[发明专利]一种基于云端数据的XSS漏洞检测方法

说明书

本发明公开了一种基于云端数据的XSS漏洞检测方法，其主要包括：对一次XSS漏洞检测攻击在云端服务器集中存储与统计，与根据统计结果筛选最终使用的XSS漏洞检测测试用例。本发明提供的漏洞检测方法，通过提取攻击向量特征值并为特征值进行评分的方式，使得利用离散的攻击向量检测数据评价测试用例攻击向量成为可能；本发明的漏洞检测方法利用动态特征编码，时序评分等方式，提高了系统的兼容性与时效性，从而提升XSS漏洞检测的效率和准确性。

技术领域

本发明涉及一种利用云端数据的XSS漏洞检测方法，属于计算机软件领域。

背景技术

跨站脚本攻击(Cross-Site-Script)一直是常见于Web应用中的攻击方法。黑客通过页面的漏洞上传脚本片段，对网页代码进行修改，以达到当受害者浏览被篡改的网页代码时，在受害者计算机上执行恶意脚本的目的。

目前的自动化XSS漏洞检测系统是通过遍历测试用例列表，针对每一个测试用例执行统一的提交测试。大多数测试用例列表是静态固定的，即使存在扩展与筛选的模块，也仅能通过参数设定生成攻击向量的多寡。无法应对需要覆盖由于网络技术发展而产生的新型的测试用例，及剔除已经失效的过时用例的情况。造成测试的覆盖面积不全与冗余。

此外，安全人员在进行页面更新后需要快速测定bug是否修复。现今自动化XSS漏洞检测系统亦不存在对此的优化，而会造成二次检测的流程过于冗余。

发明内容

因此，有必要提供一种方法，能够动态的获取当前网络环境下攻击向量的强度，以及判断攻击向量是否已经过时。进而能够针对不同的使用情况使用不同层级的测试用例进行自动化漏洞检测。

为达到上述目的，本发明通过收集、处理已有的XSS漏洞检测结果的数据，来计算攻击向量的强度，从而量化地得出攻击向量在当前网络环境下的强弱。便于测试用例的筛选。此外，通过动态的特征码编码方式，提升了漏洞检测结果的利用效果，并保留了对未来新增特征的延展性。另外，通过将存储检测结果与计算攻击向量强度环节放置在云端服务器上，可以有效的整合多个客户端的检测结果，降低客户端算力浪费的同时增强漏洞检测的整体性能。

本发明通过下面的技术方案达到上述效果的：

本发明提供了一种XSS漏洞检测结果的存储，利用方法，包括获取需要记录与处理的攻击记录中的信息；将其中的攻击向量转换为特征值；通过记录库中的网站历史记录及检测结果计算攻击评分；根据攻击评分与记录产生的时间以记录，更新时序攻击评分；并将攻击产生的时间，受攻击的网站，攻击向量的特征值，时序攻击评分与攻击结果进行存储。

本发明还提供了一种XSS漏洞检测的方法，主要针对测试用例的筛选部分进行改造，包括获取需要评估的攻击向量；计算其特征值；获取含有关特征值的全部记录的时序评分；计算特征的攻击强度贡献；计算整体的攻击强度；将攻击向量强度与最后一次使用时间同标准进行对比，决定是否使用该测试用例。

为确保有足够的记录被存储，以及不会造成重复的计算力浪费，本发明计算攻击向量特征值，进行攻击评分的计算与存储攻击的记录均存储于云端服务器中，便于整合多个客户端，与公开来源信息的漏洞检测结果。

本发明使用一个二元组来决定特征值，该二元组包含混淆特征值与注入位置特征值。注入位置特征值是注入使用的标签与属性的组合，一种组合与一个正整数值意义对应。而混淆特征值则是一个二进制数，每一位代表一个混淆特征。这样便于漏洞检测系统进行动态编码，以保证漏洞检测系统的扩展性。

一种XSS漏洞检测方法，其特征在于，所述XSS漏洞检测方法，使用以下步骤筛选最终的测试用例：

获取测试用例所用的攻击向量内容与当前系统时间；

计算攻击向量的特征值；

在服务器数据库中查询全部与特征值有关的记录，根据记录与系统时间计算时序带权评分；