專利名稱:存儲式跨站腳本攻擊檢測方法�、裝置及系統(tǒng)及攻擊檢測裝置的制作方法
技術領域:
本發(fā)明涉及網絡安全領域,特別是涉及一種存儲式跨站腳本攻擊的檢測方法���、裝
置及系統(tǒng)及攻擊檢測裝置��。
背景技術:
跨站腳本攻擊(Cross-Site Scripting,XSS)主要發(fā)生在客戶端�����,攻擊者將惡意代 碼注入到Web客戶端�����,攻擊者在用戶訪問的頁面代碼中插入具有惡意目的的數據����,當訪問 器訪問該頁面時,嵌入其中的腳本將被解釋執(zhí)行����,對用戶端進行攻擊,如果攻擊者使用跨站 腳本制作蠕蟲�����,則可能發(fā)生大量的跨站式腳本攻擊����,導致拒絕服務攻擊。XSS攻擊通常包括 反射式跨站腳本攻擊(Reflected XSS)及存儲式跨站腳本攻擊等�。 現有技術對跨站腳本攻擊的檢測是基于規(guī)則檢測的方法,對來源于網絡的信息流 進行檢測����,通過監(jiān)視網絡中的數據包,對每一個數據包進行特征分析����,如果數據包與預先存 儲的攻擊特征匹配的話,入侵檢測系統(tǒng)就會發(fā)出報警�。 但發(fā)明人發(fā)現���,現有技術中的跨站腳本攻擊的檢測主要針對跨站攻擊代碼不存儲 在服務器端的情況,而當攻擊者已經將跨站攻擊代碼存儲到服務器上�,用戶終端從服務器 端訪問被注入惡意代碼的網絡頁面時,對該網頁是否可能存在跨站腳本攻擊沒有有效的檢 測方法�,使得用戶終端的網絡安全可靠性降低����。
發(fā)明內容
本發(fā)明實施例提供一種存儲式跨站腳本攻擊檢測方法、裝置及系統(tǒng)����,能夠有效提 高用戶終端網絡安全可靠性。 本發(fā)明實施例提供了一種存儲式跨站腳本攻擊的檢測方法����,包括
獲取用戶訪問的網頁內容腳本標簽; 獲取所述腳本標簽對應的腳本內容可疑特征的危險值以及所述腳本語句位置的 違規(guī)度�; 對所述腳本內容可疑特征的危險值和腳本語句位置的違規(guī)度進行綜合分析以檢
測所述用戶訪問的網頁是否存在存儲式跨站腳本攻擊。
本發(fā)明實施例還提供一種存儲式跨站腳本攻擊檢測裝置�,包括 腳本標簽獲取單元,用于獲取用戶訪問的網頁內容腳本標簽����; 第一處理單元��,用于獲取所述腳本標簽對應的腳本內容可疑特征的危險值�����; 第二處理單元���,用于獲取所述腳本語句位置的違規(guī)度; 分析檢測單元���,用于對所述腳本內容可疑特征的危險值和腳本語句位置的違規(guī)度 進行綜合分析以檢測所述用戶訪問的網頁是否存在存儲式跨站腳本攻擊����。
本發(fā)明實施例還提供一種攻擊檢測裝置�����,包括
接收單元��,用于接收服務器發(fā)送的網頁數據�;
存儲式跨站腳本攻擊檢測單元,用于獲取所述網頁數據的網頁內容腳本標簽�;獲取所述腳本標簽對應的腳本內容可疑特征的危險值以及所述腳本語句位置的違規(guī)度;對所述腳本內容特征的危險值和位置的違規(guī)度進行綜合分析以檢測所述用戶訪問的網頁是否存在存儲式跨站腳本攻擊���; 發(fā)送單元��,用于將所述存儲跨站腳本攻擊檢測單元的檢測結果發(fā)送給用戶終端�。
本發(fā)明實施例還提供一種存儲式跨站腳本攻擊的檢測系統(tǒng),包括
用戶終端����,用于向服務器發(fā)送網頁訪問請求; 服務器����,用于存儲用戶訪問數據并響應用戶終端請求向用戶終端發(fā)送網頁數據����; 攻擊檢測裝置,用于接收服務器發(fā)送的網頁數據�����,獲取用戶訪問的網頁內容腳本
標簽�;獲取所述腳本標簽對應的腳本內容可疑特征的危險值以及所述腳本語句位置的違規(guī)
度;對所述腳本內容特征的危險值和位置的違規(guī)度進行綜合分析以檢測所述用戶訪問的網
頁是否存在存儲式跨站腳本攻擊���,并向所述用戶終端發(fā)送檢測結果信息�����。 本發(fā)明實施例所提供的存儲式跨站腳本攻擊的檢測方法�����、裝置及系統(tǒng)及攻擊檢測
裝置���,可以通過對用戶從服務器上訪問的網頁內容所提取的腳本標簽結合標簽所對應的腳
本內容及腳本語句位置來綜合判斷網頁是否存在存儲式跨站腳本的攻擊���,防止攻擊者利用
網頁腳本嵌入惡意代碼損害網絡安全,有效提高了用戶終端網絡安全及可靠性���。
為了更清楚地說明本發(fā)明實施例或現有技術中的技術方案��,下面將對實施例中所需要使用的附圖作簡單地介紹�����,顯而易見地����,下面描述中的附圖僅僅是本發(fā)明的一些實施例,對于本領域普通技術人員來講����,在不付出創(chuàng)造性勞動性的前提下,還可以根據這些附圖獲得其他的附圖�。
圖1是本發(fā)明實施例提供的一種存儲式跨站腳本攻擊的檢測方法流程圖; 圖2是本發(fā)明實施例提供的另一種存儲式跨站腳本攻擊檢測方法流程圖���; 圖3是本發(fā)明實施例提供的一種存儲式跨站腳本攻擊檢測裝置����; 圖4是本發(fā)明實施例提供的另一種存儲式跨站腳本攻擊檢測裝置���; 圖5是本發(fā)明實施例提供的提供一種攻擊檢測裝置��; 圖6是本發(fā)明實施例提供的一種存儲式跨站腳本攻擊的檢測系統(tǒng)。
具體實施例方式
為使本發(fā)明的上述目的��、特征和優(yōu)點能夠更加明顯易懂�,下面結合附圖和具體實施方式
對本發(fā)明作進一步詳細的說明。 圖1為本發(fā)明實施例所提供的一種存儲式跨站腳本攻擊的檢測方法的流程圖���,參見圖l���,本發(fā)明實施例方法包括 步驟101 :獲取用戶訪問的網頁內容腳本標簽�����; 對用戶訪問的網頁內容進行流掃描���,識別并提取網頁內容的〈script〉腳本標簽;
步驟102 :獲取所提取的腳本標簽對應的腳本內容可疑特征的危險值����;
其中,對腳本內容危險值的獲取可以通過將〈script〉腳本內容特征和預先存儲的存儲式跨站腳本攻擊特征庫進行匹配����;當所述〈script〉腳本內容特征匹配到對應的存儲式跨站腳本攻擊特征數據時,確定該腳本內容特征為腳本內容可疑特征���,按照預先設定 的危險值對應策略����,確定該腳本內容可疑特征的危險值���;
步驟103 :獲取所述腳本語句位置的違規(guī)度�����; 其中�����,可以通過將所獲取的網頁內容〈script〉腳本標簽所在位置與該標簽對應
的內嵌腳本合理性向量進行關聯分析獲得該腳本語句位置的合理性分值��; 根據所述合理性分值��,獲得所述腳本語句位置的違規(guī)度�; 需要說明的是,步驟102和步驟103在具體執(zhí)行時沒有執(zhí)行順序的限定��,并且可以 同時執(zhí)行也可以分開執(zhí)行�; 步驟104 :對所述〈script〉腳本內容特征的危險值和位置的違規(guī)度進行綜合分析 以檢測所述用戶訪問的網頁是否存在存儲式跨站腳本攻擊; 其中����,可以通過將所獲得的位置違規(guī)度的值和腳本內容特征的危險值進行加權 和,根據所獲取的值來最終判斷用戶所訪問的網頁中是否存在存儲式跨站腳本攻擊��。
本發(fā)明實施例所提供的存儲式跨站腳本攻擊的檢測方法�����,可以通過對用戶訪問的 網頁內容所提取的腳本標簽結合標簽所對應的腳本內容及腳本語句位置來綜合判斷網頁 是否存在存儲式跨站腳本的攻擊����,防止攻擊者利用網頁腳本嵌入病毒損害網絡安全,有效 提高了用戶終端網絡安全及可靠性��。 圖2為本發(fā)明實施例提供的另一種存儲式跨站腳本攻擊檢測方法的流程圖�����,參見 圖2����,該方法包括 步驟201 :對用戶訪問網頁的內容文件進行流掃描,識別并提取標簽�;
步驟202 :提取標簽名,提取標簽名的腳本類型����; 步驟203 :當所提取的標簽類型為腳本標簽時,提取該標簽所對應的腳本內容�����; 通常所提取的〈script〉腳本標簽為標簽對�����,所提取的該標簽對應的腳本內容包
括標簽對中間所包括的腳本內容; 步驟204 :獲取腳本語句位置的違規(guī)度�����; 步驟205 :獲取腳本內容可疑特征的危險值�; 其中,步驟204和步驟205的執(zhí)行順序不做限定�����,本實施例僅為其中一種執(zhí)行方 式�; 步驟206 :對所述腳本內容特征的危險值和腳本語句位置的違規(guī)度進行綜合分析 以檢測所述用戶訪問的網頁是否存在存儲式跨站腳本攻擊。 其中��,獲取腳本語句位置的違規(guī)度可以通過對所提取的腳本標簽名計算該標簽所 在的標簽層���,根據腳本標簽所在的標簽層并結合腳本內容的父標簽�,判斷該腳本標簽對應 的腳本語句位置的合理性分值��; 其中���,可以事先設定不同位置出現標簽的合理性分值����,通過獲取腳本標簽所在標
簽層���,以及腳本內容的父標簽來判斷在腳本語句所出現位置的合理性���,并可以按照預先設
定的合理性分值分配策略,獲得所分析的腳本語句出現位置的合理性分值��; 進一步��,根據所獲得的合理性分值���,計算得到所分析的腳本語句出現位置的違規(guī)
度����;例如 標簽對〈marque〉. . . 〈/marque〉�,因為〈marque〉標簽的內容是用來提供滾動字幕 功能,在該標簽對中出現腳本就非??梢桑紤]到有些極特殊的情況下可能采用腳本進
6行描述滾動的字幕內容��,因此�����,按照預先設定的合理性分值分配策略,這種情況下����,該標簽 所對應的合理性分值比較低,可以設定為0. 15 ;根據所獲取的合理性分值���,該標簽所對應 腳本的違規(guī)度可以為1-0. 15 = 0. 85���,因此,該標簽所對應腳本的違規(guī)度為0. 85 ;
其中�,對腳本內容可疑特征危險值的獲取可以通過將腳本內容特征和預先存儲的 存儲式跨站腳本攻擊特征庫進行匹配;當所述腳本內容特征匹配到對應的存儲式跨站腳本 攻擊特征數據時�,確定該腳本內容特征為腳本內容可疑特征,按照預先設定的危險值對應 策略���,確定該腳本內容可疑特征的危險值���; 在本實施例中,對所述腳本內容特征的危險值和位置的違規(guī)度進行綜合分析以檢 測所述用戶訪問的網頁是否存在存儲式跨站腳本攻擊��,可以是通過對所述腳本內容可疑特 征的危險值和腳本語句位置的違規(guī)度進行加權求和獲取存儲式跨站腳本攻擊可能性值�����,當 所得到的存儲式跨站腳本攻擊可能性值大于預先設定的門限值,則判斷所述用戶訪問的網 頁存在存儲式跨站腳本攻擊�����。 其中����,可以采用靜態(tài)加權法計算獲得存儲式跨占腳本攻擊可能性值�,包括不同腳 本標簽所對應的腳本內容可疑特征危險值分配相同的特征權重值,并且���,不同標簽所對應 的腳本語句位置的違規(guī)度也分配相同的標簽權重值���,存儲式跨占腳本攻擊可能性值=危險 值*特征權重值+違規(guī)度*標簽權重值,其中����,靜態(tài)加權法計算存儲式跨站腳本攻擊可能性 值時,特征權重值和標簽權重值的和為1 ;也可以采用動態(tài)加權法計算獲得存儲式跨占腳 本攻擊可能性值�����,包括不同腳本標簽所對應的腳本內容可疑特征危險值分配不同的特征 權重值,并且不同標簽所對應的腳本語句位置的違規(guī)度分配不同的標簽權重值����,存儲式跨 占腳本攻擊可能性值=危險值*特征權重值+違規(guī)度*標簽權重值,其中�����,動態(tài)加權法計算 存儲式跨站腳本攻擊可能性值時���,特征權重值和標簽權重值的和可能不為1���,當動態(tài)加權法 計算中所采用的特征權重值和標簽權重值的和大于1的時候,可以通過以下方法對權重作 修改 特征權重值=特征權重值+標簽權重值-1 ;
標簽權重值=特征權重值+標簽權重值-1 ; 存儲式跨占腳本攻擊可能性值通過所述修改后的特征權重值和標簽權重值進行 計算獲得�����。
參見圖3�����,本發(fā)明實施例還提供一種存儲式跨占腳本攻擊檢測裝置��,包括 腳本標簽獲取單元301,用于獲取用戶訪問的網頁內容腳本標簽�����; 第一處理單元302�,用于獲取所述腳本標簽對應的腳本內容可疑特征的危險值; 其中���,對腳本內容危險值的獲取可以通過將腳本內容特征和預先存儲的存儲式跨
站腳本攻擊特征庫進行匹配����;當所述腳本內容可疑特征匹配到對應的存儲式跨站腳本攻擊
特征數據時,確定該腳本內容特征為腳本內容可疑特征���,按照預先設定的危險值對應策略���,
確定該腳本內容可疑特征的危險值����; 第二處理單元303,用于獲取所述腳本語句位置的違規(guī)度�; 其中,可以通過將所獲取的網頁內容腳本標簽所在位置與該標簽對應的內嵌腳本 合理性向量進行關聯分析獲得該腳本語句位置的合理性分值���;
根據所述合理性分值��,獲得所述腳本語句位置的違規(guī)度�; 分析檢測單元304���,用于對所述腳本內容特征的危險值和位置的違規(guī)度進行綜合分析以檢測所述用戶訪問的網頁是否存在存儲式跨站腳本攻擊����;
其中���,分析檢測單元304����,可以包括 計算單元3041�����,用于將對所述腳本內容可疑特征的危險值和腳本語句位置的違規(guī)度進行加權求和獲取存儲式跨站腳本攻擊可能性值���; 判斷單元3042,用于當所得到的存儲式跨站腳本攻擊可能性值大于預先設定的門限值���,則判斷所述用戶訪問的網頁存在存儲式跨站腳本攻擊�。 本發(fā)明實施例所提供的存儲式跨站腳本攻擊的檢測方法����,可以通過對用戶從服務器上訪問的網頁內容所提取的腳本標簽結合標簽所對應的腳本內容及腳本語句位置來綜合判斷網頁是否存在存儲式跨站腳本的攻擊���,防止攻擊者利用網頁腳本嵌入病毒損害網絡安全��,有效提高了用戶終端網絡安全及可靠性�����。 參見圖4��,本發(fā)明實施例還提供另一種存儲式跨站腳本攻擊檢測裝置,包括
腳本標簽獲取單元401��,用于獲取用戶訪問的網頁內容腳本標簽����;
第一處理單元402,用于獲取所述腳本標簽對應的腳本內容可疑特征的危險值;
第二處理單元403����,用于所述腳本語句位置的違規(guī)度�����; 分析檢測單元404����,用于對所述腳本內容可疑特征的危險值和腳本語句位置的違
規(guī)度進行綜合分析以檢測所述用戶訪問的網頁是否存在存儲式跨站腳本攻擊���; 其中�����,第一處理單元可以包括 匹配子單元4021 ���,用于將所獲取的腳本標簽對應的腳本內容特征和預先存儲的存儲式跨站腳本攻擊特征數據進行匹配���; 危險值獲取子單元4022��,用于當所述腳本內容特征匹配到對應的存儲式跨站腳本攻擊特征數據時�����,確定該腳本內容特征為腳本內容可疑特征�,按照預先設定的危險值對應策略,確定該腳本內容可疑特征的危險值�;
第二處理單元403可以包括 合理性分析子單元4031 ,用于通過將所獲取的網頁內容腳本標簽所在層數和所述標簽中的父標簽與該標簽對應的內嵌腳本合理性向量進行關聯分析獲得該腳本語句位置的合理性分值��; 違規(guī)度獲取子單元4032,用于根據所述合理性分值����,獲得所述腳本語句位置的違規(guī)度。
參見圖5,本發(fā)明實施例還提供一種攻擊檢測裝置�����,包括
接收單元501����,用于接收服務器發(fā)送的網頁數據����; 存儲式跨站腳本攻擊檢測單元502��,用于獲取所述網頁數據的網頁內容腳本標簽��;獲取所述腳本標簽對應的腳本內容可疑特征的危險值以及所述腳本語句位置的違規(guī)度�;對所述腳本內容特征的危險值和位置的違規(guī)度進行綜合分析以檢測所述用戶訪問的網頁是否存在存儲式跨站腳本攻擊; 發(fā)送單元503���,用于將所述存儲跨站腳本攻擊檢測單元的檢測結果發(fā)送給用戶終
丄山順。 參見圖6����,本發(fā)明實施例還提供一種存儲式跨站腳本攻擊的檢測系統(tǒng)�����,包括 用戶終端601����,用于向服務器發(fā)送網頁訪問請求�����; 服務器602��,用于存儲用戶訪問數據并響應用戶請求向用戶終端發(fā)送網頁數據���;
攻擊檢測裝置603 �����,用于接收服務器發(fā)送的網頁數據��,獲取用戶訪問的網頁內容腳
本標簽�����;獲取所述腳本標簽對應的腳本內容可疑特征的危險值以及所述腳本語句位置的違
規(guī)度����;對所述腳本內容特征的危險值和位置的違規(guī)度進行綜合分析以檢測所述用戶訪問的
網頁是否存在存儲式跨站腳本攻擊,并向所述用戶終端發(fā)送檢測結果信息��。 本發(fā)明實施例所提供的存儲式跨站腳本攻擊的檢測方法�,可以通過對用戶從服務
器上訪問的網頁內容所提取的腳本標簽結合標簽所對應的腳本內容及腳本語句位置來綜
合判斷網頁是否存在存儲式跨站腳本的攻擊��,防止攻擊者利用網頁腳本嵌入惡意代碼損害
網絡安全��,有效提高了用戶終端網絡安全及可靠性��。 通過以上的實施方式的描述���,本領域的技術人員可以清楚地了解到本發(fā)明可借 助軟件加必需的硬件平臺的方式來實現���,當然也可以全部通過硬件來實施����,但很多情況下 前者是更佳的實施方式����?����;谶@樣的理解,本發(fā)明的技術方案對背景技術做出貢獻的全部 或者部分可以以軟件產品的形式體現出來���,該計算機軟件產品可以存儲在存儲介質中�����,如 ROM/RAM、磁碟�、光盤等,包括若干指令用以使得一臺計算機設備(可以是個人計算機,服務 器����,或者網絡設備等)執(zhí)行本發(fā)明各個實施例或者實施例的某些部分所述的方法。
以上對本發(fā)明進行了詳細介紹,本文中應用了具體個例對本發(fā)明的原理及實施方 式進行了闡述��,以上實施例的說明只是用于幫助理解本發(fā)明的方法及其核心思想����;同時����,對 于本領域的一般技術人員���,依據本發(fā)明的思想,在具體實施方式
及應用范圍上
權利要求
一種存儲式跨站腳本攻擊的檢測方法�����,其特征在于���,包括獲取用戶訪問的網頁內容腳本標簽��;獲取所述腳本標簽對應的腳本內容可疑特征的危險值以及所述腳本語句位置的違規(guī)度�����;對所述腳本內容可疑特征的危險值和腳本語句位置的違規(guī)度進行綜合分析以檢測所述用戶訪問的網頁是否存在存儲式跨站腳本攻擊��。
2. 根據權利要求1所述的存儲式跨站腳本攻擊的檢測方法����,其特征在于����,所述獲取所 述腳本標簽對應的腳本語句位置的違規(guī)度����,包括通過將所獲取的網頁內容腳本標簽所在標簽層和所述標簽中的父標簽與該標簽對應 的內嵌腳本合理性向量進行關聯分析獲得該腳本語句位置的合理性分值; 根據所述合理性分值�����,獲得所述腳本語句位置的違規(guī)度���。
3. 根據權利要求1或2所述的存儲式跨站腳本攻擊的檢測方法�,其特征在于�����,所述獲取 所述腳本標簽對應的腳本內容可疑特征的危險值�,包括將所獲取的腳本標簽對應的腳本內容特征和預先存儲的存儲式跨站腳本攻擊特征數 據進行匹配�����;當所述腳本內容特征匹配到對應的存儲式跨站腳本攻擊特征數據時���,確定該腳本內容 特征為腳本內容可疑特征,按照預先設定的危險值對應策略�,確定該腳本內容可疑特征的 危險值。
4. 根據權利要求1或2所述的存儲式跨站腳本攻擊的檢測方法�����,其特征在于����,所述對所 述腳本內容特征的危險值和位置的違規(guī)度進行綜合分析以檢測所述用戶訪問的網頁是否 存在存儲式跨站腳本攻擊��,包括通過對所述腳本內容可疑特征的危險值和腳本語句位置的違規(guī)度進行加權求和獲取 存儲式跨站腳本攻擊可能性值����,當所述得到的存儲式跨站腳本攻擊可能性值大于預先設定 的門限值時�,則判斷所述用戶訪問的網頁存在存儲式跨站腳本攻擊��。
5. 根據權利要求4中所述的存儲式跨站腳本攻擊的檢測方法�,所述加權求和獲取存儲 式跨站腳本攻擊可能性值,包括采用靜態(tài)加權法計算獲得存儲式跨占腳本攻擊可能性值����,其中����,不同腳本標簽所對應 的腳本內容可疑特征的危險值被分配相同的特征權重值����,并且���,不同標簽所對應的腳本語 句位置的違規(guī)度也分配相同的標簽權重值��;或采用動態(tài)加權法計算獲得存儲式跨占腳本攻擊可能性值�,其中���,不同腳本標簽所對應 的腳本內容可疑特征危險值分配不同的特征權重值����,并且不同標簽所對應的腳本語句位置 的違規(guī)度分配不同的標簽權重值。
6. —種存儲式跨站腳本攻擊檢測裝置�����,其特征在于��,包括腳本標簽獲取單元����,用于獲取用戶訪問的網頁內容腳本標簽����; 第一處理單元,用于獲取所述腳本標簽對應的腳本內容可疑特征的危險值�;第二處理單元,用于獲取所述腳本語句位置的違規(guī)度�;分析檢測單元����,用于對所述腳本內容可疑特征的危險值和腳本語句位置的違規(guī)度進行 綜合分析以檢測所述用戶訪問的網頁是否存在存儲式跨站腳本攻擊。
7. 根據權利要求6所述的存儲式跨站腳本攻擊檢測裝置��,其特征在于���,所述第一處理單元��,包括匹配子單元��,用于將所獲取的腳本標簽對應的腳本內容特征和預先存儲的存儲式跨站腳本攻擊特征數據進行匹配����;危險值獲取子單元����,用于當所述腳本內容可疑特征匹配到對應的存儲式跨站腳本攻擊特征數據時,確定該腳本內容特征為腳本內容可疑特征��,按照預先設定的危險值對應策略����,確定該腳本內容可疑特征的危險值。
8. 根據權利要求6或7所述的存儲式跨站腳本攻擊檢測裝置,其特征在于����,所述第二處理單元包括合理性分析子單元,用于通過將所獲取的網頁內容腳本標簽所在層數和所述標簽中的父標簽與該標簽對應的內嵌腳本合理性向量進行關聯分析獲得該腳本語句位置的合理性分值��;違規(guī)度獲取子單元�,用于根據所述合理性分值,獲得所述腳本語句位置的違規(guī)度���。
9. 根據權利要求6或7所述的存儲式跨站腳本攻擊檢測裝置�����,其特征在于���,所述分析檢測單元包括計算單元,用于將對所述腳本內容可疑特征的危險值和腳本語句位置的違規(guī)度進行加權求和獲取存儲式跨站腳本攻擊可能性值�����;判斷單元�,用于當所得到的存儲式跨站腳本攻擊可能性值大于預先設定的門限值��,則判斷所述用戶訪問的網頁存在存儲式跨站腳本攻擊���。
10. —種攻擊檢測裝置�����,其特征在于���,包括接收單元�,用于接收服務器發(fā)送的網頁數據����;存儲式跨站腳本攻擊檢測單元,用于獲取所述網頁數據的網頁內容腳本標簽��;獲取所述腳本標簽對應的腳本內容可疑特征的危險值以及所述腳本語句位置的違規(guī)度��;對所述腳本內容特征的危險值和位置的違規(guī)度進行綜合分析以檢測所述用戶訪問的網頁是否存在存儲式跨站腳本攻擊�;發(fā)送單元,用于將所述存儲跨站腳本攻擊檢測單元的檢測結果發(fā)送給用戶終端��。
11. 一種存儲式跨站腳本攻擊的檢測系統(tǒng)�,其特征在于,包括用戶終端�,用于向服務器發(fā)送網頁訪問請求;服務器,用于存儲用戶訪問數據并響應用戶終端請求向用戶終端發(fā)送網頁數據�;攻擊檢測裝置,用于接收服務器發(fā)送的網頁數據�,獲取用戶訪問的網頁內容腳本標簽;獲取所述腳本標簽對應的腳本內容可疑特征的危險值以及所述腳本語句位置的違規(guī)度����;對所述腳本內容特征的危險值和位置的違規(guī)度進行綜合分析以檢測所述用戶訪問的網頁是否存在存儲式跨站腳本攻擊,并向所述用戶終端發(fā)送檢測結果信息�����。
全文摘要
本發(fā)明實施例所提供的存儲式跨站腳本攻擊的檢測方法�����、裝置及系統(tǒng)及攻擊檢測裝置�,可以通過對用戶從服務器上訪問的網頁內容所提取的腳本標簽結合標簽所對應的腳本內容及腳本語句位置來綜合判斷網頁是否存在存儲式跨站腳本的攻擊,防止攻擊者利用網頁腳本嵌入惡意代碼損害網絡安全��,有效提高了用戶終端網絡安全及可靠性���。
文檔編號H04L29/06GK101741645SQ20091026233
公開日2010年6月16日 申請日期2009年12月17日 優(yōu)先權日2009年12月17日
發(fā)明者鄒榮新 申請人:成都市華為賽門鐵克科技有限公司