WO2015067114A1

WO2015067114A1 - 基于文档对象模型的跨站脚本攻击漏洞检测方法、装置、终端及介质

Info

Publication number: WO2015067114A1
Application number: PCT/CN2014/088283
Authority: WO
Inventors: 翁家才
Original assignee: 腾讯科技（深圳）有限公司
Priority date: 2013-11-08
Filing date: 2014-10-10
Publication date: 2015-05-14
Also published as: US9754113B2; CN104636664B; US20160267278A1; CN104636664A

Abstract

本发明公开了一种基于文档对象模型的跨站脚本攻击漏洞检测方法及装置、终端。所述方法包括：获取网页的原始网址中的参数值对集合，参数值对集合中包括至少一个参数值对；采用特征脚本替换所述参数对的参数值形成网页的测试网址，特征脚本为包含有恶意字符且能在网页的文档对象模型树中唯一标识的恶意代码；获取测试网址对应的页面内容；将页面内容转化为文档对象模型树；根据文档对象模型树和特征脚本检测所述参数值对是否存在跨站脚本攻击漏洞。本发明通过采用上述方案，只需在转化的DOM树中寻找***的特征脚本，而不需要让特征脚本触发执行就能有效发现DOM XSS漏洞，大大提高了漏洞发现能力及检测效率。

Description

基于文档对象模型的跨站脚本攻击漏洞检测方法、装置、终端及介质

本申请要求于2013年11月8日提交中国专利局、申请号为201310554402.1、发明名称为“基于文档对象模型的跨站脚本攻击漏洞检测方法及装置”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本发明涉及网络技术领域，特别涉及一种基于文档对象模型(Document Object Model，DOM)的跨站脚本攻击(Cross Site Script，XSS)漏洞检测方法及装置、终端。

背景技术

XSS漏洞是当今互联网最为普遍的漏洞，可以在IE，Chrome，FireFox等各个浏览器触发，危害十分巨大。

通常情况下，XSS是恶意攻击者通过在网页中加入恶意代码并诱使用户访问，当访问者浏览网页时恶意代码会在用户机器上执行，从而导致恶意攻击者盗取用户信息，或者在用户机器上进行挂马攻击并远程获得用户机器的控制权。普通反射型XSS在返回页面源码中具有明显的回显特征，比较容易检测。与普通反射型XSS不同的是，DOM XSS是在浏览器执行JavaScript(简称JS)代码并改变页面DOM树时发生的，恶意代码并不在返回页面源码中回显。

现有的DOM XSS漏洞检测方案，要触发执行所***的特征JS脚本才能发现XSS漏洞，且只有在***的特征JS脚本与动态网页内容的上下文语法完全吻合时才有可能触发执行特征JS脚本，这就导致需要尝试足够多类型的特征JS脚本，而且每次尝试执行JS脚本都需花费大量时间，这大大降低了漏洞发现能力与检测效率。

发明内容

有鉴于此，本发明实施例提供了一种基于文档对象模型的跨站脚本攻击漏洞检测方法及装置、终端。

一方面，提供了一种基于文档对象模型的跨站脚本攻击漏洞检测方法，所述方法包括：

获取网页的原始网址中的参数值对集合，所述参数值对集合中包括至少一个参数值对；

采用特征脚本替换所述参数值对中的参数值，形成所述网页的测试网址；所述特征脚本为包含有恶意字符且能在所述网页的文档对象模型树中唯一标识的恶意代码；

获取所述测试网址对应的页面内容；

将所述页面内容转化为文档对象模型树；

根据所述文档对象模型树和所述特征脚本检测所述参数值对是否存在跨站脚本攻击漏洞。

另一方面，提供了一种基于文档对象模型的跨站脚本攻击漏洞检测装置，所述装置包括：

获取模块，用于获取网页的原始网址中的参数值对集合，所述参数值对集合中包括至少一个参数值对；

替换模块，用于采用特征脚本替换所述参数值对中的参数值，形成所述网页的测试网址；所述特征脚本为包含有恶意字符且能在所述网页的文档对象模型树中唯一标识的恶意代码；

所述获取模块，还用于获取所述测试网址对应的页面内容；

转化模块，用于将所述页面内容转化为文档对象模型树；

检测模块，用于根据所述文档对象模型树和所述特征脚本检测所述参数值对是否存在跨站脚本攻击漏洞。

再一方面，还提供了一种终端，所述终端上设置有如上所述的基于文档对象模型的跨站脚本攻击漏洞检测装置。

再另一方面，还提供一种非瞬时性的计算机可读存储介质，其上存储有计算机可执行指令，当计算机中运行这些可执行指令时，执行上述基于文档对象模型的跨站脚本攻击漏洞检测方法。

本发明实施例提供的基于文档对象模型的跨站脚本攻击漏洞检测方法及装置、终端，通过采用上述方案，只需在转化的DOM树中寻找***的特征脚本，而不需要让特征脚本触发执行就能有效发现DOM XSS漏洞，大大提高了漏洞发现能力及检测效率。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明一实施例提供的DOM XSS漏洞检测方法的流程图。

图2为本发明另一实施例提供的DOM XSS漏洞检测方法的流程图。

图3为本发明实施例的DOM XSS漏洞检测方案的检测结果实例图。

图4为本发明一实施例提供的DOM XSS漏洞检测装置的结构示意图。

图5为本发明另一实施例提供的DOM XSS漏洞检测装置的结构示意图。

图6是本发明实施例提供的一种终端结构示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明实施方式作进一步地详细描述。

图1为本发明一实施例提供的DOM XSS漏洞检测方法的流程图。本实施例的基于文档对象模型(Document Object Model，DOM)的跨站脚本攻击(Cross Site Script，XSS)漏洞检测方法简称为DOM XSS漏洞检测方法。如图1所示，本实施例的DOM XSS漏洞检测方法，可以包括如下步骤。

100、获取网页的原始网址中的参数值对集合。

本实施例的参数值对集合中包括至少一个参数值对。

本实施例中网页是可能存在XSS的网页，例如可以是带参数的通用网关接口(Common Gateway Interface；CGI)，也可以是无参数的静态页面。所述网页对应的网址中用户能够控制输入地方可以视为该网址中的一个参数值对，也就是需要检测的目标点。比如对于静态页面a.html，其参数值对可以是a.html#XXX和a.html？XXX。对于动态页面a.php？b＝1&c＝2，参数值对可以是b＝XXX和c＝XXX。

101、采用特征脚本替换替换所述参数值对中的参数值，形成网页的测试网址。

本实施例的特征脚本为包含有恶意字符且能在网页的DOM树中唯一标识的恶意代码，该特征脚本也可以称为JS特征脚本。其中恶意字符可以为根据现有的XSS漏洞检测方案得来的恶意字符，例如可以为字符<、字符>、字符“、字符”、字符‘、字符’以及字符/等等。

例如，上述参数对中字串XXX表示需要用特征脚本替换的参数值。如<img src＝x onerror＝alert(/dom-xss/)/>是一个尝试在网页DOM树中***标签的特征脚本。需要说明的是特征脚本可以有若干个，每个特征脚本需要顺序独立的检测。显然，特征脚本越多，漏洞发现能力越强，但整体检测效率越慢，在保证足够发现能力的同时严格控制特征脚本的数目以保证检测效率。本实施例中以一个特征脚本为例来描述本发明的技术方案，对于每一个特征脚本可以采用类似的方案进行检测，在此不再一一举例赘述。

在某些示例性实现中，可以对参数值对集合中的每个参数值对，采用特征脚本替换参数值，形成网页的测试网址。可以按照每个参数值对在网页的原始网址中的先后顺序，一一进行测试，以保证可以对每个参数值对进行测试，而且对每个参数值对进行测试时，可以采用多个特征脚本一一进行测试，以保证测试的效率。本发明实施例的特征脚本可以为根据经验预先设置的。

102、获取测试网址对应的页面内容。

例如可以从测试网址的网站服务器中获取该测试网址对应的页面内容。

本实施例中的页面内容是指网址对应的网页中所包括的所有信息，可以包括文字、图片等等资源。该测试网址对应的页面内容即是指该测试网址对应的网页中所包括的所有信息。

103、将页面内容转化为DOM树。

DOM树是页面内容中页面上数据和结构的一个树形的表示，而页面内容是DOM树中的数据和结构的表现方式，DOM树和页面内容是数据和结构的两种表现方式，根据两者的对应关系，可以进行互相转换。例如具体转换时，可以将网页内容的源代码中的所有标签节点按照各节点之间的父子关系，将各标签节点展示出来，即得到了该页面内容的DOM树结构。

104、根据DOM树和特征脚本检测所述参数值对是否存在XSS漏洞。

例如当以<img src＝x onerror＝alert(/dom-xss/)/>为一个尝试在网页DOM树中***标签的特征脚本时，可以向测试网址的网站服务器请求参数值对为a.php？b＝<img src＝x onerror＝alert(/dom-xss/)/>&c＝2的页面内容，并将页面内容转化为DOM树，从而根据DOM树和特征脚本“<img src＝xonerror＝alert(/dom-xss/)/>”检测每一个参数值对是否存在XSS漏洞。

本实施例的DOM XSS漏洞检测方法的执行主体为DOM XSS漏洞检测装置，该装置具体可以为通过软件集成得到，例如可以为一个软件集成的工具。

本实施例的DOM XSS漏洞检测方法，通过采用上述方案，只需在转化的DOM树中寻找***的特征脚本，而不需要让特征脚本触发执行就能有效发现DOM XSS漏洞，大大提高了漏洞发现能力及检测效率。

进一步可选地，在上述实施例的技术方案的基础上，其中步骤104“根据DOM树和特征脚本检测所述参数值对是否存在XSS漏洞”，可以包括：判断DOM树中是否包括特征脚本，当包括时，确定所述参数值对存在XSS漏洞；当不包括时，确定所述参数值对不存在XSS漏洞。

例如当根据DOM树中和特征脚本“<img src＝xonerror＝alert(/dom-xss/)/>”检测参数b中是否存在XSS漏洞，即为检测DOM树中是否存在特征脚本“<img src＝x onerror＝alert(/dom-xss/)/>”，当存在时，确定参数b中存在XSS漏洞，否则当不存在时，确定参数b中不存在XSS漏洞。

可选地，在上述实施例的技术方案的基础上，其中步骤102“获取测试网址对应的页面内容“，包括：向测试网址的网站服务器请求测试网址对应的页面内容；并接收测试网址的网站服务器响应的页面内容。

可选地，在上述实施例的技术方案的基础上，其中步骤100“获取网页的原始网址中的参数值对集合”之前，还可以包括步骤：接收用户通过人机接口模块输入的网页的原始网址。例如在DOM XSS漏洞检测装置上可以设置有人机接口模块，该人机接口模块用于接收用户输入的网页的原始网址。

可选地，在上述实施例的技术方案的基础上，还可以包括如下步骤：当文档对象模型树中不包括特征脚本时，触发执行网页中的按钮，响应于所述按钮被触发，更新所述文档对象模型树并根据所述更新的文档对象模型树和所述特征脚本检测所述参数值对是否存在跨站脚本攻击漏洞，直到网页中所有的按钮都被触发且未检测到漏洞才能确定该网页不存在漏洞，否则只要有一个按钮被触发后网页存在漏洞，该网页都存在漏洞。这样对于一些更复杂的DOM XSS漏洞，比如部分DOM XSS漏洞需要在返回的页面上点击某个按钮后才能触发。采用本发明的方案仍然可以解决，进一步扩大了本发明技术方案的DOM XSS漏洞检测范围。

上述实施例的所有可选技术方案，可以采用可以结合的方式任意组合形成本发明的可选技术方案，在此不再一一举例。

上述实施例的技术方案，只需在转化的DOM树中寻找***的特征脚本，而不需要让特征脚本触发执行就能有效发现DOM XSS漏洞，大大提高了漏洞发现能力及检测效率。此外对于如需要在返回页面点击按钮后才能触发的更复杂的DOM XSS漏洞，上述实施例的技术方案也能检测到，进一步扩大了DOM XSS漏洞的检测范围，提高了漏洞发现能力。而且上述实施例的技术方案不仅能检测DOM XSS漏洞，也可以有效检测普通反射型XSS漏洞，适用性非常强。

图2为本发明另一实施例提供的DOM XSS漏洞检测方法的流程图。本实施例的基于DOM XSS漏洞检测方法在上述图1所示实施例及其可选实施例的技术方案的基础上，更加详细地介绍本发明的技术方案。如图2所示，本实施例的基于DOM XSS漏洞检测方法，具体可以包括如下步骤：

200、DOM XSS漏洞检测装置接收用户通过人机接口模块输入的网页的原始网址；执行步骤201；

本实施例的人机接口模块可以为触摸屏或者键盘等等。例如DOMXSS漏洞检测装置带有触摸屏的时候，可以通过其触摸屏输入网页的原始网址。当DOM XSS漏洞检测装置带有键盘时，可以通过键盘输入网页的原始网址。

201、DOM XSS漏洞检测装置对网页的原始网址进行解析，获取网页的原始网址中的参数值对集合；执行步骤202；

具体地，DOM XSS漏洞检测装置对网页的原始网址进行分析，取出其中包括的所有参数值对，取出的所有参数值对构成参数值对集合。

202、DOM XSS漏洞检测装置确定是否存在要检测的参数值对；当存在时，执行步骤203；否则当不存在时，DOM XSS漏洞检测结束；

例如，DOM XSS漏洞检测装置具体可以判断参数值对集合是否是空集合，当时空集合时，即不存在要检测的参数值对，此时DOM XSS漏洞检测结束。而当该参数值对集合为非空集合时，此时可以执行步骤203，继续检测。

203、DOM XSS漏洞检测装置确定当前要检测的参数值对；执行步骤204；

为了保证对参数值对集合中的每个参数值对都进行测试，可以按照每个参数值对在网页的原始网址中的先后顺序，一一进行测试。第一次测试时，获取网页的原始网址中第一个参数值对，后续按照各个参数值对的先后顺序，一一选取。当不存在时，即为网页的原始网址中参数值对集合中的每个参数值对都测试完毕，此时对应DOM XSS漏洞检测结束。

204、DOM XSS漏洞检测装置采用特征脚本替换参数值，形成网页的测试网址；执行步骤205；

特征脚本为包含有恶意字符且能在网页的DOM树中唯一标识的恶意代码，该特征脚本也可以称为JS特征脚本，详细可以参考上述相关实施例的记载，在此不再赘述。

205、DOM XSS漏洞检测装置向测试网址的网站服务器请求测试网址对应的页面内容；执行步骤206；

由于网址的页面内容存储在网站的服务器中，因此，DOM XSS漏洞检测装置想要获取页面内容时，需要向测试网址的网站服务器请求测试网址对应的页面内容。

206、DOM XSS漏洞检测装置接收测试网址的网站服务器响应的页面内容；执行步骤207；

当测试网址的网站服务器接收到DOM XSS漏洞检测装置的请求之后，会向DOM XSS漏洞检测装置返回页面内容响应。对应在DOM XSS漏洞检测装置侧，在DOM XSS漏洞检测装置接收响应的页面内容。

207、DOM XSS漏洞检测装置将页面内容转化为DOM树；执行步骤208；

DOM XSS漏洞检测装置接收到页面内容之后，将页面内容中页面上数据和结构转化成对应的DOM树。例如具体转换时，可以将网页内容的源代码中的所有标签节点按照各节点之间的父子关系，将各标签节点展示出来，即得到了该页面内容的DOM树结构。

208、DOM XSS漏洞检测装置判断DOM树中是否包括特征脚本，当包括时，执行步骤209；否则执行步骤210；

DOM XSS漏洞检测装置对DOM树的所有信息进行检测，判断DOM树中有没有包括特征脚本。

209、DOM XSS漏洞检测装置确定所述参数值对存在XSS漏洞；执行步骤202；

当DOM XSS漏洞检测装置对DOM树的所有信息进行检测，确定DOM树中包括特征脚本，则确定所述参数值对存在XSS漏洞。

210、DOM XSS漏洞检测装置确定所述参数值对不存在XSS漏洞；执行步骤202。

当DOM XSS漏洞检测装置对DOM树的所有信息进行检测，确定DOM树中不包括特征脚本，则确定所述参数值对不存在XSS漏洞。此时可以按照上述类似的方式对下一个参数值对进行检测。

本实施例中仍以一个特征脚本为例来进行说明，实际应用中可以预先设置多个特征脚本，采用多个特征脚本对每个参数值对进行检测。当多个特征脚本的检测结果中只要有一个特征脚本的检测中该参数值对存在XSS漏洞，则确定该参数值对存在XSS漏洞。当多个特征脚本的检测结果中每一个特征脚本的检测中该参数值对不存在XSS漏洞，则确定该参数值对不存在XSS漏洞。

而且对于一些更复杂的DOM XSS漏洞，比如部分DOM XSS漏洞需要在返回的页面上点击某个按钮后才能触发，还可以在步骤208中“DOM XSS漏洞检测装置判断DOM树中不包括特征脚本”之后，步骤210之前，DOM XSS漏洞检测装置触发执行网页中的按钮，然后返回步骤205-208，若触发该按钮之后，DOM XSS漏洞检测装置还判断DOM树中仍不包括特征脚本，此时DOM XSS漏洞检测装置触发执行网页中的下一个按钮，直到所有的按钮都被触发，DOM树中均不包括特征脚本，此时才执行步骤 210，DOM XSS漏洞检测装置确定所述参数值对不存在XSS漏洞。通过采用该方案，这样对于一些更复杂的DOM XSS漏洞，本发明实施例的技术方案也能够检测到，进一步提高了漏洞发现能力。

本实施例的技术方案，只需在转化的DOM树中寻找***的特征脚本，而不需要让特征脚本触发执行就能有效发现DOM XSS漏洞，大大提高了漏洞发现能力及检测效率。此外对于如需要在返回页面点击按钮后才能触发的更复杂的DOM XSS漏洞，上述实施例的技术方案也能检测到，进一步扩大了DOM XSS漏洞的检测范围，提高了漏洞发现能力。而且上述实施例的技术方案不仅能检测DOM XSS漏洞，也可以有效检测普通反射型XSS漏洞，适用性非常强。

在实际测试过程中，采用本发明实施例的技术方案累计扫描数万个站点，已累计发现数千个页面存在DOM XSS漏洞，且误报率为零。因此，需要别说明的是，本发明实施例的DOM XSS漏洞检测方案可以检测任意站点及网页。例如图3为本发明实施例的DOM XSS漏洞检测方案的检测结果实例图。如图3所示，是以本发明实施例的DOM XSS漏洞检测方案检测发现某个页面存在DOM XSS漏洞的例子，其中<iframe/onload＝alert(/xss/)></iframe>即为本实施例的一个特征脚本。

图4为本发明一实施例提供的DOM XSS漏洞检测装置的结构示意图。如图4所示，本实施例的DOM XSS漏洞检测装置具体可以包括获取模块10、替换模块11、转化模块12和检测模块13。

其中获取模块10用于获取网页的原始网址中的参数值对集合，参数值对集合中包括至少一个参数值对；替换模块11与获取模块10连接，替换模块11用于对获取模块10获取的参数值对集合中的参数值对，采用特征脚本替换参数值，形成网页的测试网址；特征脚本为包含有恶意字符且能在网页的DOM树中唯一标识的恶意代码；获取模块10还用于获取替换模块11替换的得到的测试网址对应的页面内容；转化模块12与获取模块10连接，转换模块12用于将获取模块10获取的页面内容转化为DOM树；检测模块13与转化模块12连接，检测模块13用于根据转化模块12转化得到的DOM树和特征脚本检测所述参数值对是否存在XSS漏洞。该特征脚本可以为预先设置的。

本实施例的DOM XSS漏洞检测装置，通过采用上述模块实现DOM XSS漏洞的检测与上述相关方法实施例的实现机制相同，详细可以参考上述实施例的记载，在此不再赘述。

本实施例的DOM XSS漏洞检测装置，通过采用上述模块，只需在转化的DOM树中寻找***的特征脚本，而不需要让特征脚本触发执行就能有效发现DOM XSS漏洞，大大提高了漏洞发现能力及检测效率。

图5为本发明另一实施例提供的DOM XSS漏洞检测装置的结构示意图。如图5所示，本实施例在上述图4所示实施例的基础上，进一步包括如下可选技术方案。

如图5所示，本实施例的DOM XSS漏洞检测装置中的检测模块13具体用于判断DOM树中是否包括特征脚本，当包括时，确定所述参数值对存在XSS漏洞；当不包括时，确定所述参数值对不存在XSS漏洞。

可选地，如图5所示，本实施例的DOM XSS漏洞检测装置中的获取模块10具体用于向测试网址的网站服务器20请求测试网址对应的页面内容；并接收测试网址的网站服务器20响应的页面内容。如图6所示，图中还示出了与获取模块10交互的网站服务器20，网站服务器为某网站的服务器，该网站服务器20中存储有该网站下的所有网页的页面内容，并在其他设备或者模块向其请求某页面内容时，向请求的设备或者模块响应请求的页面内容。当该网站服务器20接收到获取模块10发送的测试网址对应的页面内容的请求时，获取该测试网址对应的页面内容，并向该获取模块 10发送响应，以将该测试网址对应的页面内容发送给该获取模块10。

可选地，如图5所示，本实施例的DOM XSS漏洞检测装置还可以包括接收模块14。该接收模块14用于接收用户通过人机接口模块输入的网页的原始网址。此时对应的获取模块10与接收模块14连接，获取模块10用于获取接收模块14接收的网页的原始网址中的参数值对集合。

可选地，如图5所示，本实施例的DOM XSS漏洞检测装置还可以包括引擎触发模块15，该引擎触发模块15为本发明实施例的一个备用的辅助模块。对于一些DOM XSS漏洞需要点击某个按钮才能触发，此时在由初始返回页面生成的DOM树中找不到特征脚本的DOM XSS漏洞，在检测模块13检测确定文档对象模型树中不包括特征脚本时，此时引擎触发模块15触发执行网页中的按钮，这样才将DOM XSS漏洞触发，此时再由获取模块10获取已经由该引擎触发模块15触发了按钮后的测试网址对应的页面内容。因此获取模块10还与引擎触发模块15连接。后续继续上述操作，获取模块10获取替换模块11替换的得到的测试网址对应的页面内容；转换模块12将获取模块10获取的页面内容转化为DOM树；检测模块13根据转化模块12转化得到的DOM树和特征脚本检测所述参数值对是否存在XSS漏洞。若触发该按钮之后，检测模块13还判断DOM树中仍不包括特征脚本，此时引擎触发模块15触发执行网页中的下一个按钮，直到所有的按钮都被触发，检测模块13检测DOM树中均不包括特征脚本，此时才确定所述参数值对不存在XSS漏洞。通过采用该方案，对于一些更复杂的DOM XSS漏洞，本发明实施例的技术方案也能够检测到，进一步提高了漏洞发现能力。

本实施例的上述所有可选技术方案，可以采用可以结合的方式任意组合形成本发明的可选技术方案，在此不再一一举例。

本实施例的DOM XSS漏洞检测装置，通过采用上述模块只需在转化的DOM树中寻找***的特征脚本，而不需要让特征脚本触发执行就能有效发现DOM XSS漏洞，大大提高了漏洞发现能力及检测效率。此外对于如需要在返回页面点击按钮后才能触发的更复杂的DOM XSS漏洞，上述实施例的技术方案也能检测到，进一步扩大了DOM XSS漏洞的检测范围，提高了漏洞发现能力。而且上述实施例的技术方案不仅能检测DOM XSS漏洞，也可以有效检测普通反射型XSS漏洞，适用性非常强。

本实施例的DOM XSS漏洞检测装置具体可以设置在浏览器客户端侧，作为浏览器的一个引擎装置来使用。还可以设置在一个终端中，单独执行其功能。

图6是本发明实施例提供的一种终端结构示意图。参见图6，该终端可以用于实施上述实施例中提供的DOM XSS漏洞检测方法。

终端设备800可以包括通信单元110、包括有一个或一个以上计算机可读存储介质的存储器120、输入单元130、显示单元140、传感器150、音频电路160、WiFi(wireless fidelity，无线保真)模块170、包括有一个或者一个以上处理核心的处理器180、以及电源190等部件。本领域技术人员可以理解，图6中示出的终端设备结构并不构成对终端设备的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。其中：

通信单元110可用于收发信息或通话过程中，信号的接收和发送，该通信单元110可以为RF(Radio Frequency，射频)电路、路由器、调制解调器、等网络通信设备。特别地，当通信单元110为RF电路时，将基站的下行信息接收后，交由一个或者一个以上处理器180处理；另外，将涉及上行的数据发送给基站。通常，作为通信单元的RF电路包括但不限于天线、至少一个放大器、调谐器、一个或多个振荡器、用户身份模块(SIM)卡、收发信机、耦合器、LNA(Low Noise Amplifier，低噪声放大器)、双工器等。此外，通信单元110还可以通过无线通信与网络和其他设备通信。所述无线通信可以使用任一通信标准或协议，包括但不限于GSM(Global System of Mobile communication，全球移动通讯***)、GPRS(General Packet Radio Service，通用分组无线服务)、CDMA(Code Division Multiple Access，码分多址)、WCDMA(Wideband Code Division Multiple Access，宽带码分多址)、LTE(Long Term Evolution，长期演进)、电子邮件、SMS(Short Messaging Service，短消息服务)等。存储器120可用于存储软件程序以及模块，处理器180通过运行存储在存储器120的软件程序以及模块，从而执行各种功能应用以及数据处理。存储器120可主要包括存储程序区和存储数据区，其中，存储程序区可存储操作***、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等；存储数据区可存储根据终端设备800的使用所创建的数据(比如音频数据、电话本等)等。此外，存储器120可以包括高速随机存取存储器，还可以包括非易失性存储器，例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。相应地，存储器120还可以包括存储器控制器，以提供处理器180和输入单元130对存储器120的访问。

输入单元130可用于接收输入的数字或字符信息，以及产生与用户设置以及功能控制有关的键盘、鼠标、操作杆、光学或者轨迹球信号输入。具体地，输入单元130可包括触敏表面131以及其他输入设备132。触敏表面131，也称为触摸显示屏或者触控板，可收集用户在其上或附近的触摸操作(比如用户使用手指、触笔等任何适合的物体或附件在触敏表面131上或在触敏表面131附近的操作)，并根据预先设定的程式驱动相应的连接装置。可选的，触敏表面131可包括触摸检测装置和触摸控制器两个部分。其中，触摸检测装置检测用户的触摸方位，并检测触摸操作带来的信号，将信号传送给触摸控制器；触摸控制器从触摸检测装置上接收触摸信息，并将它转换成触点坐标，再送给处理器180，并能接收处理器180发来的命令并加以执行。此外，可以采用电阻式、电容式、红外线以及表面声波等多种类型实现触敏表面131。除了触敏表面131，输入单元130还可以包括其他输入设备132。具体地，其他输入设备132可以包括但不限于物理键盘、功能键(比如音量控制按键、开关按键等)、轨迹球、鼠标、操作杆等中的一种或多种。

显示单元140可用于显示由用户输入的信息或提供给用户的信息以及终端设备800的各种图形用户接口，这些图形用户接口可以由图形、文本、图标、视频和其任意组合来构成。显示单元140可包括显示面板141，可选的，可以采用LCD(Liquid Crystal Display，液晶显示器)、OLED(Organic Light-Emitting Diode，有机发光二极管)等形式来配置显示面板141。进一步的，触敏表面131可覆盖显示面板141，当触敏表面131检测到在其上或附近的触摸操作后，传送给处理器180以确定触摸事件的类型，随后处理器180根据触摸事件的类型在显示面板141上提供相应的视觉输出。虽然在图6中，触敏表面131与显示面板141是作为两个独立的部件来实现输入和输入功能，但是在某些实施例中，可以将触敏表面131与显示面板141集成而实现输入和输出功能。

终端设备800还可包括至少一种传感器150，比如光传感器、运动传感器以及其他传感器。具体地，光传感器可包括环境光传感器及接近传感器，其中，环境光传感器可根据环境光线的明暗来调节显示面板141的亮度，接近传感器可在终端设备800移动到耳边时，关闭显示面板141和/或背光。作为运动传感器的一种，重力加速度传感器可检测各个方向上(一般为三轴)加速度的大小，静止时可检测出重力的大小及方向，可用于识别手机姿态的应用(比如横竖屏切换、相关游戏、磁力计姿态校准)、振动识别相关功能(比如计步器、敲击)等；至于终端设备800还可配置的陀螺仪、气压计、湿度计、温度计、红外线传感器等其他传感器，在此不再赘述。

音频电路160、扬声器161，传声器162可提供用户与终端设备800之间的音频接口。音频电路160可将接收到的音频数据转换后的电信号，传输到扬声器161，由扬声器161转换为声音信号输出；另一方面，传声器162将收集的声音信号转换为电信号，由音频电路160接收后转换为音频数据，再将音频数据输出处理器180处理后，经RF电路110以发送给比如另一终端设备，或者将音频数据输出至存储器120以便进一步处理。音频电路160还可能包括耳塞插孔，以提供外设耳机与终端设备800的通信。

为了实现无线通信，该终端设备上可以配置有无线通信单元170，该无线通信单元170可以为WiFi模块。WiFi属于短距离无线传输技术，终端设备800通过无线通信单元170可以帮助用户收发电子邮件、浏览网页和访问流式媒体等，它为用户提供了无线的宽带互联网访问。虽然图6示出了无线通信单元170，但是可以理解的是，其并不属于终端设备800的必须构成，完全可以根据需要在不改变发明的本质的范围内而省略。

处理器180是终端设备800的控制中心，利用各种接口和线路连接整个手机的各个部分，通过运行或执行存储在存储器120内的软件程序和/或模块，以及调用存储在存储器120内的数据，执行终端设备800的各种功能和处理数据，从而对手机进行整体监控。可选的，处理器180可包括一个或多个处理核心；优选的，处理器180可集成应用处理器和调制解调处理器，其中，应用处理器主要处理操作***、用户界面和应用程序等，调制解调处理器主要处理无线通信。可以理解的是，上述调制解调处理器也可以不集成到处理器180中。

终端设备800还包括给各个部件供电的电源190(比如电池)，优选的，电源可以通过电源管理***与处理器180逻辑相连，从而通过电源管理***实现管理充电、放电、以及功耗管理等功能。电源190还可以包括一个或一个以上的直流或交流电源、再充电***、电源故障检测电路、电源转换器或者逆变器、电源状态指示器等任意组件。

尽管未示出，终端设备800还可以包括摄像头、蓝牙模块等，在此不再赘述。具体在本实施例中，终端设备的显示单元是触摸屏显示器，终端设备还包括有存储器，以及一个或者一个以上的程序，其中一个或者一个以上程序存储于存储器中，且经配置以由一个或者一个以上处理器执行所述一个或者一个以上程序包含用于进行以下操作的指令：获取网页的原始网址中的参数值对集合，所述参数值对集合中包括至少一个参数值对；采用特征脚本替换所述参数值对中的参数值，形成所述网页的测试网址；所述特征脚本为包含有恶意字符且能在所述网页的文档对象模型树中唯一标识的恶意代码；获取所述测试网址对应的页面内容；将所述页面内容转化为丈档对象模型树；根据所述文档对象模型树和所述特征脚本检测所述参数值对是否存在跨站脚本攻击漏洞。

可选地，该存储器还用于存储以下指令：判断所述文档对象模型树中是否包括所述特征脚本，当包括时，确定所述参数值对存在跨站脚本攻击漏洞；当不包括时，确定所述参数值对不存在跨站脚本攻击漏洞。

可选地，该存储器还用于存储以下指令：向所述测试网址的网站服务器请求所述测试网址对应的页面内容；并接收所述测试网址的网站服务器响应的所述页面内容。

可选地，该存储器还用于存储以下指令：接收用户通过人机接口模块输入的所述网页的原始网址。

可选地，该存储器还用于存储以下指令：当所述文档对象模型树中不包括所述特征脚本时，触发所述网页中的按钮；获取所述测试网址对应的页面内容；将所述页面内容转化为文档对象模型树；根据所述文档对象模型树和所述特征脚本检测所述参数值对是否存在跨站脚本攻击漏洞。

需要说明的是：上述实施例提供的DOM XSS漏洞检测装置在触发DOM XSS漏洞检测业务时，仅以上述各功能模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能模块完成，即将装置的内部结构划分成不同的功能模块，以完成以上描述的全部或者部分功能。另外，上述实施例提供的DOM XSS漏洞检测装置与DOM XSS漏洞检测方法实施例属于同一构思，其具体实现过程详见方法实施例，这里不再赘述。

上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。

本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成，也可以通过程序来指令相关的硬件完成，所述的程序可以存储于一种计算机可读存储介质中，上述提到的存储介质可以是只读存储器，磁盘或光盘等。

以上所述仅为本发明的较佳实施例，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

一种基于文档对象模型的跨站脚本攻击漏洞检测方法，所述方法包括：

获取网页的原始网址中的参数值对集合，所述参数值对集合中包括至少一个参数值对；

采用特征脚本替换所述参数值对中的参数值，形成所述网页的测试网址，所述特征脚本为包含有恶意字符且能在所述网页的文档对象模型树中唯一标识的恶意代码；

获取所述测试网址对应的页面内容；

将所述页面内容转化为文档对象模型树；

根据所述文档对象模型树和所述特征脚本检测所述参数值对是否存在跨站脚本攻击漏洞。
根据权利要求1所述的方法，根据所述文档对象模型树和所述特征脚本检测所述参数值对是否存在跨站脚本攻击漏洞，包括：

判断所述文档对象模型树中是否包括所述特征脚本，当包括时，确定所述参数值对存在跨站脚本攻击漏洞；当不包括时，确定所述参数值对不存在跨站脚本攻击漏洞。
根据权利要求1所述的方法，获取所述测试网址对应的页面内容，包括：

向所述测试网址的网站服务器请求所述测试网址对应的页面内容；

接收所述测试网址的网站服务器响应的所述页面内容。
根据权利要求1-3任一所述的方法，还包括：

接收用户通过人机接口模块输入的所述网页的所述原始网址。
根据权利要求2所述的方法，所述方法还包括：

当所述文档对象模型树中不包括所述特征脚本时，触发所述网页中的按钮；

响应于所述按钮被触发，更新所述文档对象模型树；

根据所述更新的文档对象模型树和所述特征脚本检测所述参数值对是否存在跨站脚本攻击漏洞。
一种基于文档对象模型的跨站脚本攻击漏洞检测装置，所述装置包括：

获取模块，用于获取网页的原始网址中的参数值对集合，所述参数值对集合中包括至少一个参数值对；

替换模块，用于采用特征脚本替换所述参数值对中的参数值，形成所述网页的测试网址，所述特征脚本为包含有恶意字符且能在所述网页的文档对象模型树中唯一标识的恶意代码；

所述获取模块，还用于获取所述测试网址对应的页面内容；

转化模块，用于将所述页面内容转化为文档对象模型树；

检测模块，用于根据所述文档对象模型树和所述特征脚本检测所述参数值对是否存在跨站脚本攻击漏洞。
根据权利要求6所述的装置，所述检测模块，还用于判断所述文档对象模型树中是否包括所述特征脚本，当包括时，确定所述参数值对存在跨站脚本攻击漏洞；当不包括时，确定所述参数值对不存在跨站脚本攻击漏洞。
根据权利要求6所述的装置，所述获取模块还用于向所述测试网址的网站服务器请求所述测试网址对应的页面内容；并接收所述测试网址的网站服务器响应的所述页面内容。
根据权利要求6-8任一所述的装置，所述装置还包括：

接收模块，用于接收用户通过人机接口模块输入的所述网页的原始网址。
根据权利要求6-8任一所述的装置，所述装置还包括：

引擎触发模块，用于当所述文档对象模型树中不包括所述特征脚本时，触发所述网页中的按钮；以及

更新模块，用于响应于所述按钮被触发，更新所述文档对象模型树。
一种终端，所述终端上设置有如上权利要求6-10任一所述的基于文档对象模型的跨站脚本攻击漏洞检测装置。
一种非瞬时性的计算机可读存储介质，其上存储有计算机可执行指令，当计算机中运行这些可执行指令时，执行如下步骤：

获取网页的原始网址中的参数值对集合，所述参数值对集合中包括至少一个参数值对；

采用特征脚本替换所述参数值对中的参数值，形成所述网页的测试网址，所述特征脚本为包含有恶意字符且能在所述网页的文档对象模型树中唯一标识的恶意代码；

获取所述测试网址对应的页面内容；

将所述页面内容转化为文档对象模型树；

根据所述文档对象模型树和所述特征脚本检测所述参数值对是否存在跨站脚本攻击漏洞。