[发明专利]一种存储跨站攻击脚本漏洞检测方法、装置及系统

说明书

本发明涉及一种存储跨站攻击脚本漏洞检测方法、装置及系统。一个实施例中，上述的方法包括：获取目标网页的待检测参数；构造一个特征字符串，该特征字符串内包含可触发存储跨站脚本攻击的字符以及唯一标识符；将所述特征字符串作为所述待检测参数的值提交至所述目标网页；遍历所有可能输出所述提参数值的网页，并判断是否有网页中是否包含所述的唯一标识符；以及若有网页中包含所述的唯一标识符则记录所述待检测参数存在存储跨站攻击脚本漏洞。上述的方法、装置及系统可提升XSS漏洞检测的效率及准确性。

技术领域

本发明涉及计算机安全技术，尤其涉及一种存储跨站攻击脚本漏洞检测方法、装置及系统。

背景技术

跨站脚本攻击（Cross Site Script，XSS）是恶意攻击者通过在网页中加入恶意代码并诱使用户访问，当访问者浏览网页时恶意代码会在用户机器上执行，从而导致恶意攻击者盗取用户信息，或者在用户机器上挂载木马攻击并远程获得用户机器的控制权。XSS分为普通反射型XSS和存储XSS，存储XSS的恶意代码直接存储在目标网站的服务器上，因而比普通反射型XSS危害更大，影响面更广。

由于存储XSS漏洞的攻击方式十分隐蔽且在攻击网页无直接回显特征，目前业界还没有有效的自动化检测工具。

发明内容

有鉴于此，有必要提供一种存储跨站攻击脚本漏洞检测方法、装置及系统，其能够高效的检测网站中的存储跨站攻击脚本漏洞。

一种存储跨站攻击脚本漏洞检测方法，包括：获取目标网页的待检测参数；构造一个特征字符串，该特征字符串内包含可触发存储跨站脚本攻击的字符以及唯一标识符；将所述特征字符串作为所述待检测参数的值提交至所述目标网页；遍历所有可能输出所述提参数值的网页，并判断是否有网页中是否包含所述的唯一标识符；以及若有网页中包含所述的唯一标识符则记录所述待检测参数存在存储跨站攻击脚本漏洞。

一种存储跨站攻击脚本漏洞检测装置，包括：参数获取模块，用于获取目标网页的待检测参数；字符串构造模块，用于构造一个特征字符串，该特征字符串内包含可触发存储跨站脚本攻击的字符以及唯一标识符；参数提交模块，用于将所述特征字符串作为所述待检测参数的值提交至所述目标网页；检测模块，用于遍历所有可能输出所述提参数值的网页，并判断是否有网页中是否包含所述的唯一标识符；以及漏洞记录模块，用于若有网页中包含所述的唯一标识符则记录所述待检测参数存在存储跨站攻击脚本漏洞。

一种存储跨站攻击脚本漏洞检测系统，包括：漏洞检测服务器以及搜索引擎；所述漏洞检测服务器用于：获取目标网页的待检测参数；构造一个特征字符串，该特征字符串内包含可触发存储跨站脚本攻击的字符以及唯一标识符；将所述特征字符串作为所述待检测参数的值提交至所述目标网页；所述搜索引擎用于：遍历所有可能输出所述提参数值的网页；所述漏洞检测服务器还用于：将所述唯一标识符提交至所述搜索引擎进行检索，若所述搜索引擎返回的检索结果中包含至少一个匹配的网页则记录所述待检测参数存在存储跨站攻击脚本漏洞。

根据上述的存储跨站攻击脚本漏洞检测方法、装置及系统，通过模拟存储XSS的攻击方式向被检测的网站提交参数值，而参数的值内包含唯一标识符，在后续的网页遍历过程中若检测到此唯一标识符，则可判定对应的URL以及参数存在XSS漏洞。此种检测方式可全自动的进行，具有很高的检测效率以及准确性。

为让本发明的上述和其他目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合所附图式，作详细说明如下。

附图说明

图1为本发明实施例提供的方法及装置的运行环境示意图。

图2为图1中的漏洞检测服务器的结构框图。

图3为图1中的网站服务器的结构框图。

图4为第一实施例提供的存储跨站攻击脚本漏洞检测方法流程图。