[发明专利]检测跨站脚本攻击注入的方法及系统有效
申请号: | 201510476875.3 | 申请日: | 2015-08-06 |
公开(公告)号: | CN105049440B | 公开(公告)日: | 2018-04-10 |
发明(设计)人: | 陈丛亮;刘德建;毛新生 | 申请(专利权)人: | 福建天晴数码有限公司 |
主分类号: | H04L29/06 | 分类号: | H04L29/06 |
代理公司: | 福州市博深专利事务所(普通合伙)35214 | 代理人: | 林志峥 |
地址: | 350000 *** | 国省代码: | 福建;35 |
权利要求书: | 查看更多 | 说明书: | 查看更多 |
摘要: | |||
搜索关键词: | 检测 脚本 攻击 注入 方法 系统 | ||
技术领域
本发明涉及一种检测跨站脚本攻击注入的方法及系统。
背景技术
所谓跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets,CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。
XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的网络钓鱼(Phishing)攻击而变得广为人知。对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是新型的“缓冲区溢出攻击”,而JavaScript是新型的“ShellCode”。
目前许多网站有发现存在跨站点脚本的漏洞,很多都是使用爬虫对站点进行遍历,这样处理,会造成请求跟踪不够全面,测试不够完整。
现有专利申请(申请号:201510046908.0)提出了一种跨站漏洞扫描方法及系统,所述方法包括如下步骤:对目标站点的全站或单页面的链接进行爬取;对爬取得到的链接以预设条件进行过滤,以得到多个潜在跨站漏洞链接;采用攻击向量对每个所述潜在跨站漏洞链接进行模糊测试;在模糊测试过程中,采用浏览模块内核对每个所述潜在跨站漏洞链接的网页源码进行动态解析,以判断所述潜在跨站漏洞链接是否存在跨站漏洞;将存在跨站漏洞的链接和对应加载的攻击向量保存至数据库。该专利是采用攻击向量对每个潜在链接进行模糊测试,工作量大,对硬件配置要求高。
发明内容
本发明所要解决的技术问题是:通过配置反向代理模块,并根据所有请求信息,提取可变参数,注入测试字典,进行跨站脚本攻击测试,以获取返回值,进而实现更加全面的检测网站中存在的XSS漏洞,减少用户受攻击的风险,提高站点安全性,并且比较爬虫的方式检测的URL更加完整。
为了解决上述技术问题,本发明采用的技术方案为:提供一种检测跨站脚本攻击注入的方法,包括:
反向代理模块记录用户访问的请求日志;
对所述请求日志进行分组归类,生成URL参数,并保存;
分别检测所述URL参数中的参数名称及参数值;
替换所述参数值为脚本注入攻击字典列表中对应的内容,生成第二请求;
发送第二请求到目标服务器,并接收返回响应请求;
判断所述返回响应请求中是否含有攻击内容;
若是,则将所述URL参数列入注入风险列表中。
为解决上述问题,本发明还提供一种检测跨站脚本攻击注入的系统,包括:
反向代理模块,用于记录用户访问的请求日志;
分类保存模块,用于对所述请求日志进行分组归类,生成URL参数,并保存;
检测模块,用于检测所述URL参数中的参数名称及参数值;
替换生成模块,用于替换所述参数值为脚本注入攻击字典列表中对应的内容,生成第二请求;
发送接收模块,用于发送第二请求到目标服务器,并接收返回响应请求;
判断模块,用于判断所述返回响应请求中是否含有攻击内容;
列表模块,用于将所述URL参数列入注入风险列表中。
本发明的有益效果在于:区别于现有技术,通过配置反向代理模块,并根据所有请求信息,提取可变参数,注入测试字典,进行跨站脚本攻击测试,以获取返回值,进而实现更加全面的检测网站中存在的XSS漏洞,减少用户受攻击的风险,提高站点安全性,并且比较爬虫的方式检测的URL更加完整。
附图说明
图1为本发明方法实施例一的流程示意图;
图2为本发明方法实施例二的流程示意图;
图3为本发明系统实施例三的结构框图;
图4为本发明系统实施例四的结构框图。
具体实施方式
为详细说明本发明的技术内容、所实现目的及效果,以下结合实施方式并配合附图予以说明。
本发明最关键的构思在于:通过对跨站脚本攻击注入请求进行分析、替换处理,通过发送第二请求以对响应请求进行判断,实现检测跨站脚本攻击注入到系统中。
请参照图1,本发明实施例一提供一种检测跨站脚本攻击的方法,包括如下步骤:
S1:反向代理模块记录用户访问的请求日志;
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于福建天晴数码有限公司,未经福建天晴数码有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201510476875.3/2.html,转载请声明来源钻瓜专利网。