�����、“具體示例”��、或“一些示例”等的描述意指結(jié)合該實施例或示例描述的具體特征����、結(jié)構(gòu)、材料或者特點包含于本發(fā)明的至少一個實施例或示例中����。在本說明書中�,對上述術(shù)語的示意性表述不必須針對的是相同的實施例或示例。而且�����,描述的具體特征�、結(jié)構(gòu)、材料或者特點可以在任一個或多個實施例或示例中以合適的方式結(jié)合����。此外��,在不相互矛盾的情況下���,本領(lǐng)域的技術(shù)人員可以將本說明書中描述的不同實施例或示例以及不同實施例或示例的特征進(jìn)行結(jié)合和組合。
[0084]此外����,術(shù)語“第一”、“第二”僅用于描述目的���,而不能理解為指示或暗示相對重要性或者隱含指明所指示的技術(shù)特征的數(shù)量���。由此,限定有“第一”�、“第二”的特征可以明示或者隱含地包括至少一個該特征。在本發(fā)明的描述中�,“多個”的含義是至少兩個,例如兩個��,三個等�,除非另有明確具體的限定。
[0085]流程圖中或在此以其他方式描述的任何過程或方法描述可以被理解為����,表示包括一個或更多個用于實現(xiàn)特定邏輯功能或過程的步驟的可執(zhí)行指令的代碼的模塊��、片段或部分��,并且本發(fā)明的優(yōu)選實施方式的范圍包括另外的實現(xiàn)��,其中可以不按所示出或討論的順序�����,包括根據(jù)所涉及的功能按基本同時的方式或按相反的順序��,來執(zhí)行功能�����,這應(yīng)被本發(fā)明的實施例所屬技術(shù)領(lǐng)域的技術(shù)人員所理解��。
[0086]在流程圖中表示或在此以其他方式描述的邏輯和/或步驟,例如�,可以被認(rèn)為是用于實現(xiàn)邏輯功能的可執(zhí)行指令的定序列表,可以具體實現(xiàn)在任何計算機可讀介質(zhì)中�����,以供指令執(zhí)行系統(tǒng)�����、裝置或設(shè)備(如基于計算機的系統(tǒng)、包括處理器的系統(tǒng)或其他可以從指令執(zhí)行系統(tǒng)���、裝置或設(shè)備取指令并執(zhí)行指令的系統(tǒng))使用���,或結(jié)合這些指令執(zhí)行系統(tǒng)、裝置或設(shè)備而使用�。就本說明書而言,〃計算機可讀介質(zhì)〃可以是任何可以包含���、存儲����、通信��、傳播或傳輸程序以供指令執(zhí)行系統(tǒng)���、裝置或設(shè)備或結(jié)合這些指令執(zhí)行系統(tǒng)�����、裝置或設(shè)備而使用的裝置����。計算機可讀介質(zhì)的更具體的示例(非窮盡性列表)包括以下:具有一個或多個布線的電連接部(電子裝置),便攜式計算機盤盒(磁裝置)����,隨機存取存儲器(RAM),只讀存儲器(ROM)����,可擦除可編輯只讀存儲器(EPR0M或閃速存儲器),光纖裝置�,以及便攜式光盤只讀存儲器(CDROM)。另外����,計算機可讀介質(zhì)甚至可以是可在其上打印所述程序的紙或其他合適的介質(zhì),因為可以例如通過對紙或其他介質(zhì)進(jìn)行光學(xué)掃描���,接著進(jìn)行編輯�����、解譯或必要時以其他合適方式進(jìn)行處理來以電子方式獲得所述程序,然后將其存儲在計算機存儲器中�。
[0087]應(yīng)當(dāng)理解�����,本發(fā)明的各部分可以用硬件�、軟件��、固件或它們的組合來實現(xiàn)����。在上述實施方式中,多個步驟或方法可以用存儲在存儲器中且由合適的指令執(zhí)行系統(tǒng)執(zhí)行的軟件或固件來實現(xiàn)�����。例如��,如果用硬件來實現(xiàn)���,和在另一實施方式中一樣��,可用本領(lǐng)域公知的下列技術(shù)中的任一項或他們的組合來實現(xiàn):具有用于對數(shù)據(jù)信號實現(xiàn)邏輯功能的邏輯門電路的離散邏輯電路����,具有合適的組合邏輯門電路的專用集成電路,可編程門陣列(PGA)����,現(xiàn)場可編程門陣列(FPGA)等。
[0088]本技術(shù)領(lǐng)域的普通技術(shù)人員可以理解實現(xiàn)上述實施例方法攜帶的全部或部分步驟是可以通過程序來指令相關(guān)的硬件完成����,所述的程序可以存儲于一種計算機可讀存儲介質(zhì)中,該程序在執(zhí)行時��,包括方法實施例的步驟之一或其組合�����。
[0089]此外�����,在本發(fā)明各個實施例中的各功能單元可以集成在一個處理模塊中���,也可以是各個單元單獨物理存在�,也可以兩個或兩個以上單元集成在一個模塊中�����。上述集成的模塊既可以采用硬件的形式實現(xiàn)��,也可以采用軟件功能模塊的形式實現(xiàn)��。所述集成的模塊如果以軟件功能模塊的形式實現(xiàn)并作為獨立的產(chǎn)品銷售或使用時�����,也可以存儲在一個計算機可讀取存儲介質(zhì)中���。
[0090]上述提到的存儲介質(zhì)可以是只讀存儲器���,磁盤或光盤等。盡管上面已經(jīng)示出和描述了本發(fā)明的實施例����,可以理解的是,上述實施例是示例性的�����,不能理解為對本發(fā)明的限制��,本領(lǐng)域的普通技術(shù)人員在本發(fā)明的范圍內(nèi)可以對上述實施例進(jìn)行變化��、修改、替換和變型�����。
[0091]本領(lǐng)域普通技術(shù)人員可以理解實現(xiàn)上述實施例方法中的全部或部分流程�,是可以通過計算機程序來指令相關(guān)的硬件來完成,所述的程序可存儲于計算機可讀取存儲介質(zhì)中�,該程序在執(zhí)行時,可包括如上述各方法的實施例的流程�����。其中���,所述的存儲介質(zhì)可為磁碟����、光盤���、只讀存儲記憶體(Read-Only Memory���,ROM)或隨機存儲記憶體(Random AccessMemory,RAM)等�。
[0092]以上所揭露的僅為本發(fā)明較佳實施例而已�,當(dāng)然不能以此來限定本發(fā)明之權(quán)利范圍�����,因此依本發(fā)明權(quán)利要求所作的等同變化�,仍屬本發(fā)明所涵蓋的范圍����。
【主權(quán)項】
1.一種XSS漏洞檢測的方法,其特征在于�����,包括: 將預(yù)存的payload庫中包含的各個payload按照不同的標(biāo)簽類型進(jìn)行分類���,所述pay load庫中包含多個標(biāo)簽類型的pay load����,每個標(biāo)簽類型包含多個pay load; 當(dāng)檢測到漏洞檢測點輸入檢測信息時�����,根據(jù)所述檢測信息確定待檢測的目標(biāo)標(biāo)簽類型���; 從所述payload庫中分類得到的多個標(biāo)簽類型的payload中查找所述目標(biāo)標(biāo)簽類型對應(yīng)的payload�,采用所述目標(biāo)標(biāo)簽類型對應(yīng)的pay load進(jìn)行所述漏洞檢測點的跨站腳本攻擊XSS漏洞檢測。2.如權(quán)利要求1所述的方法��,其特征在于����,所述將預(yù)存的payload庫中包含的各個pay load按照不同的標(biāo)簽類型進(jìn)行分類,包括: 將預(yù)存的payload庫中包含的多個payload按照其用以攻擊的超級文本標(biāo)記語言HTML標(biāo)簽類型確定各個所述payload對應(yīng)的標(biāo)簽類型�����,并按照所述標(biāo)簽類型將各個所述pay load進(jìn)行分類以得到多組不同標(biāo)簽類型的payload��。3.如權(quán)利要求2所述的方法���,其特征在于�,所述根據(jù)所述檢測信息確定待檢測的目標(biāo)標(biāo)簽類型�,包括: 對所述檢測信息進(jìn)行解析,從所述檢測信息中獲取標(biāo)簽類型的標(biāo)識信息�����,根據(jù)所述標(biāo)簽類型的標(biāo)識信息確定目標(biāo)標(biāo)簽類型���。4.如權(quán)利要求3所述的方法�,其特征在于,所述檢測信息包括:網(wǎng)頁鏈接地址���,或者HTML文件���; 所述標(biāo)簽類型的標(biāo)識信息包括:標(biāo)簽對的開始標(biāo)簽符和結(jié)束標(biāo)簽符,或者單個標(biāo)簽的標(biāo)簽符���。5.如權(quán)利要求4所述的方法,其特征在于��,所述采用所述目標(biāo)標(biāo)簽類型對應(yīng)的payload進(jìn)行所述漏洞檢測點的XSS漏洞檢測���,包括: 采用所述目標(biāo)標(biāo)簽類型的payload對所述漏洞檢測點中包含的所述目標(biāo)標(biāo)簽類型的標(biāo)簽進(jìn)行攻擊���,以判斷是否存在所述目標(biāo)標(biāo)簽類型對應(yīng)的漏洞。6.一種XSS漏洞檢測的裝置����,其特征在于,包括: 分類模塊�����,用于將預(yù)存的payload庫中包含的各個payload按照不同的標(biāo)簽類型進(jìn)行分類,所述pay load庫中包含多個標(biāo)簽類型的pay load�,每個標(biāo)簽類型包含多個pay load ; 獲取模塊�����,用于當(dāng)檢測到漏洞檢測點輸入檢測信息時�,根據(jù)所述檢測信息確定待檢測的目標(biāo)標(biāo)簽類型; 檢測模塊��,用于從所述payload庫中由所述分類模塊分類得到的多個標(biāo)簽類型的payload中查找所述目標(biāo)標(biāo)簽類型對應(yīng)的payload����,采用所述目標(biāo)標(biāo)簽類型對應(yīng)的payload進(jìn)行所述漏洞檢測點的跨站腳本攻擊XSS漏洞檢測。7.如權(quán)利要求6所述的裝置��,其特征在于�����,所述分類模塊具體用于: 將預(yù)存的payload庫中包含的多個payload按照其用以攻擊的超級文本標(biāo)記語言HTML標(biāo)簽類型確定各個所述payload對應(yīng)的標(biāo)簽類型�����,并按照所述標(biāo)簽類型將各個所述pay load進(jìn)行分類以得到多組不同標(biāo)簽類型的payload。8.如權(quán)利要求7所述的裝置�,其特征在于,所述獲取模塊具體用于: 對所述檢測信息進(jìn)行解析����,從所述檢測信息中獲取標(biāo)簽類型的標(biāo)識信息,根據(jù)所述標(biāo)簽類型的標(biāo)識信息確定目標(biāo)標(biāo)簽類型����。9.如權(quán)利要求8所述的裝置,其特征在于�,所述檢測信息包括:網(wǎng)頁鏈接地址,或者HTML文件�; 所述標(biāo)簽類型的標(biāo)識信息包括:標(biāo)簽對的開始標(biāo)簽符和結(jié)束標(biāo)簽符�,或者單個標(biāo)簽的標(biāo)簽符。10.如權(quán)利要求9所述的裝置��,其特征在于���,所述檢測模塊具體用于: 采用所述目標(biāo)標(biāo)簽類型的payload對所述漏洞檢測點中包含的所述目標(biāo)標(biāo)簽類型的標(biāo)簽進(jìn)行攻擊�����,以判斷是否存在所述目標(biāo)標(biāo)簽類型對應(yīng)的漏洞����。
【專利摘要】本發(fā)明實施例公開了一種XSS漏洞檢測的方法,包括:將預(yù)存的payload庫中包含的各個payload按照不同的標(biāo)簽類型進(jìn)行分類��;當(dāng)檢測到漏洞檢測點輸入檢測信息時����,根據(jù)所述檢測信息確定待檢測的目標(biāo)標(biāo)簽類型;從所述payload庫中分類得到的多個標(biāo)簽類型的payload中查找所述目標(biāo)標(biāo)簽類型對應(yīng)的payload��,采用所述目標(biāo)標(biāo)簽類型對應(yīng)的payload進(jìn)行所述漏洞檢測點的跨站腳本攻擊XSS漏洞檢測����。本發(fā)明實施例還公開了一種XSS漏洞檢測的裝置。采用本發(fā)明實施例����,具有可減少XSS漏洞檢測的工作量,提高XSS漏洞檢測的效率的優(yōu)點��。
【IPC分類】G06F21/57
【公開號】CN105631340
【申請?zhí)枴緾N201510956670
【發(fā)明人】王鑫
【申請人】珠海市君天電子科技有限公司, 北京金山安全軟件有限公司
【公開日】2016年6月1日
【申請日】2015年12月17日