[发明专利]一种XSS攻击检测方法及装置

说明书

本发明实施例提供一种XSS攻击检测方法及装置。其中，该方法包括：检测接收到的用户请求，判断是否为XSS攻击；若是XSS攻击，则从用户请求中提取XSS攻击向量；获取对应用户请求的应答报文，将应答报文放入JS沙箱中运行并执行监听事件，将监听到的对应应答报文的事件与XSS攻击向量对比，若对比结果一致，则XSS攻击成功。针对XSS攻击的的特点，提取XSS攻击向量和应答报文在JS沙箱中运行结果，将提取的攻击向量和JS沙箱运行结果进行比对，对攻击结果进行研判，减少了维护成本。

技术领域

本发明涉及信息安全领域，尤其涉及一种XSS攻击检测方法及装置。

背景技术

攻击者为了达到恶意攻击用户的目的，会在web页面中插入一些恶意的script代码，当用户浏览该页面的时候，可能会执行攻击者恶意插入的script代码，以此完成XSS攻击。

目前，检测XSS攻击可以使用基于正则的规则检测、基于机器学习的算法预测判断检测或基于语义分析的检测等方法。而这些方法都没有进入到浏览器真实执行JS脚本的环节，都是基于文本的解析检测，因此，存在一定的误报和漏报。现有技术中还可以通过应答页面的规则匹配检测XSS攻击：通过注入特定的攻击payload(payload，在病毒代码中实现一些有害的或者恶性的动作的功能的部分叫做“有效负载”)，然后通过正则表达式检查对应的应答页面中攻击payload的JS脚本是否被网站编码。如果没有被编码则认为攻击成功。但是这种方式容易出现误报，因为payload没有被编码不代表浏览器会执行payload，有可能payload是被当作文本显示出来，因此，造成误报。

而且，由于web攻击在网络中存在大量扫描攻击，其中大部分是扫描器，大量攻击是无效的。而传统的入侵检测系统(Intrusion Detection Systems，简称IDS)会将所有攻击都进行告警，而防护人员只需要关心攻击成功的攻击，因此将所有攻击都进行告警会对维护人员造成巨大成本。

发明内容

针对现有技术中的问题，本发明实施例提供一种XSS攻击检测方法及装置。

具体地，本发明实施例提供了以下技术方案：

第一方面，本发明实施例提供了一种SQL注入检测方法，包括：检测接收到的用户请求，判断是否为XSS攻击；若是XSS攻击，则从所述用户请求中提取XSS攻击向量；获取对应所述用户请求的应答报文，将所述应答报文放入JS沙箱中运行并执行监听事件，将监听到的对应所述应答报文的事件与所述XSS攻击向量对比，若对比结果一致，则XSS攻击成功。

进一步地，所述检测接收到的用户请求，包括：通过XSS攻击检测规则检测接收到的用户请求；和/或通过语义分析方法检测接收到的用户请求；和/或通过沙箱检测方法检测接收到的用户请求。

进一步地，所述用户请求包括http请求。

进一步地，所述从所述用户请求中提取XSS攻击向量，包括：判断所述用户请求中是否包括用户参数，若包括所述用户参数，则从所述用户请求中解析出所述用户参数，将所述用户参数对应的参数值作为所述XSS攻击向量。

进一步地，所述将监听到的对应所述应答报文的事件与所述XSS攻击向量对比，包括：将监听到的对应所述应答报文的事件的函数与所述用户参数对应的参数值对比。

进一步地，所述获取对应所述用户请求的应答报文，将所述应答报文放入JS沙箱中运行并执行监听事件，包括：获取对应所述用户请求的应答报文，从所述应答报文中解析出对应所述用户请求的应答页面，将所述应答页面放入JS沙箱中运行并执行监听事件。