[发明专利]基于文档对象模型的跨站脚本攻击漏洞检测方法及装置在审
| 申请号: | 201310554402.1 | 申请日: | 2013-11-08 |
| 公开(公告)号: | CN104636664A | 公开(公告)日: | 2015-05-20 |
| 发明(设计)人: | 翁家才 | 申请(专利权)人: | 腾讯科技(深圳)有限公司 |
| 主分类号: | G06F21/56 | 分类号: | G06F21/56 |
| 代理公司: | 北京三高永信知识产权代理有限责任公司 11138 | 代理人: | 滕一斌 |
| 地址: | 518000 广东省深圳*** | 国省代码: | 广东;44 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明公开了一种基于文档对象模型的跨站脚本攻击漏洞检测方法及装置、终端。所述方法包括:获取待检测网页的原始网址中的参数值对集合,参数值对集合中包括至少一个参数值对;对参数值对集合中的每个参数值对,采用特征脚本替换参数值形成待检测网页的测试网址;特征脚本为包含有恶意字符且能在待检测网页的文档对象模型树中唯一标识的恶意代码;获取测试网址的页面内容;将页面内容转化为文档对象模型树;根据文档对象模型树和特征脚本检测当前的参数值对是否存在跨站脚本攻击漏洞。本发明通过采用上述方案,只需在转化的DOM树中寻找插入的特征脚本,而不需要让特征脚本触发执行就能有效发现DOM XSS漏洞,大大提高了漏洞发现能力及检测效率。 | ||
| 搜索关键词: | 基于 文档 对象 模型 脚本 攻击 漏洞 检测 方法 装置 | ||
【主权项】:
一种基于文档对象模型的跨站脚本攻击漏洞检测方法,其特征在于,所述方法包括:获取待检测网页的原始网址中的参数值对集合,所述参数值对集合中包括至少一个参数值对;对所述参数值对集合中的每个所述参数值对,采用特征脚本替换所述参数值,形成所述待检测网页的测试网址;所述特征脚本为包含有恶意字符且能在所述待检测网页的文档对象模型树中唯一标识的恶意代码;获取所述测试网址的页面内容;将所述页面内容转化为文档对象模型树;根据所述文档对象模型树和所述特征脚本检测当前的所述参数值对是否存在跨站脚本攻击漏洞。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于腾讯科技(深圳)有限公司,未经腾讯科技(深圳)有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201310554402.1/,转载请声明来源钻瓜专利网。
