待檢測(cè)的目標(biāo)標(biāo)簽類型��,再?gòu)纳鲜龆鄠€(gè)標(biāo)簽類型的payload中查找上述目標(biāo)標(biāo)簽類型對(duì)應(yīng)的pay load�,進(jìn)而可采用目標(biāo)標(biāo)簽類型對(duì)應(yīng)的pay load進(jìn)行上述漏洞檢測(cè)點(diǎn)的XSS漏洞檢測(cè)��。終端可根據(jù)payload用以攻擊的HTML標(biāo)簽的類型等特征將payload庫(kù)中的pay load進(jìn)行分類���,增強(qiáng)了 payload分類的針對(duì)性和payload與其用于攻擊的HTML標(biāo)簽的相關(guān)性�����。終端針對(duì)漏洞檢測(cè)點(diǎn)的檢測(cè)信息對(duì)應(yīng)的目標(biāo)標(biāo)簽類型��,通過(guò)標(biāo)簽類型的匹配從上述payload庫(kù)中加載上述目標(biāo)標(biāo)簽類型對(duì)應(yīng)的payload�����,采用上述目標(biāo)標(biāo)簽類型對(duì)應(yīng)的payload進(jìn)行漏洞檢測(cè)����,無(wú)需將payload庫(kù)中包含的payload都用來(lái)做漏洞檢測(cè),增強(qiáng)了漏洞檢測(cè)的payload攻擊的針對(duì)性��,提高了 payload攻擊的有效性���,可減少XSS漏洞檢測(cè)的工作量��,提高XSS漏洞檢測(cè)的效率����。
[0064]參見(jiàn)圖3���,是本發(fā)明實(shí)施例提供的XSS漏洞檢測(cè)的裝置的實(shí)施例結(jié)構(gòu)示意圖����。本發(fā)明實(shí)施例中所描述的裝置�����,包括:
[0065]分類模塊10���,用于將預(yù)存的payload庫(kù)中包含的各個(gè)payload按照不同的標(biāo)簽類型進(jìn)行分類�,所述pay I oad庫(kù)中包含多個(gè)標(biāo)簽類型的pay load��,每個(gè)標(biāo)簽類型包含多個(gè)payloado
[0066]獲取模塊20,用于當(dāng)檢測(cè)到漏洞檢測(cè)點(diǎn)輸入檢測(cè)信息時(shí)�,根據(jù)所述檢測(cè)信息確定待檢測(cè)的目標(biāo)標(biāo)簽類型。
[0067]檢測(cè)模塊30���,用于從所述payload庫(kù)中由所述分類模塊分類得到的多個(gè)標(biāo)簽類型的payload中查找所述目標(biāo)標(biāo)簽類型對(duì)應(yīng)的payload����,采用所述目標(biāo)標(biāo)簽類型對(duì)應(yīng)的payload進(jìn)行所述漏洞檢測(cè)點(diǎn)的跨站腳本攻擊XSS漏洞檢測(cè)�。
[0068]在一些可行的實(shí)施方式中��,上述分類模塊10具體用于:
[0069]將預(yù)存的payload庫(kù)中包含的多個(gè)pay load按照其用以攻擊的超級(jí)文本標(biāo)記語(yǔ)言HTML標(biāo)簽類型確定各個(gè)所述pay load對(duì)應(yīng)的標(biāo)簽類型�,并按照所述標(biāo)簽類型將各個(gè)所述pay load進(jìn)行分類以得到多組不同標(biāo)簽類型的pay load。
[0070]在一些可行的實(shí)施方式中�����,上述獲取模塊20具體用于:
[0071]對(duì)所述檢測(cè)信息進(jìn)行解析�,從所述檢測(cè)信息中獲取標(biāo)簽類型的標(biāo)識(shí)信息,根據(jù)所述標(biāo)簽類型的標(biāo)識(shí)信息確定目標(biāo)標(biāo)簽類型�。
[0072]在一些可行的實(shí)施方式中,上述檢測(cè)信息包括:網(wǎng)頁(yè)鏈接地址����,或者HTML文件�;
[0073]上述標(biāo)簽類型的標(biāo)識(shí)信息包括:標(biāo)簽對(duì)的開(kāi)始標(biāo)簽符和結(jié)束標(biāo)簽符��,或者單個(gè)標(biāo)簽的標(biāo)簽符����。
[0074]在一些可行的實(shí)施方式中,上述檢測(cè)模塊30具體用于:
[0075]采用所述目標(biāo)標(biāo)簽類型的payload對(duì)所述漏洞檢測(cè)點(diǎn)中包含的所述目標(biāo)標(biāo)簽類型的標(biāo)簽進(jìn)行攻擊�,以判斷是否存在所述目標(biāo)標(biāo)簽類型對(duì)應(yīng)的漏洞。
[0076]具體實(shí)現(xiàn)中����,本發(fā)明實(shí)施例中所描述的XSS漏洞檢測(cè)的裝置可為手機(jī)、電腦或者網(wǎng)絡(luò)服務(wù)器等終端���,在此不做限制��。下面將簡(jiǎn)單以終端為執(zhí)行主體進(jìn)行說(shuō)明�,終端可通過(guò)其內(nèi)置的各個(gè)模塊(包括分類模塊10���、獲取模塊20和檢測(cè)模塊30)執(zhí)行上述本發(fā)明實(shí)施例提供的XSS漏洞檢測(cè)的方法中各個(gè)步驟所描述的實(shí)現(xiàn)方式��。
[0077]在一些可行的實(shí)施方式中�����,終端可預(yù)先存儲(chǔ)一個(gè)payload庫(kù)�,其中,上述payload庫(kù)中包含多個(gè)payload���,每個(gè)payload可用于對(duì)一種標(biāo)簽進(jìn)行攻擊以進(jìn)行漏洞檢測(cè)��。分類模塊10可首先根據(jù)payload庫(kù)中各個(gè)payload用于進(jìn)行漏洞攻擊所對(duì)應(yīng)的標(biāo)簽類型進(jìn)行分類����,將上述pay load庫(kù)中包含的多個(gè)payload進(jìn)行分類得到多個(gè)標(biāo)簽類型的payload組��。其中����,每個(gè)標(biāo)簽類型的pay load組包含多個(gè)pay load��。例如�,針對(duì)標(biāo)簽,選用類的pay load (假設(shè)pay 1adl和pay load2)進(jìn)行攻擊才能取得效果��,分類模塊10可將pay 1adl和pay load2均確定為標(biāo)簽類型為〈P〉的pay load�,進(jìn)而可將pay 1adl和pay load2分類至同一個(gè)標(biāo)簽類型的payload組�。若上述payloadl和payload2分別用于攻擊不同類型的標(biāo)簽����,分類模塊10則可將其分類至各自對(duì)應(yīng)的標(biāo)簽類型的payload組中。
[0078]進(jìn)一步的��,在一些可行的實(shí)施方式中���,分類模塊10對(duì)payload庫(kù)中包含的多個(gè)pay load進(jìn)行分類時(shí)��,可將上述payload庫(kù)中包含的多個(gè)pay load按照其用以攻擊的HTML標(biāo)簽類型確定各個(gè)payload對(duì)應(yīng)的標(biāo)簽類型�����,并按照上述標(biāo)簽類型將各個(gè)pay load進(jìn)行分類以得到多組不同標(biāo)簽類型的payload��。例如����,針對(duì)HTML標(biāo)簽中的標(biāo)簽�,只有選擇類的payload (例如pay 1adl)進(jìn)行攻擊才有效,S卩pay load用以攻擊的HTML標(biāo)簽類型為類�����,分類模塊10可將pay load分類為類標(biāo)簽類型對(duì)應(yīng)的pay load(可簡(jiǎn)稱類pay load)���。
[0079]在一些可行的實(shí)施方式中�,分類模塊10將payload庫(kù)中的各個(gè)payload進(jìn)行分類得到多個(gè)標(biāo)簽類型對(duì)應(yīng)的payload組之后,當(dāng)終端觸發(fā)漏洞檢測(cè)流程時(shí)���,則可根據(jù)待檢測(cè)的標(biāo)簽類型(即目標(biāo)標(biāo)簽類型)從多個(gè)payload組中查找相應(yīng)標(biāo)簽的payload組進(jìn)行漏洞檢測(cè)���。具體實(shí)現(xiàn)中,當(dāng)獲取模塊20檢測(cè)到漏洞檢測(cè)點(diǎn)輸入了檢測(cè)信息時(shí)����,可對(duì)上述檢測(cè)信息進(jìn)行解析從中獲取漏洞檢測(cè)點(diǎn)要檢測(cè)的標(biāo)簽類型的標(biāo)識(shí)信息,根據(jù)上述標(biāo)識(shí)信息確定待檢測(cè)的目標(biāo)標(biāo)簽類型��,即漏洞檢測(cè)點(diǎn)要檢測(cè)的標(biāo)簽類型�����。
[0080]進(jìn)一步的����,在一些可行的實(shí)施方式中���,本發(fā)明實(shí)施例中所描述的檢測(cè)點(diǎn)輸入的檢測(cè)信息可包括:網(wǎng)絡(luò)鏈接地址或者HTML文件����。其中,上述標(biāo)簽類型的標(biāo)識(shí)信息可包括:標(biāo)簽對(duì)的開(kāi)始標(biāo)簽符和結(jié)束標(biāo)簽符���,或者單個(gè)標(biāo)簽的標(biāo)簽符等�����,在此不做限制�����。例如����,標(biāo)簽對(duì)〈html>和</html>����,其中開(kāi)始標(biāo)簽符為<html>,結(jié)束標(biāo)簽符為</html>���,或者單個(gè)標(biāo)簽〈imgsrc= “xxx.jpg”/>�����,其中�����,單個(gè)標(biāo)簽的標(biāo)簽符為“〈img”和“/>”�����。具體實(shí)現(xiàn)中����,獲取模塊20可從上述檢測(cè)信息中獲取上述標(biāo)簽類型的標(biāo)識(shí)信息,進(jìn)而可根據(jù)上述標(biāo)簽類型的標(biāo)識(shí)信息確定目標(biāo)標(biāo)簽類型���。
[0081]在一些可行的實(shí)施方式中��,獲取模塊20確定了待檢測(cè)的目標(biāo)標(biāo)簽類型之后���,檢測(cè)模塊30可從上述pay load庫(kù)中查找用于攻擊上述目標(biāo)標(biāo)簽類型的標(biāo)簽的pay load組,進(jìn)而可使用上述payload組中包含的payload進(jìn)行漏洞檢測(cè)����。具體實(shí)現(xiàn)中,檢測(cè)模塊30可根據(jù)上述pay load庫(kù)中各個(gè)pay load的分類結(jié)果��,從上述pay load庫(kù)中分類得到的多個(gè)標(biāo)簽類型的payload(其中一個(gè)標(biāo)簽類型可對(duì)應(yīng)一個(gè)pay load組�,每個(gè)pay load組可包含多個(gè)pay load)中查找上述目標(biāo)標(biāo)簽類型對(duì)應(yīng)的pay load。即�����,檢測(cè)模塊30可從上述多個(gè)標(biāo)簽類型對(duì)應(yīng)的多個(gè)pay I oad組中查找得到目標(biāo)標(biāo)簽類型對(duì)應(yīng)的pay I oad組���,進(jìn)而可從pay I oad庫(kù)中加載上述payload組中包含的多個(gè)pay load���。進(jìn)一步的,檢測(cè)模塊30可采用上述從pay load庫(kù)中加載的上述目標(biāo)標(biāo)簽類型對(duì)應(yīng)pay load對(duì)漏洞檢測(cè)點(diǎn)進(jìn)行XSS漏洞檢測(cè)�����。即���,對(duì)于漏洞檢測(cè)點(diǎn)的XSS漏洞檢測(cè)����,檢測(cè)模塊30無(wú)需將payload庫(kù)中包含的所有payload都用來(lái)做該檢測(cè)點(diǎn)的XSS漏洞檢測(cè)��,只需要選擇檢測(cè)點(diǎn)所要檢測(cè)的目標(biāo)標(biāo)簽類型對(duì)應(yīng)的pay load對(duì)上述目標(biāo)標(biāo)簽類型對(duì)應(yīng)的標(biāo)簽進(jìn)行漏洞檢測(cè),可減少漏洞檢測(cè)的工作量���。
[0082 ]在本發(fā)明實(shí)施例中�����,終端可首先根據(jù)pay I oad庫(kù)中包含的各個(gè)pay I oad用以攻擊的HTML標(biāo)簽類型確定各個(gè)payload對(duì)應(yīng)的標(biāo)簽類型���,按照不同的標(biāo)簽類型進(jìn)行分類,以得到多組不同標(biāo)簽類型的payload�����,其中每個(gè)標(biāo)簽類型可包含多個(gè)payload�。當(dāng)終端檢測(cè)到漏洞檢測(cè)點(diǎn)網(wǎng)頁(yè)鏈接地址或者HTML文件等檢測(cè)信息觸發(fā)漏洞檢測(cè)時(shí),可根據(jù)上述網(wǎng)頁(yè)鏈接地址或者HTML文件等檢測(cè)信息確定待檢測(cè)的目標(biāo)標(biāo)簽類型���,再?gòu)纳鲜龆鄠€(gè)標(biāo)簽類型的payload中查找上述目標(biāo)標(biāo)簽類型對(duì)應(yīng)的pay load���,進(jìn)而可采用目標(biāo)標(biāo)簽類型對(duì)應(yīng)的pay load進(jìn)行上述漏洞檢測(cè)點(diǎn)的XSS漏洞檢測(cè)。終端可根據(jù)payload用以攻擊的HTML標(biāo)簽的類型等特征將payload庫(kù)中的pay load進(jìn)行分類���,增強(qiáng)了 payload分類的針對(duì)性和payload與其用于攻擊的HTML標(biāo)簽的相關(guān)性��。終端針對(duì)漏洞檢測(cè)點(diǎn)的檢測(cè)信息對(duì)應(yīng)的目標(biāo)標(biāo)簽類型����,通過(guò)標(biāo)簽類型的匹配從上述payload庫(kù)中加載上述目標(biāo)標(biāo)簽類型對(duì)應(yīng)的payload��,采用上述目標(biāo)標(biāo)簽類型對(duì)應(yīng)的payload進(jìn)行漏洞檢測(cè)���,無(wú)需將payload庫(kù)中包含的payload都用來(lái)做漏洞檢測(cè)�,增強(qiáng)了漏洞檢測(cè)的payload攻擊的針對(duì)性��,提高了 payload攻擊的有效性�,可減少XSS漏洞檢測(cè)的工作量,提高XSS漏洞檢測(cè)的效率�����。
[0083]在本說(shuō)明書(shū)的描述中�,參考術(shù)語(yǔ)“一個(gè)實(shí)施例”、“一些實(shí)施例”�、“示例”