CN109165507A - 跨站脚本攻击漏洞检测方法、装置及终端设备 - Google Patents
跨站脚本攻击漏洞检测方法、装置及终端设备 Download PDFInfo
- Publication number
- CN109165507A CN109165507A CN201810746133.1A CN201810746133A CN109165507A CN 109165507 A CN109165507 A CN 109165507A CN 201810746133 A CN201810746133 A CN 201810746133A CN 109165507 A CN109165507 A CN 109165507A
- Authority
- CN
- China
- Prior art keywords
- cross
- site scripting
- request
- data
- scripting attack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/563—Static detection by source code analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明适用于计算机安全技术领域,提供了一种跨站脚本攻击漏洞检测方法、装置及终端设备,所述方法包括:接收请求;对所述请求进行解析,获得解析后的参数;通过数据流跟踪技术对所述解析后的参数进行跟踪,获取应用程序运行时的执行信息;所述应用程序为与所述请求对应的应用程序;根据所述执行信息检测所述请求中是否存在跨站脚本攻击漏洞,通过数据流跟踪的方法获取执行信息,并对执行信息进行检测来判断是否存在跨站脚本攻击漏洞以及跨站脚本攻击漏洞的类别,与传统的方法相比,能够检测两种跨站脚本攻击漏洞,同时具有检测速度快和不产生垃圾数据的优点。
Description
技术领域
本发明属于计算机安全技术领域,尤其涉及一种跨站脚本攻击漏洞检测方法、装置及终端设备。
背景技术
跨站脚本攻击(Crosssite scripting,XSS)是攻击者通过向网页中注入特定的可执行脚本并诱使用户访问,从而当用户浏览该页面时,攻击者注入的脚本就会被执行,从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害。XSS漏洞具有复杂性,可以分为反射式XSS和存储式XSS,其中存储式XSS是将攻击代码存入到数据库中,当用户打开时执行攻击代码,与反射式XSS相比具有更大的危害和更广的影响。
发明人在实现本发明的过程中发现,现有技术中绝大多数的跨站脚本攻击漏洞检测方法都是针对反射式XSS设计的,反射式XSS的特点是用户请求与响应两个过程均存在于同一个周期,基于一个请求就能完成漏洞的检测,而对于存储式XSS,用户请求与响应往往不在同一个请求周期,需要构建大量的请求来检测存储式XSS,具有检测效率低和产生大量数据污染的问题。
发明内容
有鉴于此,本发明实施例提供了一种跨站脚本攻击漏洞检测方法、装置及终端设备,以解决现有技术中XSS检测工具无法检测存储式XSS的问题。
本发明实施例的第一方面提供了一种跨站脚本攻击漏洞检测方法,包括:
接收请求;
对所述请求进行解析,获得解析后的参数;
通过数据流跟踪技术对所述解析后的参数进行跟踪,获取应用程序运行时的执行信息;所述应用程序为与所述请求对应的应用程序;
根据所述执行信息检测所述请求中是否存在跨站脚本攻击漏洞。
可选的,通过数据流跟踪技术对所述解析后的参数进行跟踪,获取应用程序运行时的执行信息,具体包括:
对解析后的参数进行判断,当所述参数的来源为请求数据时,则对所述参数启动跟踪流程;
对所述请求数据进行业务逻辑处理,获得业务逻辑处理后的数据;
对所述业务逻辑处理后的数据进行安全状态信息标记。
可选的,所述根据所述执行信息检测所述请求中是否存在跨站脚本攻击漏洞,具体包括:
对所述安全状态信息的标记进行检测,当所述标记为不安全状态信息时,则所述请求中存在跨站脚本攻击漏洞;
对标记为不安全状态信息的业务逻辑处理后的数据的流动状态进行检测,判断所述跨站脚本攻击漏洞的类型。
可选的,所述对标记为不安全状态信息的业务逻辑处理后的数据的流动状态进行检测,判断所述跨站脚本攻击漏洞的类型,具体包括:
当所述标记为不安全状态信息的业务逻辑处理后的数据为返回状态时,则上报所述请求中存在反射式跨站脚本攻击漏洞;
当所述标记为不安全状态信息的业务逻辑处理后的数据为存储状态时,则通过预设的分析模型判断需要调用所述参数时,则上报所述请求中存在存储式跨站脚本攻击漏洞。
可选的,所述通过预设的分析模型判断需要调用所述参数,具体包括:
获取所述参数保存时采用的持久层框架,根据所述持久层框架获取数据的存储信息与读取信息;
根据所述存储信息和读取信息获取插桩方案和判断处理逻辑,根据所述插桩方案和判断处理逻辑获取是否调用所述参数。
本发明实施例的第二方面提供了一种跨站脚本攻击漏洞检测装置,包括:接收模块、解析模块、获取模块和判断模块;
所述接收模块,用于接收请求;
所述解析模块,对所述请求进行解析,获得解析后的参数;
所述获取模块,用于通过数据流跟踪技术对所述解析后的参数进行跟踪,获取应用程序运行时的执行信息;所述应用程序为与所述请求对应的应用程序;
所述检测模块,用于根据所述执行信息检测所述请求中是否存在跨站脚本攻击漏洞。
可选的,所述获取模块包括:跟踪启动单元、业务逻辑处理单元和信息标记单元;
跟踪启动单元,用于对解析后的参数进行判断,当所述参数的来源为请求数据时,则对所述参数启动跟踪流程;
业务逻辑处理单元,用于对所述请求数据进行业务逻辑处理,获得业务逻辑处理后的数据;
信息标记单元,用于对所述业务逻辑处理后的数据进行安全状态信息标记。
可选的,所述检测模块包括:第一检测单元和第二检测单元;
所述第一检测单元,用于对所述安全状态信息的标记进行检测,当所述标记为不安全状态信息时,则所述请求中存在跨站脚本攻击漏洞;
所述第二检测单元,用于对标记为不安全状态信息的业务逻辑处理后的数据的流动状态进行检测,判断所述跨站脚本攻击漏洞的类型。
本发明实施例的第三方面提供了一种跨站脚本攻击漏洞检测终端设备,包括:存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如上述任一项所述跨站脚本攻击漏洞检测方法的步骤。
本发明实施例的第四方面提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现如上述任一项所述跨站脚本攻击漏洞检测方法的步骤。
本发明实施例与现有技术相比存在的有益效果是:本发明实施例,通过接收请求,并根据请求获得解析后的参数,再通过数据流跟踪技术对解析后的参数进行跟踪并得到执行信息,根据执行信息就能够判断所述请求中是否存在跨站脚本攻击漏洞以及跨站脚本攻击漏洞的类别,使得基于一个请求即可完成跨站脚本攻击漏洞的检测,从而解决传统方法中不能检测存储式跨站脚本攻击漏洞的问题,同时还具有检测速度快和不产生垃圾数据的优点。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的跨站脚本攻击漏洞检测方法的实现流程图;
图2是图1中步骤S103的实现流程图;
图3是图1中步骤S104的实现流程图;
图4是图3中步骤S302的实现流程图;
图5是图4中步骤S402的实现流程图;
图6是本发明实施例提供的跨站脚本攻击漏洞检测装置的结构示意图;
图7是本发明实施例提供的跨站脚本攻击漏洞检测设备的示意图。
具体实施方式
以下描述中,为了说明而不是为了限定,提出了诸如特定***结构、技术之类的具体细节,以便透彻理解本发明实施例。然而,本领域的技术人员应当清楚,在没有这些具体细节的其它实施例中也可以实现本发明。在其它情况中,省略对众所周知的***、装置、电路以及方法的详细说明,以免不必要的细节妨碍本发明的描述。
为了说明本发明所述的技术方案,下面通过具体实施例来进行说明。
实施例一
图1示出了本发明实施例一提供的跨站脚本攻击漏洞检测方法的实现流程,详述如下:
步骤S101,接收请求。
其中,当用户端请求某个应用的服务时,用户端将服务请求发送给网络应用服务器,网络应用服务器则接收用户的请求。
一般的,网络应用服务器经常会需要与用户进行交互,当请求数据中存在恶意代码时,对于不同的交互方法,则对应不同的跨站脚本攻击漏洞。一种交互方式为:当用户提交数据给网络服务器后,将用户提交的数据返回至用户浏览器。例如:对于一个用户登录页面来说,当用户以“张三”用户名登录网站后,网页上往往会出现“您好,张三”的字样,此时,若请求数据中存在恶意代码,则为反射式跨站脚本攻击。另一种交互方式为:当用户提交数据给网络服务器后,将用户提交的数据进行存储。例如:对于一个留言板页面来说,当用户提交相应的留言信息后,网络服务器会将留言信息存储至数据库,此时,若请求数据中存在恶意代码,则为存储式跨站脚本攻击。
步骤S102,对所述请求进行解析,获得解析后的参数。
在本实施例中,网络服务器会对用户的请求进行解析,进而获得解析后的参数,其中,此处的解析也就是获取用户的输入数据以及中间数据的过程。例如:对于上述用户登录页面的流程中,当用户在输入用户名和密码等信息来请求登录网页时,网络服务器会解析该请求,并获取用户输入的用户名及密码等信息。所述解析后的参数是数据流跟踪技术的跟踪对象。
步骤S103,通过数据流跟踪技术对所述解析后的参数进行跟踪,获取应用程序运行时的执行信息;所述应用程序为与所述请求对应的应用程序。
在本实施例中,通过采用数据流跟踪技术来获取应用程序运行时的执行信息,进而根据执行信息判断用户请求中是否存在跨站脚本攻击漏洞。此处的应用程序指的是所述请求所对应的应用程序,例如:当用户通过浏览器登陆个人邮箱时,通过浏览器输入邮箱网址,进入邮箱网址后输入账号信息后发送登陆请求信息,其中此处的应用程序就是邮箱程序。
参见图2,一个实施例中,步骤S103可以通过以下过程实现:
步骤S201,对解析后的参数进行判断,当所述参数的来源为请求数据时,则对所述参数启动跟踪流程。
在本实施例中,对解析后的参数启动数据流跟踪流程的条件为:当解析后的参数为请求数据时才启动数据流跟踪流程。这是因为,跨站脚本攻击漏洞往往是用户嵌入的恶意代码形成的,因此数据流跟踪的主要对象则为请求数据。需要注意的是,此处的请求数据并非仅仅指代用户输入的数据,对于请求数据中的其它数据也可能会受到黑客的篡改,所以跟踪的对象为来自于请求数据的参数。具体的,采用核心类插桩技术,在被测程序中***探针,然后通过探针的执行来获得程序的控制流和数据流信息。
步骤S202,对所述请求数据进行业务逻辑处理,获得业务逻辑处理后的数据。
在本实施例中,当对请求数据启动数据流跟踪流程后,会对请求数据进行业务逻辑处理,其中,业务逻辑处理指的是处理数据的业务,例如:对请求数据进行判断或修改等,进而得到判断或修改后的数据。
例如:对于上述的用户登录页面的流程中,当用户在登录页面输入用户名和密码后,会对用户输入的用户名和密码进行判断,判断用户名是否为已经注册的用户名,当用户的用户名为已经注册的用户名时,判断用户输入的密码是否与预先设置的密码一致。此外,为了保证用户信息的安全性,还可以对用户输入的密码进行加密操作等,获得加密后的数据。此处的对请求数据进行业务逻辑处理的过程就是数据传播的过程。
步骤S203,对所述业务逻辑处理后的数据进行安全状态信息标记。
在本实施例中,在对请求数据进行业务逻辑处理后,对业务逻辑处理后的数据进行安全状态信息标记。其中安全状态信息的标记为两种,一种为安全状态信息,一种为不安全状态信息,为逻辑处理后的数据进行标记前会先对所述数据进行判断,当所述业务逻辑处理后的数据进行安全处理后则会标记为安全状态信息;相反的,当所述业务逻辑处理后的数据未进行安全处理时则会标记为不安全状态信息。此处的安全处理可以包括对输入数据的过滤和对输出数据的编码。例如:在通常情况下,为了防止跨站脚本攻击漏洞,应用程序通常会对数据进行HTML编码,当对数据进行HTML编码后,则认为数据中不存在跨站脚本攻击漏洞,此时会对数据标记为安全状态信息。然而,当应用程序未对数据进行HTML编码或者在对数据进行HTML编码后又进行了解码操作,则数据中还是可能存在跨站脚本漏洞,此时需要对数据标记为不安全状态信息。
步骤S104,根据所述执行信息检测所述请求中是否存在跨站脚本攻击漏洞。
在本实施例中,可以根据执行信息检测所述请求信息中是否存在跨站脚本攻击漏洞。具体的,在检测跨站脚本攻击漏洞时可以先判断是否存在跨站脚本攻击漏洞,当存在跨站脚本攻击漏洞时再进一步确定跨站脚本攻击漏洞的类型。
参见图3,一个实施例中,步骤S104可以通过以下过程实现:
步骤S301,对所述安全状态信息的标记进行检测,当所述标记为不安全状态信息时,则所述请求中存在跨站脚本攻击漏洞。
在本实施例中,在检测接收的请求是否存在跨站脚本攻击漏洞时,仅需要对安全状态信息标记进行检测即可。其中,当所述请求中存在跨站脚本攻击漏洞时,该漏洞的上报时间为需要调用所述请求中的内容的时刻。因此,在调用所述请求中的内容时,会通过插桩的代码来检测是否存在安全状态信息标记。当检测到存在不安全状态信息标记时,则表示所述请求中存在跨站脚本攻击漏洞。
例如:对于上述的用户登录页面的流程中,当用户在登录页面输入用户名和密码后,在向用户显示登陆后的首页时,会需要将用户名显示在页面上,具体的,可以通过沉淀函数将用户名显示在前端。因此,在调用沉淀函数时会执行***到该函数中的检测代码,通过检测代码检测安全状态信息标记,若检测到不安全状态信息标记时,则说明所述请求中存在跨站脚本攻击漏洞。
步骤S302,对标记为不安全状态信息的业务逻辑处理后的数据的流动状态进行检测,判断所述跨站脚本攻击漏洞的类型。
在本实施例中,跨站脚本攻击漏洞检测方法还可以检测跨站脚本攻击漏洞的类型,反射式跨站脚本攻击漏洞和存储式跨站脚本攻击漏洞的区别就在于:对于所述请求内容是否进行存储。基于上述事实,可以通过对请求数据进行跟踪检测,获取用户发送请求中的数据流动状态,根据数据流动状态来判断跨站脚本攻击漏洞的类型。
参见图4,一个实施例中,步骤S302可以通过以下过程实现:
步骤S401,当所述标记为不安全状态信息的业务逻辑处理后的数据为返回状态时,则上报所述请求中存在反射式跨站脚本攻击漏洞。
具体的,当确定所述标记的信息为不安全状态信息时,会对所述业务逻辑处理后的数据进行跟踪,获取业务逻辑处理后数据的流动状态。当所述直接对所述数据进行返回时,则上报请求中存在反射式跨站脚本攻击漏洞。
步骤S402,当所述标记为不安全状态信息的业务逻辑处理后的数据为存储状态时,则通过预设的分析模型判断需要调用所述参数时,则上报所述请求中存在存储式跨站脚本攻击漏洞。
在本实施例中,当确定所述标记的信息为不安全状态信息,并将所述不安全状态信息进行存储时,则需要通过分析模型获取参数的调用时间,当检测到持久层框架的读取逻辑需要读取所述不安全状态信息,并将所述不安全状态信息输出至前端时,则上报存储式跨站脚本攻击漏洞。需要注意的是,此处不一定要读取到所述不安全状态信息,仅仅是通过读取逻辑就能判断是否上报存储式跨站脚本攻击漏洞,具有检测效率高的优点。对于存储式跨站脚本攻击漏洞可能会采用不同的持久层框架进行存储,因此,对于不同的持久层框架其调用数据的形式也不同。而跨站脚本攻击漏洞的上报时机为需要调用所述请求中的内容的时刻,因此,需要获取不同持久层框架的存储及读取过程。
参见图5,一个实施例中,步骤S402可以通过以下过程实现:
步骤S501,获取所述参数保存时采用的持久层框架,根据所述持久层框架获取数据的存储信息与读取信息。
在本实施例中,当检测存储式跨站脚本攻击漏洞时,需要获取保存所述参数时采用的持久层框架的类型,并根据所述持久层框架的类型,获取数据的存储信息和读取信息。例如:对于JPA框架,web程序会定义一个ORM类,该ORM类会对应数据库中的表,随后web程序会通过定义的ORM类对表数据进行更新及读取。例如:通过set方法将类中的字段初始化,然后将数据保存到对应的数据库表中;读取时,通过get方法取出具体的数据。
步骤S502,根据所述存储信息和读取信息获取插桩方案和判断处理逻辑,根据所述插桩方案和判断处理逻辑获取是否调用所述参数。
在本实施例中,在获取不同持久层框架的存储信息和读取信息的后,根据存储信息和读取信息获取插桩方案和判断处理逻辑,进而当调用所述参数信息时则上报存储式跨站脚本攻击漏洞。例如:当采用set方法将类中的字段初始化时,会对set方法进行插桩,那么在调用set方法时会对输入的参数进行检测,判断是否存在漏洞上报的条件,当符合漏洞上报条件时,则在调用get方法时插桩,从而在调用get方法来获取数据并传输至前端时,则会上报该存储式跨站脚本攻击漏洞。
上述跨站脚本攻击漏洞检测方法,通过接收请求,并根据请求获得解析后的参数,再通过数据流跟踪技术对解析后的参数进行跟踪并得到执行信息,根据执行信息就能够判断所述请求中是否存在跨站脚本攻击漏洞以及跨站脚本攻击漏洞的类别,使得基于一个请求即可完成跨站脚本攻击漏洞的检测,从而解决传统方法中不能检测存储式跨站脚本攻击漏洞的问题,同时还具有检测速度快和不产生垃圾数据的优点。
应理解,上述实施例中各步骤的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本发明实施例的实施过程构成任何限定。
实施例二
对应于上文实施例一所述的跨站脚本攻击漏洞检测方法,图6示出了本发明实施例提供的跨站脚本攻击漏洞检测装置的结构示意图。为了便于说明,仅示出了与本实施例相关的部分。
跨站脚本攻击漏洞检测装置可以包括:接收模块101、解析模块102、获取模块103和判断模块104。接收模块101,用于接收请求;解析模块102,对所述请求进行解析,获得解析后的参数;获取模块103,用于通过数据流跟踪技术对所述解析后的参数进行跟踪,获取应用程序运行时的执行信息;所述应用程序为与所述请求对应的应用程序;检测模块104,用于根据所述执行信息检测所述请求中是否存在跨站脚本攻击漏洞。
可选的,获取模块103包括:跟踪启动单元、业务逻辑处理单元和信息标记单元;其中,跟踪启动单元,用于对解析后的参数进行判断,当所述参数的来源为请求数据时,则对所述参数启动跟踪流程;业务逻辑处理单元,用于对所述请求数据进行业务逻辑处理,获得业务逻辑处理后的数据;信息标记单元,用于对所述业务逻辑处理后的数据进行安全状态信息标记。
可选的,检测模块104包括:第一检测单元和第二检测单元;其中,第一检测单元,用于对所述安全状态信息的标记进行检测,当所述标记为不安全状态信息时,则所述请求中存在跨站脚本攻击漏洞;第二检测单元,用于对标记为不安全状态信息的业务逻辑处理后的数据的流动状态进行检测,判断所述跨站脚本攻击漏洞的类型。
本实施例二中的跨站脚本攻击漏洞检测装置可以用于执行图1所示的跨站脚本攻击漏洞检测方法,其具体实现原理可以参见上述方法实施例,此处不再赘述。
上述跨站脚本攻击漏洞检测装置,通过接收模块接收请求,通过解析模块获得解析后的参数,采用获取模块通过数据流跟踪技术对解析后的参数进行跟踪并得到执行信息,通过检测模块根据执行信息就能够判断所述请求中是否存在跨站脚本攻击漏洞以及跨站脚本攻击漏洞的类别,使得基于一个请求即可完成跨站脚本攻击漏洞的检测,从而解决传统方法中不能检测存储式跨站脚本攻击漏洞的问题,同时还具有检测速度快和不产生垃圾数据的优点。
实施例三
图7是本发明一实施例提供的跨站脚本攻击漏洞检测设备的示意图。如图7所示,该实施例的跨站脚本攻击漏洞检测设备7包括:处理器701、存储器702以及存储在所述存储器702中并可在所述处理器701上运行的计算机程序703,例如获得执行信息的程序。所述处理器701执行所述计算机程序703时实现上述各个跨站脚本攻击漏洞检测方法实施例中的步骤,例如图1所示的步骤101至104。或者,所述处理器701执行所述计算机程序703时实现上述各装置实施例中各模块/单元的功能,例如图6所示模块101至104的功能。
示例性的,所述计算机程序703可以被分割成一个或多个模块/单元,所述一个或者多个模块/单元被存储在所述存储器702中,并由所述处理器701执行,以完成本发明。所述一个或多个模块/单元可以是能够完成特定功能的一系列计算机程序指令段,该指令段用于描述所述计算机程序703在所述跨站脚本攻击漏洞检测装置/终端设备70中的执行过程。例如,所述计算机程序703可以被分割成接收模块、解析模块、获取模块、检测模块,各模块具体功能如下:
所述接收模块101,用于接收请求;所述解析模块102,对所述请求进行解析,获得解析后的参数;所述获取模块103,用于通过数据流跟踪技术对所述解析后的参数进行跟踪,获取应用程序运行时的执行信息;所述应用程序为与所述请求对应的应用程序;所述检测模块104,用于根据所述执行信息检测所述请求中是否存在跨站脚本攻击漏洞。
所述跨站脚本攻击漏洞检测装置/终端设备70可以是桌上型计算机、笔记本、掌上电脑及云端服务器等计算设备。所述跨站脚本攻击漏洞检测装置/终端设备可包括,但不仅限于,处理器701、存储器702。本领域技术人员可以理解,图7仅仅是跨站脚本攻击漏洞检测装置/终端设备70的示例,并不构成对跨站脚本攻击漏洞检测装置/终端设备70的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件,例如所述跨站脚本攻击漏洞检测装置/终端设备还可以包括输入输出设备、网络接入设备、总线等。
所称处理器701可以是中央处理单元(Central Processing Unit,CPU),还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
所述存储器702可以是所述跨站脚本攻击漏洞检测装置/终端设备70的内部存储单元,例如跨站脚本攻击漏洞检测装置/终端设备70的硬盘或内存。所述存储器702也可以是所述跨站脚本攻击漏洞检测装置/终端设备70的外部存储设备,例如所述跨站脚本攻击漏洞检测装置/终端设备70上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。进一步地,所述存储器702还可以既包括所述跨站脚本攻击漏洞检测装置/终端设备70的内部存储单元也包括外部存储设备。所述存储器702用于存储所述计算机程序以及所述跨站脚本攻击漏洞检测装置/终端设备所需的其他程序和数据。所述存储器702还可以用于暂时地存储已经输出或者将要输出的数据。
所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,仅以上述各功能单元、模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能单元、模块完成,即将所述装置的内部结构划分成不同的功能单元或模块,以完成以上描述的全部或者部分功能。实施例中的各功能单元、模块可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中,上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。另外,各功能单元、模块的具体名称也只是为了便于相互区分,并不用于限制本申请的保护范围。上述***中单元、模块的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述或记载的部分,可以参见其它实施例的相关描述。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
在本发明所提供的实施例中,应该理解到,所揭露的装置/终端设备和方法,可以通过其它的方式实现。例如,以上所描述的装置/终端设备实施例仅仅是示意性的,例如,所述模块或单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通讯连接可以是通过一些接口,装置或单元的间接耦合或通讯连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实现上述实施例方法中的全部或部分流程,也可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一计算机可读存储介质中,该计算机程序在被处理器执行时,可实现上述各个方法实施例的步骤。。其中,所述计算机程序包括计算机程序代码,所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括:能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、电载波信号、电信信号以及软件分发介质等。需要说明的是,所述计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减,例如在某些司法管辖区,根据立法和专利实践,计算机可读介质不包括电载波信号和电信信号。
以上所述实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围,均应包含在本发明的保护范围之内。
Claims (10)
1.一种跨站脚本攻击漏洞检测方法,其特征在于,包括:
接收请求;
对所述请求进行解析,获得解析后的参数;
通过数据流跟踪技术对所述解析后的参数进行跟踪,获取应用程序运行时的执行信息;所述应用程序为与所述请求对应的应用程序;
根据所述执行信息检测所述请求中是否存在跨站脚本攻击漏洞。
2.如权利要求1所述的跨站脚本攻击漏洞检测方法,其特征在于,所述通过数据流跟踪技术对所述解析后的参数进行跟踪,获取应用程序运行时的执行信息,具体包括:
对解析后的参数进行判断,当所述参数的来源为请求数据时,则对所述参数启动跟踪流程;
对所述请求数据进行业务逻辑处理,获得业务逻辑处理后的数据;
对所述业务逻辑处理后的数据进行安全状态信息标记。
3.如权利要求2所述的跨站脚本攻击漏洞检测方法,其特征在于,根据所述执行信息检测所述请求中是否存在跨站脚本攻击漏洞,具体包括:
对所述安全状态信息的标记进行检测,当所述标记为不安全状态信息时,则所述请求中存在跨站脚本攻击漏洞;
对标记为不安全状态信息的业务逻辑处理后的数据的流动状态进行检测,判断所述跨站脚本攻击漏洞的类型。
4.如权利要求3所述的跨站脚本攻击漏洞检测方法,其特征在于,所述对标记为不安全状态信息的业务逻辑处理后的数据的流动状态进行检测,判断所述跨站脚本攻击漏洞的类型,具体包括:
当所述标记为不安全状态信息的业务逻辑处理后的数据为返回状态时,则上报所述请求中存在反射式跨站脚本攻击漏洞;
当所述标记为不安全状态信息的业务逻辑处理后的数据为存储状态时,则通过预设的分析模型判断需要调用所述参数时,则上报所述请求中存在存储式跨站脚本攻击漏洞。
5.如权利要求4所述的跨站脚本攻击漏洞检测方法,其特征在于,所述通过预设的分析模型判断需要调用所述参数,具体包括:
获取所述参数保存时采用的持久层框架,根据所述持久层框架获取数据的存储信息与读取信息;
根据所述存储信息和读取信息获取插桩方案和判断处理逻辑,根据所述插桩方案和判断处理逻辑获取是否调用所述参数。
6.一种跨站脚本攻击漏洞检测装置,其特征在于,包括:接收模块、解析模块、获取模块和判断模块;
所述接收模块,用于接收请求;
所述解析模块,对所述请求进行解析,获得解析后的参数;
所述获取模块,用于通过数据流跟踪技术对所述解析后的参数进行跟踪,获取应用程序运行时的执行信息;所述应用程序为与所述请求对应的应用程序;
所述检测模块,用于根据所述执行信息检测所述请求中是否存在跨站脚本攻击漏洞。
7.如权利要求6所述的跨站脚本攻击漏洞检测装置,其特征在于,所述获取模块包括:跟踪启动单元、业务逻辑处理单元和信息标记单元;
跟踪启动单元,用于对解析后的参数进行判断,当所述参数的来源为请求数据时,则对所述参数启动跟踪流程;
业务逻辑处理单元,用于对所述请求数据进行业务逻辑处理,获得业务逻辑处理后的数据;
信息标记单元,用于对所述业务逻辑处理后的数据进行安全状态信息标记。
8.如权利要求7所述的跨站脚本攻击漏洞检测装置,其特征在于,所述检测模块包括:第一检测单元和第二检测单元;
所述第一检测单元,用于对所述安全状态信息的标记进行检测,当所述标记为不安全状态信息时,则所述请求中存在跨站脚本攻击漏洞;
所述第二检测单元,用于对标记为不安全状态信息的业务逻辑处理后的数据的流动状态进行检测,判断所述跨站脚本攻击漏洞的类型。
9.一种跨站脚本攻击漏洞检测终端设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至5任一项所述方法的步骤。
10.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至5任一项所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810746133.1A CN109165507B (zh) | 2018-07-09 | 2018-07-09 | 跨站脚本攻击漏洞检测方法、装置及终端设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810746133.1A CN109165507B (zh) | 2018-07-09 | 2018-07-09 | 跨站脚本攻击漏洞检测方法、装置及终端设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109165507A true CN109165507A (zh) | 2019-01-08 |
| CN109165507B CN109165507B (zh) | 2021-02-19 |
Family
ID=64897527
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810746133.1A Active CN109165507B (zh) | 2018-07-09 | 2018-07-09 | 跨站脚本攻击漏洞检测方法、装置及终端设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109165507B (zh) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110381033A (zh) * | 2019-06-24 | 2019-10-25 | 深圳开源互联网安全技术有限公司 | Web应用漏洞检测方法、装置、***、存储介质和服务器 |
| CN110929264A (zh) * | 2019-11-21 | 2020-03-27 | 中国工商银行股份有限公司 | 漏洞检测方法、装置、电子设备及可读存储介质 |
| CN111859375A (zh) * | 2020-07-20 | 2020-10-30 | 百度在线网络技术(北京)有限公司 | 漏洞检测方法、装置、电子设备及存储介质 |
| CN111949992A (zh) * | 2020-08-17 | 2020-11-17 | 中国工商银行股份有限公司 | Web应用程序的自动化安全监测方法及*** |
| WO2020252698A1 (zh) * | 2019-06-19 | 2020-12-24 | 深圳开源互联网安全技术有限公司 | 一种数据流跟踪方法、***、存储介质和服务器 |
| CN112866274A (zh) * | 2021-02-01 | 2021-05-28 | 北京工业大学 | 一种基于云端数据的xss漏洞检测方法 |
| CN113761519A (zh) * | 2021-08-19 | 2021-12-07 | 深圳开源互联网安全技术有限公司 | 一种Web应用程序的检测方法、装置及存储介质 |
| CN114124448A (zh) * | 2021-10-14 | 2022-03-01 | 北京墨云科技有限公司 | 一种基于机器学习的跨站脚本攻击识别方法 |
| CN114968826A (zh) * | 2022-07-28 | 2022-08-30 | 深圳开源互联网安全技术有限公司 | 应用程序漏洞修复验证方法及*** |
| CN116055218A (zh) * | 2023-03-06 | 2023-05-02 | 深圳开源互联网安全技术有限公司 | 用于web应用安全检测中的用户登录请求识别方法及*** |
Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101159732A (zh) * | 2007-08-14 | 2008-04-09 | 电子科技大学 | 基于数据流分析的恶意攻击检测方法 |
| CN101741645A (zh) * | 2009-12-17 | 2010-06-16 | 成都市华为赛门铁克科技有限公司 | 存储式跨站脚本攻击检测方法、装置及***及攻击检测装置 |
| CN101895516A (zh) * | 2009-05-19 | 2010-11-24 | 北京启明星辰信息技术股份有限公司 | 一种跨站脚本攻击源的定位方法及装置 |
| CN101901307A (zh) * | 2009-05-27 | 2010-12-01 | 北京启明星辰信息技术股份有限公司 | 一种检测数据库是否遭到跨站脚本攻击的方法及装置 |
| CN101901221A (zh) * | 2009-05-27 | 2010-12-01 | 北京启明星辰信息技术股份有限公司 | 一种跨站脚本攻击的检测方法和装置 |
| CN102622558A (zh) * | 2012-03-01 | 2012-08-01 | 北京邮电大学 | 一种二进制程序漏洞的挖掘装置和方法 |
| CN103544433A (zh) * | 2012-07-13 | 2014-01-29 | 北京一铭昌和科技发展有限公司 | 跨站脚本攻击的防御方法 |
| CN103856471A (zh) * | 2012-12-06 | 2014-06-11 | 阿里巴巴集团控股有限公司 | 跨站脚本攻击监控***及方法 |
| CN103995782A (zh) * | 2014-06-17 | 2014-08-20 | 电子科技大学 | 一种基于污点不变集的污点分析方法 |
| CN104715195A (zh) * | 2015-03-12 | 2015-06-17 | 广东电网有限责任公司信息中心 | 基于动态插桩的恶意代码检测***及方法 |
| CN106506548A (zh) * | 2016-12-23 | 2017-03-15 | 努比亚技术有限公司 | 跨站脚本攻击的防御装置及方法 |
| CN107657177A (zh) * | 2017-09-30 | 2018-02-02 | 北京奇虎科技有限公司 | 一种漏洞检测方法及装置 |
| CN107784065A (zh) * | 2017-08-17 | 2018-03-09 | 平安壹钱包电子商务有限公司 | 业务数据跟踪方法、装置、计算机设备及存储介质 |
-
2018
- 2018-07-09 CN CN201810746133.1A patent/CN109165507B/zh active Active
Patent Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101159732A (zh) * | 2007-08-14 | 2008-04-09 | 电子科技大学 | 基于数据流分析的恶意攻击检测方法 |
| CN101895516A (zh) * | 2009-05-19 | 2010-11-24 | 北京启明星辰信息技术股份有限公司 | 一种跨站脚本攻击源的定位方法及装置 |
| CN101901307A (zh) * | 2009-05-27 | 2010-12-01 | 北京启明星辰信息技术股份有限公司 | 一种检测数据库是否遭到跨站脚本攻击的方法及装置 |
| CN101901221A (zh) * | 2009-05-27 | 2010-12-01 | 北京启明星辰信息技术股份有限公司 | 一种跨站脚本攻击的检测方法和装置 |
| CN101741645A (zh) * | 2009-12-17 | 2010-06-16 | 成都市华为赛门铁克科技有限公司 | 存储式跨站脚本攻击检测方法、装置及***及攻击检测装置 |
| CN102622558A (zh) * | 2012-03-01 | 2012-08-01 | 北京邮电大学 | 一种二进制程序漏洞的挖掘装置和方法 |
| CN103544433A (zh) * | 2012-07-13 | 2014-01-29 | 北京一铭昌和科技发展有限公司 | 跨站脚本攻击的防御方法 |
| CN103856471A (zh) * | 2012-12-06 | 2014-06-11 | 阿里巴巴集团控股有限公司 | 跨站脚本攻击监控***及方法 |
| CN103995782A (zh) * | 2014-06-17 | 2014-08-20 | 电子科技大学 | 一种基于污点不变集的污点分析方法 |
| CN104715195A (zh) * | 2015-03-12 | 2015-06-17 | 广东电网有限责任公司信息中心 | 基于动态插桩的恶意代码检测***及方法 |
| CN106506548A (zh) * | 2016-12-23 | 2017-03-15 | 努比亚技术有限公司 | 跨站脚本攻击的防御装置及方法 |
| CN107784065A (zh) * | 2017-08-17 | 2018-03-09 | 平安壹钱包电子商务有限公司 | 业务数据跟踪方法、装置、计算机设备及存储介质 |
| CN107657177A (zh) * | 2017-09-30 | 2018-02-02 | 北京奇虎科技有限公司 | 一种漏洞检测方法及装置 |
Cited By (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2020252698A1 (zh) * | 2019-06-19 | 2020-12-24 | 深圳开源互联网安全技术有限公司 | 一种数据流跟踪方法、***、存储介质和服务器 |
| CN114127721A (zh) * | 2019-06-19 | 2022-03-01 | 深圳开源互联网安全技术有限公司 | 一种数据流跟踪方法、***、存储介质和服务器 |
| CN110381033A (zh) * | 2019-06-24 | 2019-10-25 | 深圳开源互联网安全技术有限公司 | Web应用漏洞检测方法、装置、***、存储介质和服务器 |
| CN110381033B (zh) * | 2019-06-24 | 2021-06-08 | 深圳开源互联网安全技术有限公司 | Web应用漏洞检测方法、装置、***、存储介质和服务器 |
| CN110929264A (zh) * | 2019-11-21 | 2020-03-27 | 中国工商银行股份有限公司 | 漏洞检测方法、装置、电子设备及可读存储介质 |
| CN110929264B (zh) * | 2019-11-21 | 2022-08-30 | 中国工商银行股份有限公司 | 漏洞检测方法、装置、电子设备及可读存储介质 |
| CN111859375A (zh) * | 2020-07-20 | 2020-10-30 | 百度在线网络技术(北京)有限公司 | 漏洞检测方法、装置、电子设备及存储介质 |
| CN111859375B (zh) * | 2020-07-20 | 2023-08-29 | 百度在线网络技术(北京)有限公司 | 漏洞检测方法、装置、电子设备及存储介质 |
| CN111949992A (zh) * | 2020-08-17 | 2020-11-17 | 中国工商银行股份有限公司 | Web应用程序的自动化安全监测方法及*** |
| CN111949992B (zh) * | 2020-08-17 | 2023-09-29 | 中国工商银行股份有限公司 | Web应用程序的自动化安全监测方法及*** |
| CN112866274B (zh) * | 2021-02-01 | 2022-08-16 | 北京工业大学 | 一种基于云端数据的xss漏洞检测方法 |
| CN112866274A (zh) * | 2021-02-01 | 2021-05-28 | 北京工业大学 | 一种基于云端数据的xss漏洞检测方法 |
| CN113761519B (zh) * | 2021-08-19 | 2023-04-25 | 深圳开源互联网安全技术有限公司 | 一种Web应用程序的检测方法、装置及存储介质 |
| CN113761519A (zh) * | 2021-08-19 | 2021-12-07 | 深圳开源互联网安全技术有限公司 | 一种Web应用程序的检测方法、装置及存储介质 |
| CN114124448A (zh) * | 2021-10-14 | 2022-03-01 | 北京墨云科技有限公司 | 一种基于机器学习的跨站脚本攻击识别方法 |
| CN114124448B (zh) * | 2021-10-14 | 2024-03-19 | 北京墨云科技有限公司 | 一种基于机器学习的跨站脚本攻击识别方法 |
| CN114968826A (zh) * | 2022-07-28 | 2022-08-30 | 深圳开源互联网安全技术有限公司 | 应用程序漏洞修复验证方法及*** |
| CN114968826B (zh) * | 2022-07-28 | 2022-11-22 | 深圳开源互联网安全技术有限公司 | 应用程序漏洞修复验证方法及*** |
| CN116055218A (zh) * | 2023-03-06 | 2023-05-02 | 深圳开源互联网安全技术有限公司 | 用于web应用安全检测中的用户登录请求识别方法及*** |
| CN116055218B (zh) * | 2023-03-06 | 2023-06-23 | 深圳开源互联网安全技术有限公司 | 用于web应用安全检测中的用户登录请求识别方法及*** |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109165507B (zh) | 2021-02-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109165507A (zh) | 跨站脚本攻击漏洞检测方法、装置及终端设备 | |
| US11570209B2 (en) | Detecting and mitigating attacks using forged authentication objects within a domain | |
| CN108365961B (zh) | 接口调用方法及终端设备、接口调用的响应方法及服务器 | |
| US20210297443A1 (en) | Detecting and mitigating golden ticket attacks within a domain | |
| CN104685510B (zh) | 识别应用程序是否是恶意程序的方法、***及存储介质 | |
| CN104065651B (zh) | 一种面向云计算的信息流可信保障方法 | |
| CN107003976A (zh) | 基于可准许活动规则确定可准许活动 | |
| US20090187442A1 (en) | Feedback augmented object reputation service | |
| US20130254895A1 (en) | Non-harmful insertion of data mimicking computer network attacks | |
| CN105791261B (zh) | 一种跨站脚本攻击的检测方法和检测设备 | |
| CN102073822A (zh) | 防止用户信息泄漏的方法及*** | |
| CN108763071A (zh) | 一种网页测试方法及终端设备 | |
| CN109861968A (zh) | 资源访问控制方法、装置、计算机设备及存储介质 | |
| CN110113366A (zh) | 一种csrf漏洞的检测方法及装置 | |
| Roy et al. | Generating phishing attacks using chatgpt | |
| CN104899482A (zh) | 限制批量请求服务的方法和装置 | |
| Subramani et al. | PhishInPatterns: measuring elicited user interactions at scale on phishing websites | |
| CN109446807A (zh) | 用于识别拦截恶意机器人的方法、装置以及电子设备 | |
| CN105681344A (zh) | 一种验证码识别***及方法 | |
| CN107392026A (zh) | 漏洞检测方法及装置 | |
| US20150066763A1 (en) | Method and apparatus for cross channel monitoring | |
| CN111371811A (zh) | 一种资源调用方法、资源调用装置、客户端及业务服务器 | |
| CN103281296B (zh) | 处理密码信息的方法和装置 | |
| CN106453418A (zh) | 一种验证方法及*** | |
| Pandurang et al. | A mapping-based podel for preventing Cross site scripting and sql injection attacks on web application and its impact analysis |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |