[发明专利]一种存储跨站攻击脚本漏洞检测方法、装置及系统

权利要求书

1.一种存储跨站攻击脚本漏洞检测方法，其特征在于，包括：

获取目标网页的待检测参数，所述待检测参数是指所述目标网页中能被网站服务器接收并处理的参数；

构造一个特征字符串，该特征字符串内包含可触发存储跨站脚本攻击的字符以及唯一标识符；

将所述特征字符串作为所述待检测参数的值提交至对应的网站服务器；

等待预定时间后将唯一标识符作为关键字提交至搜索引擎，利用所述搜索引擎的网络爬虫系统，遍历所有可能输出所述提交的参数的值的网页，并判断是否有网页中是否包含所述的唯一标识符；其中，所述所有可能输出所述提交的参数的值的网页包括关联网域内的所有网页，所述关联网域为与所述目标网页至少共用部分数据库的内容的网域；

以及，

若有网页中包含所述的唯一标识符则记录所述待检测参数存在存储跨站攻击脚本漏洞。

2.如权利要求1所述的存储跨站攻击脚本漏洞检测方法，其特征在于，获取目标网页的待检测参数包括：获取所述目标网页中用户可输入的参数作为所述待检测参数。

3.如权利要求1所述的存储跨站攻击脚本漏洞检测方法，其特征在于，遍历所有可能输出所述提交的参数的值的网页包括：遍历与所述目标网页在同一网域内的所有网页。

4.如权利要求1所述的存储跨站攻击脚本漏洞检测方法，其特征在于，遍历所有可能输出所述提交的参数的值的网页包括：遍历与所述目标网页具有相同的顶级域名的所有网页。

5.如权利要求1所述的存储跨站攻击脚本漏洞检测方法，其特征在于，遍历所有可能输出所述提交的参数的值的网页是由搜索引擎进行的；判断是否有网页中是否包含所述的唯一标识符包括：将所述的唯一标识符提交到所述搜索引擎进行检索，若检测到结果则有网页中包含所述唯一标识符。

6.一种存储跨站攻击脚本漏洞检测装置，其特征在于，包括：

参数获取模块，用于获取目标网页的待检测参数，所述待检测参数是指所述目标网页中能被网站服务器接收并处理的参数；

字符串构造模块，用于构造一个特征字符串，该特征字符串内包含可触发存储跨站脚本攻击的字符以及唯一标识符；

参数提交模块，用于将所述特征字符串作为所述待检测参数的值提交至对应的网站服务器；

检测模块，用于等待预定时间后将唯一标识符作为关键字提交至搜索引擎，利用所述搜索引擎的网络爬虫系统，遍历所有可能输出所述提交的参数的值的网页，并判断是否有网页中是否包含所述的唯一标识符；其中，所述所有可能输出所述提交的参数的值的网页包括关联网域内的所有网页，所述关联网域为与所述目标网页至少共用部分数据库的内容的网域；

以及，

漏洞记录模块，用于若有网页中包含所述的唯一标识符则记录所述待检测参数存在存储跨站攻击脚本漏洞。

7.如权利要求6所述的存储跨站攻击脚本漏洞检测装置，其特征在于，所述参数获取模块用于：获取所述目标网页中用户可输入的参数作为所述待检测参数。

8.如权利要求6所述的存储跨站攻击脚本漏洞检测装置，其特征在于，所述检测模块用于：遍历与所述目标网页在同一网域内的所有网页。

9.如权利要求6所述的存储跨站攻击脚本漏洞检测装置，其特征在于，所述检测模块用于：遍历与所述目标网页具有相同的顶级域名的所有网页。

10.一种存储跨站攻击脚本漏洞检测系统，其特征在于，包括：漏洞检测服务器以及搜索引擎；

所述漏洞检测服务器用于：获取目标网页的待检测参数；构造一个特征字符串，该特征字符串内包含可触发存储跨站脚本攻击的字符以及唯一标识符；将所述特征字符串作为所述待检测参数的值提交至所述目标网页；

所述搜索引擎用于：等待预定时间后将唯一标识符作为关键字提交至搜索引擎，利用所述搜索引擎的网络爬虫系统，遍历所有可能输出所述提交的参数的值的网页；其中，所述所有可能输出所述提交的参数的值的网页包括关联网域内的所有网页，所述关联网域为与所述目标网页至少共用部分数据库的内容的网域；

所述漏洞检测服务器还用于：将所述唯一标识符提交至所述搜索引擎进行检索，若所述搜索引擎返回的检索结果中包含至少一个匹配的网页则记录所述待检测参数存在存储跨站攻击脚本漏洞。