Xss漏洞检测方法和装置的制造方法

Xss 漏洞检测方法和装置的制造方法
【技术领域】
[0001]本发明涉及计算机安全领域，具体而言，涉及一种XSS漏洞检测方法和装置。
【背景技术】
[0002]跨站脚本攻击XSS (Cross Site Scripting)漏洞是一种经常出现在Web页面也即网页中的计算机安全漏洞。具体地，XSS漏洞通常是指由于网页编写的问题所导致的用户能够向网页或网页所在的Web服务器植入代码的情形，其中，由于用户能够向网页或Web服务器植入自己编写的代码，因此恶意的用户便可以利用网页中的XSS漏洞绕开常规的访问控制，进而危害Web服务器、访问该网页的其他客户端及其常规用户。因此，为提高网络运行环境的安全等级和可靠性，如何有效地对网页中的XSS漏洞进行检测便成为了亟待解决的问题。
[0003]由于XSS漏洞通常是由于网页编写及其响应逻辑的不完善导致的，因此为了实现对XSS漏洞的有效检测，目前所通常采用的方案是对网页对应的网页文件进行匹配分析。具体地，可以预先设置有一些用于匹配的关键词，这些关键词通常可以体现出XSS漏洞的特征，进而利用这些关键词对网页文件进行匹配，并在检测到网页文件中存在一个或多个该关键词时，分析出该网页存在XSS漏洞。
[0004]然而，由于XSS漏洞的复杂性，其所对应的可能出现在网页文件中的关键词可能有很多种，这在一方面增大了维护关键词列表的负担，在另一方面也容易导致XSS漏洞的漏报。在又一方面，由于网页文件中的代码的复杂性，因此网页文件中可能存在一些不属于XSS漏洞的正常的内容却包含有某一个或多个上述关键词，在这一情形下，采用上述方式对XSS漏洞进行检测也容易出现XSS漏洞的误报。也就是说，现有的XSS漏洞的检测方案容易造成XSS漏洞的漏报或误报，也即现有方案的检测结果的准确性不足。针对这一问题，目前尚未提出有效的解决方案。

【发明内容】

[0005]本发明实施例提供了一种XSS漏洞检测方法和装置，以至少解决基于对网页文件进行匹配分析的XSS漏洞检测方案所得到的检测结果准确性较差的技术问题。
[0006]根据本发明实施例的一个方面，提供了一种XSS漏洞检测方法，包括:获取待检测的网页的统一资源标识符URL (Uniformed Resource Locator)和上述待检测的网页所在的Web服务器可执行的脚本代码；将上述脚本代码更新到上述待检测的网页的URL中；使用更新后的上述URL访问上述待检测的网页；判断上述Web服务器是否执行上述脚本代码；若上述Web服务器执行上述脚本代码，则判断出上述待检测的网页存在跨站脚本攻击XSS漏洞。
[0007]根据本发明实施例的另一方面，还提供了一种XSS漏洞检测装置，包括:获取单元，用于获取待检测的网页的统一资源标识符URL和上述待检测的网页所在的Web服务器可执行的脚本代码；更新单元，用于将上述脚本代码更新到上述待检测的网页的URL中；访问单元，用于使用更新后的上述URL访问上述待检测的网页；判断单元，用于判断上述Web服务器是否执行上述脚本代码；输出单元，用于在上述Web服务器执行上述脚本代码时，判断出上述待检测的网页存在跨站脚本攻击XSS漏洞。
[0008]在本发明实施例中，采用了对待检测的网页进行访问、进而分析网页的响应来检测该待检测的网页中是否存在XSS漏洞的方式。具体地，在本发明实施例中，可以先获取待检测的网页的URL和待检测的网页所在的Web服务器可执行的脚本代码，然后使用携带有该脚本代码的更新后的该URL访问该待检测的网页，以便于将该脚本代码上报给该Web服务器。由于对XSS漏洞有较为完善的防护措施的网页普遍不会直接执行URL中夹带的脚本代码，因此通过对Web服务器是否会直接执行该脚本代码进行判断，便可以得知待检测的网页中是否存在XSS漏洞。一般地，在上述场景下，如果Web服务器执行该脚本代码，则可以判断出待检测的网页中存在XSS漏洞，反之则可以认为网页中不存在XSS漏洞。通过上述方式，避免了由于网页文件的复杂性所带来的基于对网页文件的匹配分析进行的XSS漏洞检测的过程中可能带来的漏判和误判，提高了检测结果的准确性，进而解决了基于对网页文件进行匹配分析的XSS漏洞检测方案所得到的检测结果准确性较差的技术问题。
【附图说明】
[0009]此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中:
[0010]图1是根据本发明实施例的一种可选的XSS漏洞检测方法的示意图；
[0011]图2是根据本发明实施例的一种可选的XSS漏洞检测方法或装置的实施环境的示意图；
[0012]图3是根据本发明实施例的一种可选的网页页面的示意图；
[0013]图4是根据本发明实施例的另一种可选的网页页面的示意图；
[0014]图5是根据本发明实施例的又一种可选的网页页面的示意图；
[0015]图6是根据本发明实施例的又一种可选的网页页面的示意图；
[0016]图7是根据本发明实施例的另一种可选的XSS漏洞检测方法的示意图；
[0017]图8是根据本发明实施例的又一种可选的XSS漏洞检测方法的示意图；
[0018]图9是根据本发明实施例的一种可选的XSS漏洞检测装置的示意图；
[0019]图10是根据本发明实施例的一种可选的存储介质中存储的程序代码所执行的操作步骤的示意图；
[0020]图11是根据本发明实施例的一种可选的服务器的示意图。
【具体实施方式】
[0021 ] 为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分的实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。
[0022]需要说明的是，本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
[0023]实施例1
[0024]根据本发明实施例，提供了一种XSS漏洞检测方法，如图3所示，该方法包括:
[0025]S102:获取待检测的网页的URL和待检测的网页所在的Web服务器可执行的脚本代码；
[0026]S104:将脚本代码更新到待检测的网页的URL中；
[0027]S106:使用更新后的URL访问待检测的网页；
[0028]S108:判断Web服务器是否执行该脚本代码；
[0029]S110:若Web服务器执行脚本代码，则判断出待检测的网页存在跨站脚本攻击XSS漏洞。
[0030]应当明确的是，本发明实施例所要解决的问题之一是提供一种方法，以便实现对XSS漏洞的有效检测。
[0031]XSS漏洞是一种经常出现在Web页面也即网页中的计算机安全漏洞。具体地，XSS漏洞通常是指由于网页编写的问题所导致的用户能够向网页或网页所在的Web服务器植入代码的情形，其中，由于用户能够向网页或Web服务器植入自己编写的代码，因此恶意的用户便可以利用网页中的XSS漏洞绕开常规的访问控制，进而危害Web服务器、访问该网页的其他客户端及其常规用户。因此，为提高网络运行环境的安全等级和可靠性，如何有效地对网页中的XSS漏洞进行检测便成为了亟待解决的问题。
[0032]由于XSS漏洞通常是由于网页编写及其响应逻辑的不完善导致的，因此为了实现对XSS漏洞的有效检测，目前所通常采用的方案是对网页对应的网页文件进行匹配分析。具体地，可以预先设置有一些用于匹配的关键词，这些关键词通常可以体现出XSS漏洞的特征，进而利用这些关键词对网页文件进行匹配，并在检测到网页文件中存在一个或多个该关键词时，分析出该网页存在XSS漏洞。
[0033]然而，由于XSS漏洞的复杂性，其所对应的可能出现在网页文件中的关键词可能有很多种，这在一方面增大了维护关键词列表的负担，在另一方面也容易导致XSS漏洞的漏报。在又一方面，由于网页文件中的代码的复杂性，因此网页文件中可能存在一些不属于XSS漏洞的正常的内容却包含有某一个或多个上述关键词，在这一情形下，采用上述方式对XSS漏洞进行检测也容易出现XSS漏洞的误报。也就是说，现有的XSS漏洞的检测方案容易造成XSS漏洞的漏报或误报，也即现有方案的检测结果的准确性不足。
[0034]为解决上述问题，在本发明实施例中，采用了对待检测的网页进行访问、进而分析网页的响应来检测该待检测的网页中是否存在XSS漏洞的方式。具体地，在本发明实施例中，可以先获取待检测的网页的URL和待检测的网页所在的Web服务器可执行的脚本代码，然后使用携带有该脚本代码的更新后的该URL访问该待检测的网页，以便于将该脚本代码上报给该Web服务器。由于对XSS漏洞有较为完善的防护措施的网页普遍不会直接执行URL中夹带的脚本代码，因此通过对Web服务器是否会直接执行该脚本代码进行判断，便可以得知待检测的网页中是否存在XSS漏洞。一般地，在上述场景下，如果Web服务器执行该脚本代码，则可以判断出待检测的网页中存在XSS漏洞，反之则可以认为网页中不存在XSS漏洞。通过上述方式，避免了由于网页文件的复杂性所带来的基于对网页文件的匹配分析进行的XSS漏洞检测的过程中可能带来的漏判和误判，提高了检测结果的准确性，进而解决了基于对网页文件进行匹配分析的XSS漏洞检测方案所得到的检测结果准确性较差的技术问题。
[0035]以下将结合附图和具体实施例对本发明技术方案及其工作原理进行更为详细的描述。首先结合图2对根据本发明实施例提供的XSS漏洞检测方法的实施环境进行描述。
[0036]在图2中，Web服务器204可以是用于提供网页浏览服务的服务器，具体地，客户端206、208和210可以向Web服务器204发送请求访问由Web服务器204所维护的一个或多个网页的请求消息，并接收Web服务器204响应于该请求消息所返回的访问结果。更具体地，在本发明实施例中，上述客户端206、208和210包括但不限于是浏览器客户端，进而这些浏览器客户端可以根据返回的访问结果加载各项内部或外部资源并对页面进行渲染，生成用于向客户端的用户展示的网页页面，以便于用户对网页进行浏览。当然，这只是一种示例，在本发明的一些实施例中，上述客户端206、208和210也可以是浏览器客户端以外的客户端，用来向客户端的用户提供包括展示网页在内的更为丰富的功能，例如，在一个实施例中，客户端206也可以是网页游戏客户端，通过该网页游戏客户端仍然可以完成对Web服务器204所维护的游戏页面的访问，本发明对此不作限定。
[0037]进一步地，如图2所示，网络环境中还可以设置有后台服务器202，该后台服务器202可以用于提供数据安全服务。具体地，在本发明实施例中，后台服