[发明专利]XSS漏洞检测方法、系统和Web服务器有效
| 申请号: | 201410049088.6 | 申请日: | 2014-02-12 |
| 公开(公告)号: | CN104836779B | 公开(公告)日: | 2019-07-26 |
| 发明(设计)人: | 王笑天;罗启武;董晓琼 | 申请(专利权)人: | 上海携程商务有限公司 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06;H04L12/26;H04L29/08;G06F21/56 |
| 代理公司: | 上海弼兴律师事务所 31283 | 代理人: | 薛琦;王聪 |
| 地址: | 200335 上海市*** | 国省代码: | 上海;31 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明公开了一种XSS漏洞检测方法、系统和Web服务器,其中XSS漏洞检测方法包括随机生成第一特征字符串,并请求网页;在获得的第一网页正文中检测到第一特征字符串时,生成第二特征字符串,并再次请求所述网页;获取各个网页正文的DOM树;筛选并触发各个具有数据交互的DOM对象的脚本事件;记录出现所述第一特征字符串数据位置以及被滤除的特殊符号;将所述第二特征字符串、数据位置和被滤除的特殊符号组合为测试数据;将所述测试数据通过XSS漏洞检测方式进行XSS漏洞检测。本发明还提供一种使用所述方法的XSS漏洞检测系统和Web服务器。本发明的XSS漏洞检测方法和系统提高了XSS漏洞检测效率和准确性。 | ||
| 搜索关键词: | 特征字符串 检测 测试数据 数据位置 网页正文 滤除 网页 符号组合 检测系统 脚本事件 数据交互 随机生成 触发 筛选 记录 | ||
【主权项】:
1.一种XSS漏洞检测方法,其特征在于,所述XSS漏洞检测方法包括以下步骤:随机生成一第一特征字符串,将所述第一特征字符串填充至一GET参数中,并请求网页;获得的网页正文作为第一网页正文后,在检测到所述第一网页正文中包含所述第一特征字符串时,生成包含一组特殊符号的一第二特征字符串,并将所述第二特征字符串填充至所述GET参数中,并再次请求网页;将再次获得的网页正文作为第二网页正文后,通过QTwebkit的API接口分别获取第一网页正文的DOM树和第二网页正文的DOM树;分别遍历第一网页正文和第二网页正文的DOM树的各个DOM对象节点,筛选出具有数据交互的DOM对象,并通过QTwebkit的API接口触发各个具有数据交互的DOM对象的脚本事件;分别遍历第一网页正文中DOM树和第二网页正文中DOM树的各个DOM对象节点,并记录第一网页正文中所有出现所述第一特征字符串的DOM对象节点的数据位置以及记录第二网页正文中对应于第一网页正文中出现所述第一特征字符串的各个DOM对象节点中被滤除的特殊符号;将所述第二特征字符串、数据位置和被滤除的特殊符号组合为多组包括所述第二特征字符串以及至少一个数据位置和至少一个被滤除的特殊符号的测试数据;将各组测试数据加入XSS漏洞检测的测试用例,并通过XSS漏洞检测方式对根据网页请求获得的网页正文进行XSS漏洞检测。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于上海携程商务有限公司,未经上海携程商务有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201410049088.6/,转载请声明来源钻瓜专利网。
- 上一篇:成型用包装材料
- 下一篇:用于无效机动车的高压系统的方法
