[发明专利]XSS 漏洞检测方法和装置

说明书

技术领域

本发明涉及计算机安全领域，具体而言，涉及一种XSS漏洞检测方法和装置。

背景技术

跨站脚本攻击XSS(CrossSiteScripting)漏洞是一种经常出现在Web页面也即网页中的计算机安全漏洞。具体地，XSS漏洞通常是指由于网页编写的问题所导致的用户能够向网页或网页所在的Web服务器植入代码的情形，其中，由于用户能够向网页或Web服务器植入自己编写的代码，因此恶意的用户便可以利用网页中的XSS漏洞绕开常规的访问控制，进而危害Web服务器、访问该网页的其他客户端及其常规用户。因此，为提高网络运行环境的安全等级和可靠性，如何有效地对网页中的XSS漏洞进行检测便成为了亟待解决的问题。

由于XSS漏洞通常是由于网页编写及其响应逻辑的不完善导致的，因此为了实现对XSS漏洞的有效检测，目前所通常采用的方案是对网页对应的网页文件进行匹配分析。具体地，可以预先设置有一些用于匹配的关键词，这些关键词通常可以体现出XSS漏洞的特征，进而利用这些关键词对网页文件进行匹配，并在检测到网页文件中存在一个或多个该关键词时，分析出该网页存在XSS漏洞。

然而，由于XSS漏洞的复杂性，其所对应的可能出现在网页文件中的关键词可能有很多种，这在一方面增大了维护关键词列表的负担，在另一方面也容易导致XSS漏洞的漏报。在又一方面，由于网页文件中的代码的复杂性，因此网页文件中可能存在一些不属于XSS漏洞的正常的内容却包含有某一个或多个上述关键词，在这一情形下，采用上述方式对XSS漏洞进行检测也容易出现XSS漏洞的误报。也就是说，现有的XSS漏洞的检测方案容易造成XSS漏洞的漏报或误报，也即现有方案的检测结果的准确性不足。针对这一问题，目前尚未提出有效的解决方案。

发明内容

本发明实施例提供了一种XSS漏洞检测方法和装置，以至少解决基于对网页文件进行匹配分析的XSS漏洞检测方案所得到的检测结果准确性较差的技术问题。

根据本发明实施例的一个方面，提供了一种XSS漏洞检测方法，包括：获取待检测的网页的统一资源标识符URL(UniformedResourceLocator)和上述待检测的网页所在的Web服务器可执行的脚本代码；将上述脚本代码更新到上述待检测的网页的URL中；使用更新后的上述URL访问上述待检测的网页；判断上述Web服务器是否执行上述脚本代码；若上述Web服务器执行上述脚本代码，则判断出上述待检测的网页存在跨站脚本攻击XSS漏洞。

根据本发明实施例的另一方面，还提供了一种XSS漏洞检测装置，包括：获取单元，用于获取待检测的网页的统一资源标识符URL和上述待检测的网页所在的Web服务器可执行的脚本代码；更新单元，用于将上述脚本代码更新到上述待检测的网页的URL中；访问单元，用于使用更新后的上述URL访问上述待检测的网页；判断单元，用于判断上述Web服务器是否执行上述脚本代码；输出单元，用于在上述Web服务器执行上述脚本代码时，判断出上述待检测的网页存在跨站脚本攻击XSS漏洞。

在本发明实施例中，采用了对待检测的网页进行访问、进而分析网页的响应来检测该待检测的网页中是否存在XSS漏洞的方式。具体地，在本发明实施例中，可以先获取待检测的网页的URL和待检测的网页所在的Web服务器可执行的脚本代码，然后使用携带有该脚本代码的更新后的该URL访问该待检测的网页，以便于将该脚本代码上报给该Web服务器。由于对XSS漏洞有较为完善的防护措施的网页普遍不会直接执行URL中夹带的脚本代码，因此通过对Web服务器是否会直接执行该脚本代码进行判断，便可以得知待检测的网页中是否存在XSS漏洞。一般地，在上述场景下，如果Web服务器执行该脚本代码，则可以判断出待检测的网页中存在XSS漏洞，反之则可以认为网页中不存在XSS漏洞。通过上述方式，避免了由于网页文件的复杂性所带来的基于对网页文件的匹配分析进行的XSS漏洞检测的过程中可能带来的漏判和误判，提高了检测结果的准确性，进而解决了基于对网页文件进行匹配分析的XSS漏洞检测方案所得到的检测结果准确性较差的技术问题。

附图说明

此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1是根据本发明实施例的一种可选的XSS漏洞检测方法的示意图；

图2是根据本发明实施例的一种可选的XSS漏洞检测方法或装置的实施环境的示意图；

图3是根据本发明实施例的一种可选的网页页面的示意图；