一种xss漏洞检测的方法及装置的制造方法
【技术领域】
[0001 ]本发明涉及网络安全领域,尤其涉及一种XSS漏洞检测方法及装置。
【背景技术】
[0002]跨站脚本攻击(Cross Site Scripting,简称XSS。原本应当是CSS,为了区别于层叠样式表(Cascading Style Sheet,CSS),故称XSS)是一种常见的网页漏洞,一般是由于服务端对提交参数校验不严格导致用户(包括攻击者)输入的数据变成了网页链接中的代码,更改了原本的链接使得网页信息或用户信息被盗取,形成网页漏洞。比如,现有一段输入框的超级文本标记语言(Hyper Text Markup Language tag,HTML)代码为〈input type =“text” name = “hel lowor Id” value = “xxx”>,其中 value的值 “xxx” 是由用户提交的后服务端写入的。由于服务端校验不严格,若用户输入的不是“xxx”,而是“/>〈Script>al tert(‘xxxx’)〈/script>”,此时服务端直接将此字符串插入到框中,会造成〈input〉标签被提前闭合,〈script〉部分被当成html代码进行解析,形成漏洞。
[0003]现有的XSS漏洞的扫描方法一般是通过对提交参数注入大量的已知的payload(有效载荷)期望造成标签闭合,比如插入“/>”等常见的攻击代码。然而,很多时候由于payload与具体的标签相关,当payload库中的payload数量较大时,现有漏洞检测方式需要针对每个pay load进行漏洞检测,S卩,无法对payload进行分类筛选,无法预先剔除无效的pay load,漏洞检测的工作量大,检测效率低。
【发明内容】
[0004]本发明实施例提供一种XSS漏洞检测的方法及装置,可减少XSS漏洞检测的工作量,提高XSS漏洞检测的效率。
[0005]本发明实施例提供了一种XSS漏洞检测的方法,其可包括:
[0006]将预存的payload库中包含的各个payload按照不同的标签类型进行分类,所述pay load库中包含多个标签类型的pay load,每个标签类型包含多个pay load;
[0007]当检测到漏洞检测点输入检测信息时,根据所述检测信息确定待检测的目标标签类型;
[0008]从所述payload库中分类得到的多个标签类型的payload中查找所述目标标签类型对应的payload,采用所述目标标签类型对应的payload进行所述漏洞检测点的XSS漏洞检测。
[0009]其中,所述将预存的payload库中包含的各个payload按照不同的标签类型进行分类,包括:
[00?0]将所述pay load库中包含的多个pay load按照其用以攻击的超级文本标记语言HTML标签类型确定各个所述pay load对应的标签类型,并按照所述标签类型将各个所述pay load进行分类以得到多组不同标签类型的pay load。
[0011 ]其中,所述根据所述检测信息确定待检测的目标标签类型,包括:
[0012]对所述检测信息进行解析,从所述检测信息中获取标签类型的标识信息,根据所述标签类型的标识信息确定目标标签类型。
[0013]其中,所述检测信息包括:网页链接地址,或者HTML文件;
[0014]所述标签类型的标识信息包括:标签对的开始标签符和结束标签符,或者单个标签的标签符。
[0015]其中,所述采用所述目标标签类型对应的payload进行所述漏洞检测点的XSS漏洞检测,包括:
[0016]采用所述目标标签类型的payload对所述漏洞检测点中包含的所述目标标签类型的标签进行攻击,以判断是否存在所述目标标签类型对应的漏洞。
[0017]本发明实施例还提供了一种XSS漏洞检测的装置,其可包括:
[0018]分类模块,用于将预存的payload库中包含的各个payload按照不同的标签类型进行分类,所述pay load库中包含多个标签类型的pay load,每个标签类型包含多个pay load ;
[0019]获取模块,用于当检测到漏洞检测点输入检测信息时,根据所述检测信息确定待检测的目标标签类型;
[0020]检测模块,用于从所述payload库中由所述分类模块分类得到的多个标签类型的payload中查找所述目标标签类型对应的payload,采用所述目标标签类型对应的payload进行所述漏洞检测点的XSS漏洞检测。
[0021 ]其中,所述分类模块具体用于:
[0022]将所述payload库中包含的多个payload按照其用以攻击的超级文本标记语言HTML标签类型确定各个所述pay load对应的标签类型,并按照所述标签类型将各个所述pay load进行分类以得到多组不同标签类型的pay load。
[0023]其中,所述获取模块具体用于:
[0024]对所述检测信息进行解析,从所述检测信息中获取标签类型的标识信息,根据所述标签类型的标识信息确定目标标签类型。
[0025]其中,所述检测信息包括:网页链接地址,或者HTML文件;
[0026]所述标签类型的标识信息包括:标签对的开始标签符和结束标签符,或者单个标签的标签符。
[0027]其中,所述检测模块具体用于:
[0028]采用所述目标标签类型的payload对所述漏洞检测点中包含的所述目标标签类型的标签进行攻击,以判断是否存在所述目标标签类型对应的漏洞。
[0029]实施本发明实施例,具有如下有益效果:
[°03°]本发明实施例可首先将预存的payload库中包含的各个payload按照不同的标签类型进行分类,以得到多组不同标签类型的payload,其中每个标签类型可包含多个payload。当检测到漏洞检测点输入检测信息触发漏洞检测时,可根据检测信息确定待检测的目标标签类型,再从上述多个标签类型的pay load中查找上述目标标签类型对应的payload,进而可采用目标标签类型对应的payload进行上述漏洞检测点的XSS漏洞检测。本发明实施例通过将payload库中的payload进行分类再针对漏洞检测点的检测信息对应的目标标签类型,通过标签类型的匹配从上述payload库中加载上述目标标签类型对应的payload,采用上述目标标签类型对应的payload进行漏洞检测,无需将payload库中包含的pay load都用来做漏洞检测,增强了漏洞检测的pay load攻击的针对性,提高了 pay load攻击的有效性,可减少XSS漏洞检测的工作量,提高XSS漏洞检测的效率。
【附图说明】
[0031]为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0032]图1是本发明实施例提供的XSS漏洞检测的方法的第一实施例流程示意图;
[0033]图2是本发明实施例提供的XSS漏洞检测的方法的第二实施例流程示意图;
[0034]图3是本发明实施例提供的XSS漏洞检测的装置的实施例结构示意图。
【具体实施方式】
[0035]下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0036]具体实现中,本发明实施例中所描述的标签具体可HTML标签,HTML标签是HTML语言中最基本的单位,HTML标签是HTML(标准通用标记语言下的一个应用)最重要的组成部分。HTML标签可包括如下几个特点:
[0037]1、由尖括号包围的关键字,例如<html>;
[0038]2、HTML标签可以成对出现,例如<html>和</html>,其中,标签对中的第一个标签是开始标签,第二个标签是结束标签。开始标签也被称为开放标签,结束标签页被称为闭合标签;
[0039]3、HTML标签也可以单独出现,例如,〈img src= “xxx.jpg,,/>等;
[0040]4、HTML标签中成对出现的标签,其内容在两个标签中间(即在开始标签和结束标签中间),如<hl>标题</hl> ;单独出现的标签,贝Ij在标签属性中赋值,如〈input type =“text,,value = “按钮”/>0
[0041]上述HTML的特点仅是举例,而非穷举,包含但不限于上述几个特点,在此