[发明专利]一种基于nodejs express应用的xss漏洞检测方法及装置

权利要求书

1.一种基于nodejs express应用的xss漏洞检测方法，其特征在于，包括：

发送get请求至nodejs express应用；

响应于所述get请求，在调用nodejs express应用的查询方法时将请求的参数转换为引用类型并赋予其漏洞标记属性，默认获取到的参数id是{id: 1}，则处理后得到的是{id:String(1) }，其中String(1)为携带了漏洞标记属性的引用类型；

在nodejs express应用返回函数设置钩子, 判断返回的参数是否为具有漏洞标记属性的引用类型，其中所述返回的参数来自url或程序内部，其与请求的参数相比可能已经发生了变化，需要对返回的参数进行判断，若返回的参数是从url获取的，则携带了漏洞标记属性；

若是，则表示所述nodejs express应用具有xss漏洞。

2.如权利要求1所述的基于nodejs express应用的xss漏洞检测方法，其特征在于，在所述发送get请求至nodejs express应用之后，还包括：

在Object.prototype原型上定义漏洞标记属性。

3.如权利要求1所述的基于nodejs express应用的xss漏洞检测方法，其特征在于，在所述发送get请求至nodejs express应用之前，还包括：

指定监听nodejs express应用的第三方库；

对nodejs express应用的查询方法进行重写并设置钩子函数。

4.如权利要求1所述的基于nodejs express应用的xss漏洞检测方法，其特征在于，在所述若是，则表示所述nodejs express应用具有xss漏洞之后，还包括：

若否，则表示所述nodejs express应用不具有xss漏洞。

5.一种基于nodejs express应用的xss漏洞检测装置，其特征在于，包括：

发送模块，用于发送get请求至nodejs express应用；

转换模块，用于响应于所述get请求，在调用nodejs express应用的查询方法时将请求的参数转换为引用类型并赋予其漏洞标记属性，默认获取到的参数id是{id: 1}，则处理后得到的是{id: String(1) }，其中String(1)为携带了漏洞标记属性的引用类型；

判断模块，用于在nodejs express应用返回函数设置钩子, 判断返回的参数是否为具有漏洞标记属性的引用类型，其中所述返回的参数来自url或程序内部，其与请求的参数相比可能已经发生了变化，需要对返回的参数进行判断，若返回的参数是从url获取的，则携带了漏洞标记属性，若是，则表示所述nodejs express应用具有xss漏洞，若否，则表示所述nodejs express应用不具有xss漏洞。

6.如权利要求5所述的基于nodejs express应用的xss漏洞检测装置，其特征在于，还包括：

定义模块，用于在Object.prototype原型上定义漏洞标记属性。

7.如权利要求5所述的基于nodejs express应用的xss漏洞检测装置，其特征在于，还包括：

监听模块，用于指定监听nodejs express应用的第三方库；

重写模块，用于对nodejs express应用的查询方法进行重写并设置钩子函数。