[发明专利]一种跨站脚本攻击的检测方法和检测设备

说明书

本发明实施例提供一种跨站脚本攻击的检测方法和检测设备，涉及通信领域，能够解决攻击行为不能被及时检测的问题。其方法为：将用户在页面中的输入数据标记为污点数据；跟踪输入数据在客户端脚本语言的字节码指令中的传播，将执行字节码指令过程中使用输入数据的其它数据标记为污点数据，并生成由污点数据构成的传播路径；检测传播路径，若传播路径上有n个污点数据被发送至第三方，则确定发生XSS漏洞，n为正整数且大于或等于1。本发明实施例用于检测XSS漏洞。

技术领域

本发明涉及通信领域，尤其涉及一种跨站脚本攻击(Cross Site Scripting，XSS)的检测方法和检测设备。

背景技术

XSS通常是攻击者通过输入接口向Web页面中插入恶意脚本代码实施攻击，例如包括窃取cookie、会话劫持、篡改网页和蠕虫传播等攻击行为。目前，在大多数的Web网页中存在该类攻击的主要原因是程序中对Web请求中所包含的用户输入数据缺乏有效的验证及过滤机制,使得攻击者可以通过构造特殊的输入数据实施攻击。

现有技术中，在XSS漏洞检测方法中，通常是通过网络爬虫技术对网站进行遍历，并找出其中的交互式页面存入待检测页面列表中，对检测页面列表中任一页面来说，浏览器从页面中获取可以进行测试的表单项，在测试数据生成器根据页面信息产生测试数据后，将测试数据作为表单项内容向服务器提交，服务器确定该测试数据与预先构建的攻击模式库中的模式是否匹配，如果匹配，则确定存在XSS漏洞，保存当前检测页面信息和使用的测试数据，并向攻击检测器反馈信息，以通知攻击检测器当前检测的页面中存在XSS漏洞；如果不匹配，则继续对下一页面进行检测。

上述方法是通过匹配预先定义的攻击模式进行XSS漏洞检测的，但是攻击模式库的完善度直接影响了攻击检测时的准确性，一旦出现新的攻击模式，且该新的攻击模式未被录入攻击模式库中时，就无法及时检测到攻击行为，使得用户终端的网络安全性差。

发明内容

本发明实施例提供一种XSS的检测方法和检测设备，能够解决攻击行为不能被及时检测的问题。

第一方面，提供一种XSS的检测方法，包括：

将用户在页面中的输入数据标记为污点数据；具体可以获取页面中的输入数据的第一内存地址，所述第一内存地址用于指示所述输入数据或所述其它数据的存储位置，建立并保存为所述输入数据分配的第二内存地址与所述第一内存地址的映射关系，所述第二内存地址用于标记所述输入数据或所述其它数据为污点数据；

跟踪所述输入数据在客户端脚本语言的字节码指令中的传播，将执行所述字节码指令过程中使用所述输入数据的其它数据标记为污点数据，并生成由污点数据构成的传播路径，且按照生成所述传播路径的顺序排列所述传播路径的队列；例如可以通过数据流分析和控制流分析，按照执行所述字节码指令的顺序依次获取执行所述字节码指令过程中使用所述输入数据的其它数据；传播路径可以是同一信息流中的所述输入数据和所述其它数据对应的所述第二内存地址的顺序生成的；

检测所述传播路径，若所述传播路径上有n个污点数据被发送至第三方，则确定发生XSS漏洞，n为正整数且大于或等于1。例如，n为2，当有n个数据被作为用户身份信息或会话信息、或包括在链接信息中发送至第三方，则确定发生XSS漏洞。

也即，本申请是通过标记污点数据，和XSS的行为即所述传播路径上是否有n个污点数据被发送至第三方来确定是否发生XSS漏洞，而不是通过匹配预先定义的攻击模式进行XSS漏洞检测的，因此，即使攻击值采用编码、加密和混淆等技术绕过攻击模式的匹配，也仍然可以检测出XSS漏洞。

在将所述用户在所述页面中的输入数据标记为污点数据之前，所述方法还包括：