[发明专利]XSS 漏洞检测方法和装置

权利要求书

1.一种XSS漏洞检测方法，其特征在于，包括：

获取待检测的网页的统一资源标识符URL和所述待检测的网页所在的Web服务器可执行的脚本代码；

将所述脚本代码更新到所述待检测的网页的URL中；

使用更新后的所述URL访问所述待检测的网页；

判断所述Web服务器是否执行所述脚本代码；

若所述Web服务器执行所述脚本代码，则判断出所述待检测的网页存在跨站脚本攻击XSS漏洞。

2.根据权利要求1所述的方法，其特征在于，所述将所述脚本代码更新到所述待检测的网页的URL中包括：

将所述脚本代码添加到所述待检测的网页的URL中的参数部分，或者，将所述待检测的网页的URL中的参数部分替换为所述脚本代码，得到更新后的所述URL，其中，更新后的所述URL用于使所述Web服务器从所述参数部分提取所述脚本代码。

3.根据权利要求2所述的方法，其特征在于，所述将所述待检测的网页的URL中的参数部分替换为所述脚本代码包括：

在所述待检测的网页中查找第一指示符，其中，所述第一指示符用于指示参数在所述待检测的网页的URL中的起始位置；使用所述脚本代码替换所述第一指示符之后的字符或字符串，得到更新后的所述URL；或者，

在所述待检测的网页中查找第一指示符和第二指示符，其中，所述第一指示符用于指示参数在所述待检测的网页的URL中的起始位置，所述第二指示符用于指示参数在所述待检测的网页的URL中的终止位置；使用所述脚本代码替换所述第一指示符与所述第二指示符之间的字符或字符串，得到更新后的所述URL。

4.根据权利要求1至3中任一项所述的方法，其特征在于，

所述使用更新后的所述URL访问所述待检测的网页包括：调用浏览器使用更新后的所述URL访问所述待检测的网页；

所述判断所述Web服务器是否执行所述脚本代码包括：判断所述浏览器是否获取到由所述Web服务器返回的执行所述脚本代码后得到的执行结果，若所述浏览器获取到所述执行结果，则判断出所述Web服务器已执行所述脚本代码。

5.根据权利要求4所述的方法，其特征在于，

所述获取待检测的网页的URL和可被所述待检测的网页所在的Web服务器执行的脚本代码包括：获取所述待检测的网页的URL和所述脚本代码，其中，所述脚本代码包括JavaScript的alert函数；

所述判断所述浏览器是否获取到由所述Web服务器返回的执行所述脚本代码后得到的执行结果包括：判断所述浏览器是否生成alert弹窗并提示由所述alert函数所指示的内容，若是，则判断出所述Web服务器已执行所述脚本代码。

6.一种XSS漏洞检测装置，其特征在于，包括：

获取单元，用于获取待检测的网页的统一资源标识符URL和所述待检测的网页所在的Web服务器可执行的脚本代码；

更新单元，用于将所述脚本代码更新到所述待检测的网页的URL中；

访问单元，用于使用更新后的所述URL访问所述待检测的网页；

判断单元，用于判断所述Web服务器是否执行所述脚本代码；

输出单元，用于在所述Web服务器执行所述脚本代码时，判断出所述待检测的网页存在跨站脚本攻击XSS漏洞。

7.根据权利要求6所述的装置，其特征在于，所述更新单元包括：

更新模块，用于将所述脚本代码添加到所述待检测的网页的URL中的参数部分，或者，将所述待检测的网页的URL中的参数部分替换为所述脚本代码，得到更新后的所述URL，其中，更新后的所述URL用于使所述Web服务器从所述参数部分提取所述脚本代码。