器有效
| 申请号: | 201310008550.3 | 申请日: | 2013-01-10 |
| 公开(公告)号: | CN103927478B | 公开(公告)日: | 2018-10-09 |
| 发明(设计)人: | 彭成锋 | 申请(专利权)人: | 腾讯科技(深圳)有限公司 |
| 主分类号: | G06F21/56 | 分类号: | G06F21/56 |
| 代理公司: | 广州三环专利商标代理有限公司 44202 | 代理人: | 郝传鑫;熊永强 |
| 地址: | 518057 广东省广州*** | 国省代码: | 广东;44 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 脚本 漏洞 检测 方法 设备 系统 服务器 | ||
本发明提供了一种脚本漏洞的检测方法,包括获取通信终端使用的任务;将获取到的任务传送至总控服务器,以使总控服务器将所述任务存入数据库中;发送请求指令至所述总控服务器,以使总控服务器根据所述请求指令返回一未标识的第一任务,并对所述被返回的第一任务进行标识;对所述返回的第一任务进行扫描检测,以提供扫描检测结果。本发明实现了提高扫描检测结果的准确率的目的。本发明还提供一种脚本漏洞的检测设备、总控服务器及系统。
技术领域
本发明涉及计算机领域,尤其涉及一种脚本漏洞的检测方法、设备、系统及总控服务器。
背景技术
随着网络应用系统不断地建设及陆续投入运行,网络应用程序所带来的安全跨站脚本漏洞越来越多,其中包括一种DOM-based(document object model-based,基于文档对象模型)型的XSS(cross site script,跨站脚本攻击)跨站脚本漏洞。这种DOM-based型的XSS跨站脚本漏洞使用户在使用网络时存在较大的危害性。攻击者可以利用该跨站脚本漏洞盗取用户信息,甚至可以盗取用户的虚拟财产。目前,对于DOM-based型的XSS跨站脚本漏洞,业界并没有一个成熟的安全检测工具。目前业界使用的安全扫描器大多通过随机构造一些HTTP请求发送到服务器,通过分析服务器返回的返回包来辨别是否存在安全跨站脚本漏洞。其中,这些HTTP请求是随机构建,且彼此之间不存在关联性。因此,这种安全扫描器的扫描检测结果不够准确。
发明内容
本发明实施例所要解决的技术问题在于,提供一种脚本漏洞的检测方法、设备、系统及总控服务器,以提高扫描检测结果的准确率。
为了解决上述技术问题,本发明提供了一种脚本漏洞的检测方法,其特征在于,包括:
获取通信终端使用的任务;
将获取到的任务传送至总控服务器,以使总控服务器将所述任务存入数据库中;
发送请求指令至所述总控服务器,以使总控服务器根据所述请求指令返回一未标识的第一任务,并对所述被返回的第一任务进行标识;
对所述返回的第一任务进行扫描检测,以提供扫描检测结果。
本发明提供一种脚本漏洞的检测方法,其特征在于,包括:
接收获取到的通信终端使用的任务;
将接收到的任务存入数据库中;
接收请求返回任务的请求指令;
根据所述请求指令返回一未标示的第一任务,并对所述被返回的第一任务进行标识,以使检测设备对所述第一任务进行扫描检测。
本发明还提供一种检测设备,用于检测脚本漏洞所述检测设备包括:
代理工具,用于获取通信终端使用的任务,将获取到的任务传送至总控服务器,以使总控服务器将所述任务存入数据库中;
发送模块,用于发送请求指令至所述总控服务器,以使总控服务器根据所述请求指令返回一未标识的第一任务,并对所述被返回的第一任务进行标识;
扫描模块,用于对所述返回的第一任务进行扫描检测,以提供扫描检测结果。
本发明还提供一种总控服务器,用于对脚本漏洞进行检测,所述总控服务器包括:
接收模块,用于接收获取到的通信终端使用的任务;
存储模块,用于将接收到的任务存入数据库中;其中,所述接收模块还用于接收请求返回任务的请求指令;
返回标识模块,用于根据所述请求指令返回一未标示的第一任务,并对所述被返回的第一任务进行标识,以使检测设备对所述第一任务进行扫描检测。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于腾讯科技(深圳)有限公司,未经腾讯科技(深圳)有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201310008550.3/2.html,转载请声明来源钻瓜专利网。
