CN101964025A - Xss检测方法和设备 - Google Patents
Xss检测方法和设备 Download PDFInfo
- Publication number
- CN101964025A CN101964025A CN2009100897868A CN200910089786A CN101964025A CN 101964025 A CN101964025 A CN 101964025A CN 2009100897868 A CN2009100897868 A CN 2009100897868A CN 200910089786 A CN200910089786 A CN 200910089786A CN 101964025 A CN101964025 A CN 101964025A
- Authority
- CN
- China
- Prior art keywords
- parameter
- xss
- url
- script
- value
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1475—Passive attacks, e.g. eavesdropping or listening without modification of the traffic monitored
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2119—Authenticating web pages, e.g. with suspicious links
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y10—TECHNICAL SUBJECTS COVERED BY FORMER USPC
- Y10S—TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y10S707/00—Data processing: database and file management or data structures
- Y10S707/99931—Database or file accessing
- Y10S707/99933—Query processing, i.e. searching
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y10—TECHNICAL SUBJECTS COVERED BY FORMER USPC
- Y10S—TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y10S707/00—Data processing: database and file management or data structures
- Y10S707/99931—Database or file accessing
- Y10S707/99939—Privileged access
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Debugging And Monitoring (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明公开了一种检测网页中的XSS漏洞的XSS漏洞检测方法,包括为网页可接收的参数-值对集合中的每个参数-值对:构造在值中***了特定脚本的参数-值对,基于该***了特定脚本的参数-值对来组装对应于所述网页的URL,获取对应于所组装的URL的动态网页内容,以及模拟执行所获取的动态网页内容,如果执行了所述特定脚本,则认为所述网页中对该参数的处理存在XSS漏洞。本发明还公开了一种相应的XSS漏洞检测设备和使用该设备的网站安全扫描***和网络扫描***。
Description
技术领域
本发明涉及网站安全扫描和分析领域,尤其涉及一种用于对网站中的网页是否具有XSS(跨站脚本攻击)漏洞进行检测的方法和设备。
背景技术
从二十世纪九十年代开始,XSS漏洞开始被披露,其发现和利用为人们所关注。XSS,即跨站脚本攻击,是利用网站漏洞从用户那里恶意盗取信息的方式之一。用户在浏览网站、使用即时通讯软件、或者在阅读电子邮件时,通常会点击其中的链接。恶意攻击者在链接中***恶意代码,当用户点击这些链接时,生成相应网页的网络服务器由于没有过滤这些恶意代码而具有XSS漏洞,因此生成包含恶意代码的页面,而这个页面看起来就像是那个网站应当生成的合法页面一样,从而导致这些恶意代码最终在用户计算机上执行,绕过用户本地的安全机制来盗取用户信息,甚至在用户机器上进行挂马攻击而远程获得用户机器的控制权等。攻击者通常会用十六进制(或其他编码方式)将链接编码,以免用户怀疑它的合法性。XSS在目前互联网站点上普遍存在,给直接用户带来极大的威胁。近年来,XSS一举超过缓冲区溢出而成为最流行的安全漏洞之一。大约至少有68%的网站存在XSS漏洞。
检测XSS从检测的途径来看可分为远程主动检测和本地被动检测两种方式。本地被动检测技术主要应用在浏览器里,目前IE8,firefox的noscript插件都支持XSS检测。远程主动检测则主要应用在远程漏洞扫描器类的检测类工具里。本发明主要是针对远程检测技术进行改进。
随着网站程序员对安全的认识也有所增强,会对用户输入的参数进行一些特别处理,这部分特别处理给远程扫描XSS漏洞带来了一定的难度,尤其是更容易给远程扫描带来误报。
目前已经提出了几种用于远程扫描网络服务器的XSS漏洞的方法。美国专利US 7343626B1公开了一种测试网站是否具有XSS漏洞的自动化方法和***,其中包括:对于网络服务器的网页,找出其所有参数-值对;对于每个参数-值对,构造特定的跟踪值,并且将构造的参数-值对提交到网络服务器以请求网页;如果返回的网页中包含特定的跟踪值,则说明该网页可能具有XSS漏洞;此时基于网页中特定跟踪值出现的位置,构造包括脚本的第二特定跟踪值,并再次提交到网络服务器,并根据返回的网页是否执行该脚本来判断网页是否具有XSS漏洞。然而,美国专利US 7343626B1所公开的方法需要两次提交参数-值对,因此执行效率不高。此外该方法还需要基于特定跟踪值出现的位置来构造包括脚本的第二特定跟踪值,由于随着网络技术的发展,XSS漏洞可能以其他位置出现,这也会导致该方法不能完整地检测出XSS漏洞。
一些开源软件中也公开了其它用于远程检测XSS漏洞的方法,其大致原理如下,对于某个要检测的网页,首先确定该网页接受的参数-值对,然后对于每个参数,构造特定的值,并且利用这些特定构造的参数-值对向网络服务器请求该网页,最后根据返回信息来判断漏洞是否存在。对返回信息的分析方法,这些方法采用的是基于正则表达式的匹配。在这些开源软件的检测方法中,通过基于特征串的正则表达式匹配来分析返回信息以判断是否具有XSS漏洞,这在某些情况下会产生一些误报或者漏报。此外,在基于DOM的XSS漏洞中,该方法无法判断漏洞能否被触发。例如,返回的网页虽然包含了构造的特定值,但是该特定值不会被执行时,该方法仍然认为网页存在XSS漏洞,但是实际上并非如此。
可以看出,在本技术领域,还没有一种方法和设备可以完全且高效地检测XSS漏洞,本发明力图通过对开源软件中所提出的方法进行改进来提供一种完全自动化的、可以全面且高效地检测XSS漏洞的方案。
发明内容
本发明的申请人发现,XSS漏洞的最终结果是要在被攻击者的机器上执行非预期的脚本代码,因此,如果利用javascript解析引擎来确定非预期的脚步代码是否在被攻击者的机器上执行,则可以非常全面地检测XSS漏洞。本发明基于此做出。
根据本发明的一个方面,提供了一种检测网页中的XSS漏洞的XSS漏洞检测方法,包括步骤:确定网页可接收的参数-值对集合;以及为所述参数-值对集合中的每个参数-值对:构造在值中***了特定脚本的参数-值对;基于该***了特定脚本的参数-值对来组装对应于所述网页的URL;获取对应于所组装的URL的动态网页内容;以及模拟执行所获取的动态网页内容,如果执行了所述特定脚本,则认为所述网页中对该参数的处理存在XSS漏洞。
根据本发明的一个实施例,在所述模拟执行所获取的动态网页内容的步骤中,使用脚本解析引擎来模拟执行所述网页内容中,该脚本解析引擎被构造为基于特定脚本是否被触发来确定是否存在XSS漏洞。
根据本发明的另一方面,提供了一种检测网页中的XSS漏洞的XSS漏洞检测设备,包括:网页参数-值对集合确定装置,用于确定所述网页可以接收的参数-值对集合;测试URL组装装置,为所述参数-值对集合中的每个参数-值对组装测试用的URL,其中在组织所述测试用的URL时,在所述值中***特定的脚本;请求和接收装置,用于将所述测试用的URL发送到网络服务器,并接收从所述网络服务器返回的网页内容;以及模拟执行装置,用于模拟执行所述网页内容,并且在所述特定脚本被执行时,确定相应参数存在XSS漏洞。
根据本发明的一个实施例,该XSS漏洞检测设备还包括脚本解析引擎,所述模拟执行装置在模拟执行所述网页内容时使用所述脚本解析引擎来执行脚本,所述脚本解析引擎根据所述特定脚本是否被触发来确定所述相应参数是否存在XSS漏洞。
本发明通过组装具有特定脚本的参数值的URL,并检测该URL返回的动态网页内容是否会触发该特定脚本来确定该动态网页是否具有XSS漏洞。和传统上仅仅通过判断相应内容是否会出现在动态网页中的特征匹配相比,其准确度更高而且检测更加全面。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。其中在附图中,参考数字之后的字母标记指示多个相同的部件,当泛指这些部件时,将省略其最后的字母标记。在附图中:
图1示出了根据本发明实施例的、用于检测网页的XSS漏洞的方法的流程图;
图2示出了根据本发明实施例的、用于确定网络服务器对某个参数的处理是否存在XSS漏洞的方法的流程图;以及
图3示出了根据本发明实施例的、用于检测网页的XSS漏洞的设备的示意图。
具体实施例
下面结合附图和具体的实施方式对本发明作进一步的描述。
图1示出了根据本发明实施例的、用于检测网页XSS漏洞的方法的流程图。
在步骤S110中,获取要进行XSS漏洞检测的网页的URL,然后在步骤S120中,确定该网页能够接收的参数-值对集合。根据XSS的原理,具有XSS漏洞的网页为网络服务器动态生成的网页,因此其通常可以根据HTTP协议接收一些参数和相应的值。例如如果要检测的网页URL为http://www.test.com/test.asp?id=1&name=test,则可以确定该网页可以接收的参数包括id和name。可以通过各种方式来确定动态URL可以接收的参数集,如通过监视访问该动态网页的详细URL内容,根据HTTP协议检测传递到网络服务器的FORM表单的内容等。所以这些都在本发明的保护范围之内。
在步骤S120获取了该参数-值对集合之后,在步骤S130,选取该集合中的第一组参数-值对,然后在步骤S140中,对所选择的参数-值对中的值进行修改,以组装测试用的URL。具体而言,根据本发明的实施例,在该值中嵌入特定的javascript脚本,如果该动态网页存在XSS漏洞,则该嵌入的javascript脚本将未被网络服务器所处理,并存在于返回的动态网页内容中。本发明通过监控该javascript脚本是否会存在于动态网页中并被执行来确定该网页是否存在XSS漏洞。为了防止所嵌入的javascript脚本和本来动态网页中就有的javascript脚本相冲突,因此所嵌入的javascript脚本应当是唯一的,例如其中包含了唯一的脚本参数内容。另外,由于javascript脚本中的alert函数的作用是弹出消息框而不会对文档内容产生其它影响,因此,在本发明的进一步实施例中,将alert函数嵌入到所选择的参数-值对中。
例如,在上面给出的URL:
http://www.test.com/test.asp?id=1&name=test中,
在对参数id进行修改时,可以在其对应的值中嵌入函数<script>alert(0)</script>。因此,所构造得到的URL变为:
http://www.test.com/test.asp?id=1<script>alert(0)</script>&name=test。
可选的是,根据HTTP协议,提交给网络服务器的参数并没有先后次序,因此,可以修改参数的前后次序以把嵌入值放到最后,即:
http://www.test.com/test.asp?name=test&id=1<script>alert( 0)</script>。
另外,在修改参数值时,除了添加javascript脚本之外,还可以添加一些特殊字符,如“>”、“<”和“%20”等,因此,构造出的URL还可以是:
http://www.test.com/test.asp?name=test&id=1%20<script>ale rt(0)</script>或者
http://www.test.com/test.asp?name=test&id=1%20><script>al ert(0)</script>等。
此外,在修改参数值时,为了确保对该参数的处理存在XSS漏洞时,所***的脚本能被javascript解析引擎所执行,还需考虑html语法的恢复问题,例如,如果动态网页生成的html代码为
<pre>你输入的名字是test</pre>
其中test是由动态网页根据参数id的值而产生的。在这种情况下,如果仅仅在参数id的值中添加javascript脚本,即id=<script>alert(0)</script>,则此时由动态网页生成的javascript脚本包含在<pre></pre>的html标记符中,并不能由javascript解析引擎来执行,为此,我们需要将参数id值中***的脚本修改为id=</pre><script>alert(0)</script><pre>,这样动态网页生成的html代码变为:
<pre>你输入的名字是</pre><script>alert(0)</script><pre>
从而确保***的脚本(如alert函数)能被解析引擎执行。
上面的<pre>标签只是一个例子,还存在其他可能会导致***的脚本的情况,因此,在参数值中***javascript脚本时,还必须考虑html语法的恢复问题,以确保在对参数的处理存在XSS漏洞时,所***的javascript脚本会被执行。因此,需要在***javascript脚本时进行多种方式的***,从而更精确地确定XSS漏洞。
在步骤S140组装了测试用的URL之后,在步骤S150将组装好的URL发送到网络服务器以请求动态网页内容,并且在步骤S160获取作为响应的动态网页内容。随后,在步骤S170中,利用根据本发明的javascript解析引擎来模拟执行动态网页内容,并根据在步骤S140中***的特定脚本是否有javascript解析引擎执行来确定该参数是否具有XSS漏洞。下面将参考图2详细描述步骤S170中的处理,这里不再进行赘述。
在步骤S170对该参数是否存在XSS漏洞进行了判断之后,在步骤S180确定参数集中是否还有需要进行判断的参数,如果有,则在步骤S190获取参数集中下一个要处理的参数-值对,并且返回到步骤S140来处理该参数-值对。如果在步骤S180中判断没有要处理的参数,则在步骤S210输出对参数集中的所有参数的处理结果,并结束对该网页的XSS检测。
应当注意的是,在上述步骤S140中,已经说明了针对一个参数可以组装出多个特定URL。根据本发明的另一个实施例,可以重复执行步骤S140-S170来将每个特别组装的URL发送到网络服务器以确定网页是否存在XSS漏洞。这可以更全面地对网页进行测试。
图2示出了在步骤S170中执行的、用于确定网络服务器对某个参数的处理是否存在XSS漏洞的方法1700的流程图。
在步骤S1710中,将所获取的网页内容转换为DOM模型。为了在用户端呈现网页内容,将网页内容转换为DOM模型是常用的技术手段之一,本发明需要模拟执行所获取的网页内容,因此首先将网页内容转换为DOM模型。随后在步骤S1720中,利用根据本发明的javascript解析引擎来执行DOM模型中的javascript脚本。如上所述,在针对某个参数组装特定URL时,已经把特定的javascript脚本***到参数值中了。因此,根据在步骤S1730中,根据javascript解析引擎是否执行了该特定的脚本来判断网络服务器针对该参数的处理是否存在XSS漏洞。如果该特定脚本被触发执行了,则说明存在XSS漏洞(S1740),否则则说明不存在XSS漏洞(S1750)。此后,在步骤S1760中记录对该参数的处理是否存在XSS漏洞的判断,并且结束该方法。
应当注意的是,图2所示方法的主要目的是利用根据本发明的javascript解析引擎来模拟执行返回的网页内容,因此所有可以对网页内容进行模拟执行的方式都在本发明的保护范围之内。
另外,如上所述,在javascript脚本中,alert函数的功能为弹出一个提示窗口,其不会对网页内容产生影响,因此,优选地,***到参数值中的脚本为alert函数,而根据本发明的javascript解析引擎也对alert函数的处理进行修改,以便根据alert函数是否被触发来确定对该参数的处理是否存在XSS漏洞。
图3示出了根据本发明实施例的、用于检测网页的XSS漏洞的XSS漏洞检测设备的示意图。
如图3所示,XSS漏洞检测设备300包括网页参数-值对集合确定装置310、测试URL组装装置320、请求发送装置330、网页内容获取装置340、模拟执行装置350、javascript解析引擎360和记录装置370。
网页参数-值对集合确定装置310确定某个动态网页可以接收的参数-值对集合,如上面参考步骤S110所述的那样,可以通过各种方式来确定动态网页可以接收的参数-值对集合。随后网页参数-值对集合确定装置310将所确定的参数-值对集合发送到测试URL组装装置320。
测试URL组装装置320为所接收到的参数-值对集合中的每个参数-值对构造测试用的URL。在为某个参数-值对构造测试URL时,测试URL组装装置320参考本发明定制的javascript引擎360在值中***相应的javascript脚本,诸如上面所述的<script>alert(0)</script>等,以便如果该参数存在XSS漏洞,则该相应的javascript脚本就会在javascript引擎360中触发。因此,本发明的javascript解析引擎360中提供了要***到值中的javascript脚本。
如上所述,测试URL组装装置320可以为一个参数-值对构造出多个包含特定javascript脚本和不同特殊字符的URL,并且可以分别对这些组装的URL进行测试。
请求发送装置330接收由测试URL组装装置320组装的URL,并且将该URL发送到网络服务器400以请求动态网页,作为响应,网络服务器400将所生成的动态网页发送到网页内容获取装置340。网页内容获取装置获取该动态网页,并且将动态网页内容发送给模拟执行装置250以检测该动态网页是否具有XSS漏洞。
在实践中,可以将请求发送装置330和网页内容获取装置340的功能并入到同一个请求和接收装置中,以统一执行网络相关功能。这些都在本发明的保护范围之内。
模拟执行装置250以各种方式模拟执行所获取的网页内容,例如,可以诸如IE、Firefox或者Chrome之类浏览器内核的方式来处理网页内容,并且将网页内容转换为DOM模型,然后利用javascript解析引擎360来执行网页中的javascript脚本。
Javascript解析引擎360在执行javascript脚本时,判断所提供的、要***到值中的javascript脚本是否被触发了,如果被触发了,则认为网络服务器对该动态网页中的参数的处理存在XSS漏洞,如果未被触发,则认为对该参数的处理不存在XSS漏洞。随后,javascript解析引擎360将该确定结果发送到记录装置370进行记录。
在上述XSS漏洞检测设备中,公开了为一个动态网页进行XSS漏洞检测的方式。这个XSS漏洞检测设备可以并入到网站安全扫描***或者网络扫描***中,以便为网站安全扫描***或者网络扫描***所扫描的每个动态网页进行XSS漏洞检测,从而为某个或者多个网站进行XSS漏洞扫描。
由于本发明中的javascript解析引擎360的主要目的就是为了判断特定的javascript函数是否在返回的动态网页中被触发了,因此,为了提高javascript解析引擎360的执行效率,可以对其它javascript函数的执行进行简化处理,例如仅仅实现其接口而不执行任何实质性的操作,从而加快模拟执行动态网页内容的速度。
根据本发明的XSS漏洞检测方法和设备通过组装具有特定脚本的参数值的URL,并检测该URL返回的动态网页内容是否会触发该特定脚本来确定该动态网页是否具有XSS漏洞。和传统上仅仅通过判断相应内容是否会出现在动态网页中的特征匹配相比,其准确度更高。另外,随着AJAX技术等的发展,客户端网页内容呈现和处理方式变得日益复杂,传统的特征匹配方式不能准确判断XSS漏洞。由于XSS漏洞最终会通过执行脚本来进行,因此本发明可以很好地应用于富客户端的网页内容中。
应该注意的是,上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
Claims (12)
1.一种检测网页中的XSS漏洞的XSS漏洞检测方法,包括步骤:
确定网页可接收的参数-值对集合;以及
为所述参数-值对集合中的每个参数-值对:
构造在值中***了特定脚本的参数-值对;
基于该***了特定脚本的参数-值对来组装对应于所述网页的URL;
获取对应于所组装的URL的动态网页内容;以及
模拟执行所获取的动态网页内容,如果执行了所述特定脚本,则认为所述网页中对该参数的处理存在XSS漏洞。
2.如权利要求1所述的XSS漏洞检测方法,其中在所述模拟执行所获取的动态网页内容的步骤中,使用脚本解析引擎来模拟执行所述网页内容中,该脚本解析引擎被构造为基于特定脚本是否被触发来确定是否存在XSS漏洞。
3.如上述权利要求任一个所述的XSS漏洞检测方法,其中所述特定脚本为alert函数。
4.如上述权利要求任一个所述的XSS漏洞检测方法,其中在所述组装对应于网页的URL的步骤中,通过在URL中改变参数-值对次序和***其它特殊代码来组装多个URL,并且为所述多个URL分别执行所述获取动态网页内容和模拟执行动态网页内容的步骤。
5.如上述权利要求任一个所述的XSS漏洞检测方法,还包括步骤:
记录所述参数-值对集合中的每个参数是否存在XSS漏洞。
6.一种检测网页中的XSS漏洞的XSS漏洞检测设备,包括:
网页参数-值对集合确定装置,用于确定所述网页可以接收的参数-值对集合;
测试URL组装装置,为所述参数-值对集合中的每个参数-值对组装测试用的URL,其中在组织所述测试用的URL时,在所述值中***特定的脚本;
请求和接收装置,用于将所述测试用的URL发送到网络服务器,并接收从所述网络服务器返回的网页内容;以及
模拟执行装置,用于模拟执行所述网页内容,并且在所述特定脚本被执行时,确定相应参数存在XSS漏洞。
7.如权利要求6所述的XSS漏洞检测设备,还包括
脚本解析引擎,所述模拟执行装置在模拟执行所述网页内容时使用所述脚本解析引擎来执行脚本,所述脚本解析引擎根据所述特定脚本是否被触发来确定所述相应参数是否存在XSS漏洞。
8.如权利要求6或者7所述的XSS漏洞检测设备,其中所述特定脚本为alert函数。
9.如权利要求6至8中任一项所述的XSS漏洞检测设备,其中所述测试URL组装装置在为某个参数-值对组装测试用的URL时,通过在URL中改变参数-值对次序和***其它特殊代码来组装多个URL,并且将每个组装的URL发送给所述请求和接收装置,以便为每个组装的URL进行XSS漏洞。
10.如权利要求6至9中任一项所述的XSS漏洞检测设备,还包括记录装置,记录所述参数-值对集合中的每个参数是否存在XSS漏洞。
11.一种网站安全扫描***,包括如权利要求6-9中的任一项所述的XSS漏洞检测设备。
12.一种网络扫描***,包括如权利要求6-9中的任一项所述的XSS漏洞检测设备。
Priority Applications (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200910089786.8A CN101964025B (zh) | 2009-07-23 | 2009-07-23 | Xss检测方法和设备 |
PCT/CN2010/001119 WO2011009295A1 (zh) | 2009-07-23 | 2010-07-23 | Xss检测方法和设备 |
US13/386,206 US9021593B2 (en) | 2009-07-23 | 2010-07-23 | XSS detection method and device |
JP2012520889A JP5497173B2 (ja) | 2009-07-23 | 2010-07-23 | Xss検出方法および装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200910089786.8A CN101964025B (zh) | 2009-07-23 | 2009-07-23 | Xss检测方法和设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101964025A true CN101964025A (zh) | 2011-02-02 |
CN101964025B CN101964025B (zh) | 2016-02-03 |
Family
ID=43498734
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN200910089786.8A Active CN101964025B (zh) | 2009-07-23 | 2009-07-23 | Xss检测方法和设备 |
Country Status (4)
Country | Link |
---|---|
US (1) | US9021593B2 (zh) |
JP (1) | JP5497173B2 (zh) |
CN (1) | CN101964025B (zh) |
WO (1) | WO2011009295A1 (zh) |
Cited By (33)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102780684A (zh) * | 2011-05-12 | 2012-11-14 | 同济大学 | Xss防御*** |
CN102999723A (zh) * | 2012-11-20 | 2013-03-27 | 焦点科技股份有限公司 | 主动防御xss攻击的数据防御组件生成方法及其装置 |
CN102999420A (zh) * | 2011-09-13 | 2013-03-27 | 阿里巴巴集团控股有限公司 | 基于dom的跨站脚本漏洞测试方法和*** |
CN103001946A (zh) * | 2012-10-31 | 2013-03-27 | 北京奇虎科技有限公司 | 网站安全检测方法、设备和*** |
CN103095681A (zh) * | 2012-12-03 | 2013-05-08 | 微梦创科网络科技(中国)有限公司 | 一种检测漏洞的方法及装置 |
CN103530565A (zh) * | 2013-10-21 | 2014-01-22 | 北京锐安科技有限公司 | 基于web的网站程序漏洞扫描方法及扫描装置 |
CN103577188A (zh) * | 2013-10-24 | 2014-02-12 | 北京奇虎科技有限公司 | 防御跨站脚本攻击的方法及装置 |
CN103685189A (zh) * | 2012-09-17 | 2014-03-26 | 百度在线网络技术(北京)有限公司 | 网站安全评估方法及*** |
CN104519070A (zh) * | 2014-12-31 | 2015-04-15 | 北京奇虎科技有限公司 | 网站权限漏洞检测方法和*** |
CN104537305A (zh) * | 2014-12-31 | 2015-04-22 | 北京奇虎科技有限公司 | 网站漏洞检测方法和*** |
CN104539605A (zh) * | 2014-12-23 | 2015-04-22 | 北京奇虎科技有限公司 | 网站xss漏洞检测方法和设备 |
CN104573520A (zh) * | 2013-10-09 | 2015-04-29 | 腾讯科技(深圳)有限公司 | 检测常驻式跨站脚本漏洞的方法和装置 |
CN104601540A (zh) * | 2014-12-05 | 2015-05-06 | 华为技术有限公司 | 一种跨站脚本XSS攻击防御方法及Web服务器 |
CN104636664A (zh) * | 2013-11-08 | 2015-05-20 | 腾讯科技(深圳)有限公司 | 基于文档对象模型的跨站脚本攻击漏洞检测方法及装置 |
CN104660556A (zh) * | 2013-11-20 | 2015-05-27 | 深圳市腾讯计算机***有限公司 | 跨站伪造请求漏洞检测的方法及装置 |
CN104657659A (zh) * | 2013-11-20 | 2015-05-27 | 腾讯科技(深圳)有限公司 | 一种存储跨站攻击脚本漏洞检测方法、装置及*** |
CN104765682A (zh) * | 2015-03-30 | 2015-07-08 | 微梦创科网络科技(中国)有限公司 | 跨站脚本漏洞的线下检测方法和*** |
CN104834588A (zh) * | 2014-02-11 | 2015-08-12 | 腾讯科技(深圳)有限公司 | 检测常驻式跨站脚本漏洞的方法和装置 |
CN104881608A (zh) * | 2015-05-21 | 2015-09-02 | 北京工业大学 | 一种基于模拟浏览器行为的xss漏洞检测方法 |
CN104881607A (zh) * | 2015-05-21 | 2015-09-02 | 北京工业大学 | 一种基于模拟浏览器行为的xss漏洞检测*** |
CN104881605A (zh) * | 2014-02-27 | 2015-09-02 | 腾讯科技(深圳)有限公司 | 一种网页重定向漏洞检测方法及装置 |
US9154492B2 (en) | 2013-09-27 | 2015-10-06 | The University Of North Carolina At Charlotte | Moving target defense against cross-site scripting |
TWI506471B (zh) * | 2011-12-27 | 2015-11-01 | Univ Nat Taiwan Science Tech | 跨網站攻擊防範系統及方法 |
CN105282096A (zh) * | 2014-06-18 | 2016-01-27 | 腾讯科技(深圳)有限公司 | Xss 漏洞检测方法和装置 |
CN105631341A (zh) * | 2015-12-18 | 2016-06-01 | 北京奇虎科技有限公司 | 一种漏洞盲测方法及装置 |
CN106022135A (zh) * | 2016-02-23 | 2016-10-12 | 北京工业大学 | 一种可动态判断xss漏洞的自动化检测*** |
CN106209487A (zh) * | 2015-05-07 | 2016-12-07 | 阿里巴巴集团控股有限公司 | 用于检测网站中网页的安全漏洞的方法及装置 |
CN107085686A (zh) * | 2017-03-24 | 2017-08-22 | 深圳市九州安域科技有限公司 | 一种交互xss漏洞的检测方法及其*** |
CN108616526A (zh) * | 2018-04-16 | 2018-10-02 | 贵州大学 | 一种检测Web页面中的XSS漏洞的检测方法 |
CN108696490A (zh) * | 2017-04-11 | 2018-10-23 | 腾讯科技(深圳)有限公司 | 账号权限的识别方法及装置 |
CN110348210A (zh) * | 2018-04-08 | 2019-10-18 | 腾讯科技(深圳)有限公司 | 安全防护方法及装置 |
CN110392024A (zh) * | 2018-04-20 | 2019-10-29 | 李娜 | 一种网页检测方法与扫描引擎置 |
CN110708308A (zh) * | 2019-09-29 | 2020-01-17 | 武汉大学 | 一种面向云计算环境的跨站脚本漏洞挖掘方法及*** |
Families Citing this family (47)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10805331B2 (en) | 2010-09-24 | 2020-10-13 | BitSight Technologies, Inc. | Information technology security assessment system |
EP2533162B1 (en) | 2010-11-29 | 2022-10-26 | Hughes Network Systems, LLC | Proxy Server Apparatus for pre-fetching content using browser specifics |
CN103562927B (zh) | 2011-05-31 | 2016-06-01 | 惠普发展公司,有限责任合伙企业 | 自动化安全测试 |
US8578499B1 (en) * | 2011-10-24 | 2013-11-05 | Trend Micro Incorporated | Script-based scan engine embedded in a webpage for protecting computers against web threats |
US8683596B2 (en) * | 2011-10-28 | 2014-03-25 | International Business Machines Corporation | Detection of DOM-based cross-site scripting vulnerabilities |
CN103455478A (zh) * | 2012-05-21 | 2013-12-18 | 腾讯科技(深圳)有限公司 | 加速网页访问的方法和装置 |
US9639507B2 (en) * | 2012-11-26 | 2017-05-02 | Intuit Inc. | Method and system for providing a net effect platform for developing and correcting screen scraping parser scripts |
CN103065095A (zh) * | 2013-01-29 | 2013-04-24 | 四川大学 | 一种基于指纹识别技术的web漏洞扫描方法和漏洞扫描器 |
CN104008328A (zh) * | 2013-02-27 | 2014-08-27 | 联想(北京)有限公司 | 资源加载方法和装置 |
US9438615B2 (en) | 2013-09-09 | 2016-09-06 | BitSight Technologies, Inc. | Security risk management |
CN104462981B (zh) * | 2013-09-12 | 2019-01-04 | 深圳市腾讯计算机***有限公司 | 漏洞检测方法及装置 |
US9317694B2 (en) | 2013-12-03 | 2016-04-19 | Microsoft Technology Licensing, Llc | Directed execution of dynamic programs in isolated environments |
CN103729594B (zh) * | 2013-12-31 | 2016-05-18 | 山东中创软件商用中间件股份有限公司 | 一种防护规则生成方法及装置 |
US9356955B2 (en) * | 2014-03-15 | 2016-05-31 | Kenneth F. Belva | Methods for determining cross-site scripting and related vulnerabilities in applications |
CN104980309B (zh) * | 2014-04-11 | 2018-04-20 | 北京奇安信科技有限公司 | 网站安全检测方法及装置 |
US9497222B2 (en) | 2014-05-20 | 2016-11-15 | International Business Machines Corporation | Identification of web form parameters for an authorization engine |
CN105141647B (zh) * | 2014-06-04 | 2018-09-21 | ***股份有限公司 | 一种检测Web应用的方法和*** |
CN105302707B (zh) * | 2014-06-06 | 2019-01-08 | 腾讯科技(深圳)有限公司 | 应用程序的漏洞检测方法和装置 |
WO2016168428A1 (en) * | 2015-04-15 | 2016-10-20 | Qatar Foundation For Education, Science And Community Development | Cross-site scripting detection method |
US9923916B1 (en) * | 2015-06-17 | 2018-03-20 | Amazon Technologies, Inc. | Adaptive web application vulnerability scanner |
US9830453B1 (en) * | 2015-10-30 | 2017-11-28 | tCell.io, Inc. | Detection of code modification |
EP3287930A1 (en) * | 2016-08-26 | 2018-02-28 | Entit Software LLC | Javascript security testing |
US10491629B2 (en) * | 2017-02-06 | 2019-11-26 | Synopsys, Inc. | Detecting sensitive data sent from client device to third-party |
CN108809890B (zh) * | 2017-04-26 | 2021-05-25 | 腾讯科技(深圳)有限公司 | 漏洞检测方法、测试服务器及客户端 |
US10425380B2 (en) | 2017-06-22 | 2019-09-24 | BitSight Technologies, Inc. | Methods for mapping IP addresses and domains to organizations using user activity data |
CN107426202B (zh) * | 2017-07-13 | 2021-03-30 | 北京知道未来信息技术有限公司 | 一种自动化测试waf拦截规则的方法 |
CN107506649A (zh) * | 2017-08-25 | 2017-12-22 | 福建中金在线信息科技有限公司 | 一种html网页的漏洞检测方法、装置及电子设备 |
CN107682315B (zh) * | 2017-09-05 | 2020-11-06 | 杭州迪普科技股份有限公司 | 一种sql注入攻击检测模式设置方法及装置 |
US10257219B1 (en) | 2018-03-12 | 2019-04-09 | BitSight Technologies, Inc. | Correlated risk in cybersecurity |
US10812520B2 (en) | 2018-04-17 | 2020-10-20 | BitSight Technologies, Inc. | Systems and methods for external detection of misconfigured systems |
EP3776316B1 (en) * | 2018-05-04 | 2021-11-17 | Google LLC | Detecting injection vulnerabilities of client-side templating systems |
US11200323B2 (en) | 2018-10-17 | 2021-12-14 | BitSight Technologies, Inc. | Systems and methods for forecasting cybersecurity ratings based on event-rate scenarios |
US10521583B1 (en) * | 2018-10-25 | 2019-12-31 | BitSight Technologies, Inc. | Systems and methods for remote detection of software through browser webinjects |
CN109787995B (zh) * | 2019-02-18 | 2021-10-22 | 福建六壬网安股份有限公司 | 一种检测xss漏洞的方法及终端 |
KR102254197B1 (ko) * | 2019-03-28 | 2021-05-21 | 네이버클라우드 주식회사 | 웹페이지 취약점 진단 방법, 장치 및 컴퓨터 프로그램 |
CN110059006B (zh) * | 2019-03-29 | 2020-07-07 | 北京创鑫旅程网络技术有限公司 | 代码审计方法及装置 |
CN110298171B (zh) * | 2019-06-17 | 2021-07-27 | 暨南大学 | 移动互联网大数据应用的智能检测与安全防护方法 |
US10726136B1 (en) | 2019-07-17 | 2020-07-28 | BitSight Technologies, Inc. | Systems and methods for generating security improvement plans for entities |
US10848382B1 (en) | 2019-09-26 | 2020-11-24 | BitSight Technologies, Inc. | Systems and methods for network asset discovery and association thereof with entities |
US11032244B2 (en) | 2019-09-30 | 2021-06-08 | BitSight Technologies, Inc. | Systems and methods for determining asset importance in security risk management |
CN110808977B (zh) * | 2019-10-31 | 2021-09-14 | 重庆佳锐颖科技发展有限公司 | 一种避免Web程序存在XSS漏洞的开发***及方法 |
US10791140B1 (en) | 2020-01-29 | 2020-09-29 | BitSight Technologies, Inc. | Systems and methods for assessing cybersecurity state of entities based on computer network characterization |
US10893067B1 (en) | 2020-01-31 | 2021-01-12 | BitSight Technologies, Inc. | Systems and methods for rapidly generating security ratings |
CN111371745B (zh) * | 2020-02-21 | 2022-06-28 | 北京百度网讯科技有限公司 | 用于确定ssrf漏洞的方法和装置 |
US10764298B1 (en) | 2020-02-26 | 2020-09-01 | BitSight Technologies, Inc. | Systems and methods for improving a security profile of an entity based on peer security profiles |
US11023585B1 (en) | 2020-05-27 | 2021-06-01 | BitSight Technologies, Inc. | Systems and methods for managing cybersecurity alerts |
US11122073B1 (en) | 2020-12-11 | 2021-09-14 | BitSight Technologies, Inc. | Systems and methods for cybersecurity risk mitigation and management |
Family Cites Families (32)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1269286B1 (en) * | 2000-03-03 | 2008-11-19 | International Business Machines Corporation | System for determining web application vulnerabilities |
WO2002019077A2 (en) * | 2000-09-01 | 2002-03-07 | Sri International, Inc. | Probabilistic alert correlation |
US6996845B1 (en) * | 2000-11-28 | 2006-02-07 | S.P.I. Dynamics Incorporated | Internet security analysis system and process |
US20030097591A1 (en) * | 2001-11-20 | 2003-05-22 | Khai Pham | System and method for protecting computer users from web sites hosting computer viruses |
US7975296B2 (en) * | 2002-02-07 | 2011-07-05 | Oracle International Corporation | Automated security threat testing of web pages |
US7343626B1 (en) * | 2002-11-12 | 2008-03-11 | Microsoft Corporation | Automated detection of cross site scripting vulnerabilities |
JP2005092564A (ja) * | 2003-09-18 | 2005-04-07 | Hitachi Software Eng Co Ltd | フィルタリング装置 |
JP2005134995A (ja) * | 2003-10-28 | 2005-05-26 | Recruit Co Ltd | セキュリティ管理システム及びセキュリティ管理方法ならびにセキュリティ管理プログラム |
US7765597B2 (en) * | 2004-02-11 | 2010-07-27 | Hewlett-Packard Development Company, L.P. | Integrated crawling and auditing of web applications and web content |
JP4298622B2 (ja) * | 2004-09-29 | 2009-07-22 | 株式会社東芝 | 不正アクセス検出装置、不正アクセス検出方法及び不正アクセス検出プログラム |
US8438499B2 (en) * | 2005-05-03 | 2013-05-07 | Mcafee, Inc. | Indicating website reputations during user interactions |
US20060253584A1 (en) * | 2005-05-03 | 2006-11-09 | Dixon Christopher J | Reputation of an entity associated with a content item |
US7562304B2 (en) * | 2005-05-03 | 2009-07-14 | Mcafee, Inc. | Indicating website reputations during website manipulation of user information |
US7822620B2 (en) * | 2005-05-03 | 2010-10-26 | Mcafee, Inc. | Determining website reputations using automatic testing |
JP2007004685A (ja) * | 2005-06-27 | 2007-01-11 | Hitachi Ltd | 通信情報監視装置 |
US8112799B1 (en) * | 2005-08-24 | 2012-02-07 | Symantec Corporation | Method, system, and computer program product for avoiding cross-site scripting attacks |
US20070107057A1 (en) * | 2005-11-10 | 2007-05-10 | Docomo Communications Laboratories Usa, Inc. | Method and apparatus for detecting and preventing unsafe behavior of javascript programs |
JP4745819B2 (ja) * | 2005-12-26 | 2011-08-10 | 三菱電機株式会社 | 脆弱性判定システム及び検査装置 |
JP2007241906A (ja) | 2006-03-11 | 2007-09-20 | Hitachi Software Eng Co Ltd | Webアプリケーション脆弱性動的検査方法およびシステム |
EP2092424B1 (en) * | 2006-10-19 | 2015-12-30 | Checkmarx Ltd. | Locating security vulnerabilities in source code |
TW200825835A (en) * | 2006-12-13 | 2008-06-16 | Inst Information Industry | System and method of detecting web page vulnerability and recording medium thereof |
US8181246B2 (en) * | 2007-06-20 | 2012-05-15 | Imperva, Inc. | System and method for preventing web frauds committed using client-scripting attacks |
WO2009015671A1 (en) * | 2007-07-31 | 2009-02-05 | Sony Corporation | Automatically protecting computer systems from attacks that exploit security vulnerabilities |
US20090119769A1 (en) * | 2007-11-05 | 2009-05-07 | Microsoft Corporation | Cross-site scripting filter |
CN101459548B (zh) * | 2007-12-14 | 2011-10-12 | 北京启明星辰信息技术股份有限公司 | 一种脚本注入攻击检测方法和*** |
CN101471781A (zh) * | 2007-12-24 | 2009-07-01 | 北京启明星辰信息技术股份有限公司 | 一种脚本注入事件处理方法和*** |
US8578482B1 (en) * | 2008-01-11 | 2013-11-05 | Trend Micro Inc. | Cross-site script detection and prevention |
KR101001132B1 (ko) * | 2008-02-22 | 2010-12-15 | 엔에이치엔비즈니스플랫폼 주식회사 | 웹 어플리케이션의 취약성 판단 방법 및 시스템 |
US20090282480A1 (en) * | 2008-05-08 | 2009-11-12 | Edward Lee | Apparatus and Method for Monitoring Program Invariants to Identify Security Anomalies |
MY154409A (en) * | 2008-07-21 | 2015-06-15 | Secure Corp M Sdn Bhd F | Website content regulation |
US9264443B2 (en) * | 2008-08-25 | 2016-02-16 | International Business Machines Corporation | Browser based method of assessing web application vulnerability |
US8365290B2 (en) * | 2009-05-15 | 2013-01-29 | Frederick Young | Web application vulnerability scanner |
-
2009
- 2009-07-23 CN CN200910089786.8A patent/CN101964025B/zh active Active
-
2010
- 2010-07-23 WO PCT/CN2010/001119 patent/WO2011009295A1/zh active Application Filing
- 2010-07-23 US US13/386,206 patent/US9021593B2/en active Active
- 2010-07-23 JP JP2012520889A patent/JP5497173B2/ja active Active
Cited By (54)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102780684A (zh) * | 2011-05-12 | 2012-11-14 | 同济大学 | Xss防御*** |
CN102780684B (zh) * | 2011-05-12 | 2015-02-25 | 同济大学 | Xss防御*** |
CN102999420B (zh) * | 2011-09-13 | 2016-02-03 | 阿里巴巴集团控股有限公司 | 基于dom的跨站脚本漏洞测试方法和*** |
CN102999420A (zh) * | 2011-09-13 | 2013-03-27 | 阿里巴巴集团控股有限公司 | 基于dom的跨站脚本漏洞测试方法和*** |
TWI506471B (zh) * | 2011-12-27 | 2015-11-01 | Univ Nat Taiwan Science Tech | 跨網站攻擊防範系統及方法 |
CN103685189A (zh) * | 2012-09-17 | 2014-03-26 | 百度在线网络技术(北京)有限公司 | 网站安全评估方法及*** |
CN103001946A (zh) * | 2012-10-31 | 2013-03-27 | 北京奇虎科技有限公司 | 网站安全检测方法、设备和*** |
CN102999723A (zh) * | 2012-11-20 | 2013-03-27 | 焦点科技股份有限公司 | 主动防御xss攻击的数据防御组件生成方法及其装置 |
CN102999723B (zh) * | 2012-11-20 | 2015-11-18 | 焦点科技股份有限公司 | 主动防御xss攻击的数据防御组件生成方法及其装置 |
CN103095681A (zh) * | 2012-12-03 | 2013-05-08 | 微梦创科网络科技(中国)有限公司 | 一种检测漏洞的方法及装置 |
CN103095681B (zh) * | 2012-12-03 | 2016-08-03 | 微梦创科网络科技(中国)有限公司 | 一种检测漏洞的方法及装置 |
US9521133B2 (en) | 2013-09-27 | 2016-12-13 | The University Of North Carolina At Charlotte | Moving target defense against cross-site scripting |
US9154492B2 (en) | 2013-09-27 | 2015-10-06 | The University Of North Carolina At Charlotte | Moving target defense against cross-site scripting |
CN104573520B (zh) * | 2013-10-09 | 2019-02-01 | 腾讯科技(深圳)有限公司 | 检测常驻式跨站脚本漏洞的方法和装置 |
CN104573520A (zh) * | 2013-10-09 | 2015-04-29 | 腾讯科技(深圳)有限公司 | 检测常驻式跨站脚本漏洞的方法和装置 |
CN103530565A (zh) * | 2013-10-21 | 2014-01-22 | 北京锐安科技有限公司 | 基于web的网站程序漏洞扫描方法及扫描装置 |
CN103577188A (zh) * | 2013-10-24 | 2014-02-12 | 北京奇虎科技有限公司 | 防御跨站脚本攻击的方法及装置 |
CN103577188B (zh) * | 2013-10-24 | 2016-11-16 | 北京奇虎科技有限公司 | 防御跨站脚本攻击的方法及装置 |
CN104636664B (zh) * | 2013-11-08 | 2018-04-27 | 腾讯科技(深圳)有限公司 | 基于文档对象模型的跨站脚本攻击漏洞检测方法及装置 |
CN104636664A (zh) * | 2013-11-08 | 2015-05-20 | 腾讯科技(深圳)有限公司 | 基于文档对象模型的跨站脚本攻击漏洞检测方法及装置 |
CN104657659A (zh) * | 2013-11-20 | 2015-05-27 | 腾讯科技(深圳)有限公司 | 一种存储跨站攻击脚本漏洞检测方法、装置及*** |
CN104660556A (zh) * | 2013-11-20 | 2015-05-27 | 深圳市腾讯计算机***有限公司 | 跨站伪造请求漏洞检测的方法及装置 |
CN104660556B (zh) * | 2013-11-20 | 2018-06-01 | 深圳市腾讯计算机***有限公司 | 跨站伪造请求漏洞检测的方法及装置 |
CN104657659B (zh) * | 2013-11-20 | 2019-02-05 | 腾讯科技(深圳)有限公司 | 一种存储跨站攻击脚本漏洞检测方法、装置及*** |
CN104834588A (zh) * | 2014-02-11 | 2015-08-12 | 腾讯科技(深圳)有限公司 | 检测常驻式跨站脚本漏洞的方法和装置 |
CN104834588B (zh) * | 2014-02-11 | 2019-06-25 | 腾讯科技(深圳)有限公司 | 检测常驻式跨站脚本漏洞的方法和装置 |
CN104881605A (zh) * | 2014-02-27 | 2015-09-02 | 腾讯科技(深圳)有限公司 | 一种网页重定向漏洞检测方法及装置 |
CN105282096A (zh) * | 2014-06-18 | 2016-01-27 | 腾讯科技(深圳)有限公司 | Xss 漏洞检测方法和装置 |
CN104601540B (zh) * | 2014-12-05 | 2018-11-16 | 华为技术有限公司 | 一种跨站脚本XSS攻击防御方法及Web服务器 |
CN104601540A (zh) * | 2014-12-05 | 2015-05-06 | 华为技术有限公司 | 一种跨站脚本XSS攻击防御方法及Web服务器 |
CN104539605B (zh) * | 2014-12-23 | 2017-12-22 | 北京奇安信科技有限公司 | 网站xss漏洞检测方法和设备 |
CN104539605A (zh) * | 2014-12-23 | 2015-04-22 | 北京奇虎科技有限公司 | 网站xss漏洞检测方法和设备 |
CN104519070A (zh) * | 2014-12-31 | 2015-04-15 | 北京奇虎科技有限公司 | 网站权限漏洞检测方法和*** |
CN104537305A (zh) * | 2014-12-31 | 2015-04-22 | 北京奇虎科技有限公司 | 网站漏洞检测方法和*** |
CN104519070B (zh) * | 2014-12-31 | 2018-03-13 | 北京奇安信科技有限公司 | 网站权限漏洞检测方法和*** |
CN104537305B (zh) * | 2014-12-31 | 2017-12-15 | 北京奇安信科技有限公司 | 网站漏洞检测方法和*** |
CN104765682B (zh) * | 2015-03-30 | 2017-08-25 | 微梦创科网络科技(中国)有限公司 | 跨站脚本漏洞的线下检测方法和*** |
CN104765682A (zh) * | 2015-03-30 | 2015-07-08 | 微梦创科网络科技(中国)有限公司 | 跨站脚本漏洞的线下检测方法和*** |
CN106209487B (zh) * | 2015-05-07 | 2019-12-03 | 阿里巴巴集团控股有限公司 | 用于检测网站中网页的安全漏洞的方法及装置 |
CN106209487A (zh) * | 2015-05-07 | 2016-12-07 | 阿里巴巴集团控股有限公司 | 用于检测网站中网页的安全漏洞的方法及装置 |
CN104881608B (zh) * | 2015-05-21 | 2018-03-16 | 北京工业大学 | 一种基于模拟浏览器行为的xss漏洞检测方法 |
CN104881607B (zh) * | 2015-05-21 | 2017-12-29 | 北京工业大学 | 一种基于模拟浏览器行为的xss漏洞检测*** |
CN104881608A (zh) * | 2015-05-21 | 2015-09-02 | 北京工业大学 | 一种基于模拟浏览器行为的xss漏洞检测方法 |
CN104881607A (zh) * | 2015-05-21 | 2015-09-02 | 北京工业大学 | 一种基于模拟浏览器行为的xss漏洞检测*** |
CN105631341A (zh) * | 2015-12-18 | 2016-06-01 | 北京奇虎科技有限公司 | 一种漏洞盲测方法及装置 |
CN105631341B (zh) * | 2015-12-18 | 2020-01-21 | 北京奇虎科技有限公司 | 一种漏洞盲测方法及装置 |
CN106022135A (zh) * | 2016-02-23 | 2016-10-12 | 北京工业大学 | 一种可动态判断xss漏洞的自动化检测*** |
CN107085686A (zh) * | 2017-03-24 | 2017-08-22 | 深圳市九州安域科技有限公司 | 一种交互xss漏洞的检测方法及其*** |
CN108696490A (zh) * | 2017-04-11 | 2018-10-23 | 腾讯科技(深圳)有限公司 | 账号权限的识别方法及装置 |
CN110348210A (zh) * | 2018-04-08 | 2019-10-18 | 腾讯科技(深圳)有限公司 | 安全防护方法及装置 |
CN108616526A (zh) * | 2018-04-16 | 2018-10-02 | 贵州大学 | 一种检测Web页面中的XSS漏洞的检测方法 |
CN110392024A (zh) * | 2018-04-20 | 2019-10-29 | 李娜 | 一种网页检测方法与扫描引擎置 |
CN110708308A (zh) * | 2019-09-29 | 2020-01-17 | 武汉大学 | 一种面向云计算环境的跨站脚本漏洞挖掘方法及*** |
CN110708308B (zh) * | 2019-09-29 | 2021-08-17 | 武汉大学 | 一种面向云计算环境的跨站脚本漏洞挖掘方法及*** |
Also Published As
Publication number | Publication date |
---|---|
JP2012533806A (ja) | 2012-12-27 |
CN101964025B (zh) | 2016-02-03 |
WO2011009295A1 (zh) | 2011-01-27 |
JP5497173B2 (ja) | 2014-05-21 |
US9021593B2 (en) | 2015-04-28 |
US20120198558A1 (en) | 2012-08-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101964025B (zh) | Xss检测方法和设备 | |
US8448241B1 (en) | Browser extension for checking website susceptibility to cross site scripting | |
US8578481B2 (en) | Method and system for determining a probability of entry of a counterfeit domain in a browser | |
CA2595758C (en) | System for detecting vulnerabilities in web applications using client-side application interfaces | |
US8949990B1 (en) | Script-based XSS vulnerability detection | |
CN101895516B (zh) | 一种跨站脚本攻击源的定位方法及装置 | |
CN105760379B (zh) | 一种基于域内页面关联关系检测webshell页面的方法及装置 | |
CN105184159A (zh) | 网页篡改的识别方法和装置 | |
CN109347882B (zh) | 网页木马监测方法、装置、设备及存储介质 | |
CN102833258A (zh) | 网址访问方法及*** | |
CN107800686B (zh) | 一种钓鱼网站识别方法和装置 | |
CN109672658B (zh) | Json劫持漏洞的检测方法、装置、设备及存储介质 | |
CN103647678A (zh) | 一种网站漏洞在线验证方法及装置 | |
CN113518077A (zh) | 一种恶意网络爬虫检测方法、装置、设备及存储介质 | |
CN103810268A (zh) | 加载搜索结果推荐信息、网址检测的方法、装置和*** | |
CN106250761B (zh) | 一种识别web自动化工具的设备、装置及方法 | |
CN105404816A (zh) | 基于内容的漏洞检测方法及装置 | |
CN111541672A (zh) | 一种检测http请求安全性方法及*** | |
CN112637361A (zh) | 一种页面代理方法、装置、电子设备及存储介质 | |
Liang et al. | Malicious web pages detection based on abnormal visibility recognition | |
CN102946391A (zh) | 一种浏览器中提示恶意网址的方法和一种浏览器 | |
CN110708308B (zh) | 一种面向云计算环境的跨站脚本漏洞挖掘方法及*** | |
CN106209748A (zh) | 互联网接口的防护方法及装置 | |
CN112287349A (zh) | 安全漏洞检测方法及服务端 | |
CN103581321A (zh) | 一种refer链的创建方法、装置及安全检测方法和客户端 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CP01 | Change in the name or title of a patent holder |
Address after: 100089 Beijing city Haidian District Road No. 4 North wa Yitai three storey building Patentee after: NSFOCUS Technologies Group Co.,Ltd. Address before: 100089 Beijing city Haidian District Road No. 4 North wa Yitai three storey building Patentee before: NSFOCUS INFORMATION TECHNOLOGY Co.,Ltd. |
|
CP01 | Change in the name or title of a patent holder |