網(wǎng)站xss漏洞檢測(cè)方法和設(shè)備的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，具體而言，涉及一種網(wǎng)站XSS漏洞檢測(cè)方法和一種網(wǎng)站XSS漏洞檢測(cè)設(shè)備。
【背景技術(shù)】
[0002]XSS即跨站腳本攻擊，當(dāng)網(wǎng)站存在XSS漏洞時(shí)，攻擊者就可以將代碼植入到網(wǎng)站的頁(yè)面中，例如像網(wǎng)站的頁(yè)面里插入惡意html代碼，當(dāng)用戶瀏覽該頁(yè)面時(shí)，嵌入網(wǎng)頁(yè)中的html代碼會(huì)被執(zhí)行，這些代碼包括HTML代碼和客戶端腳本，攻擊者利用XSS漏洞旁路掉訪問(wèn)控制，從而達(dá)到惡意攻擊用戶的特殊目的。
[0003]XSS漏洞問(wèn)題會(huì)進(jìn)一步導(dǎo)致用戶數(shù)據(jù)的安全問(wèn)題。因此，網(wǎng)站訪問(wèn)者希望了解網(wǎng)站的安全程度，自然地傾向于使用較為安全的網(wǎng)站，而網(wǎng)站管理者更希望能夠及時(shí)修復(fù)漏洞，克服其網(wǎng)站的安全問(wèn)題，為網(wǎng)站訪問(wèn)者提供更加安全的瀏覽平臺(tái)。
[0004]現(xiàn)有技術(shù)中，對(duì)于網(wǎng)站安全的檢測(cè)，通常是借助掃描器通過(guò)爬蟲(chóng)技術(shù)去主動(dòng)抓取網(wǎng)頁(yè)，并針對(duì)所抓取的網(wǎng)頁(yè)進(jìn)行安全性測(cè)試?；谶@種主動(dòng)抓取的思想檢測(cè)網(wǎng)站漏洞的XSS方法則是通過(guò)向網(wǎng)站發(fā)送測(cè)試包，然后等待響應(yīng)，以確定網(wǎng)站是否存在漏洞。但是，這種發(fā)包等響應(yīng)的方式需要特定的條件才能完成檢測(cè)，例如添加測(cè)試腳本的網(wǎng)頁(yè)并不一定會(huì)被顯示或者立即顯示，這就導(dǎo)致現(xiàn)有技術(shù)中檢測(cè)漏洞無(wú)法完全覆蓋。
[0005]另外，現(xiàn)有技術(shù)中的XSS漏洞檢測(cè)通過(guò)定時(shí)或者用戶手動(dòng)觸發(fā)的方式去執(zhí)行發(fā)包操作以及響應(yīng)分析，這種檢測(cè)方式一方面由于人為主觀因素的存在，難以精準(zhǔn)地根據(jù)響應(yīng)確定漏洞的具體情況和參數(shù)，另一方面由于在檢測(cè)網(wǎng)站的數(shù)據(jù)量較大，手動(dòng)發(fā)包和分析響應(yīng)難以及時(shí)有效地完成測(cè)試。

【發(fā)明內(nèi)容】

[0006]本發(fā)明的目的在于克服上述問(wèn)題的一個(gè)或多個(gè)方面，而提供一種網(wǎng)站XSS漏洞檢測(cè)方法和設(shè)備。
[0007]為實(shí)現(xiàn)本發(fā)明的目的，本發(fā)明采取如下技術(shù)方案:
[0008]本發(fā)明提供的一種網(wǎng)站XSS漏洞檢測(cè)方法，包括:
[0009]獲取網(wǎng)站待檢測(cè)的鏈接；
[0010]在所述待檢測(cè)的鏈接中加入XSS測(cè)試字符串形成測(cè)試鏈接，其中，所述測(cè)試字符串中包括遠(yuǎn)程訪問(wèn)代碼，所述遠(yuǎn)程訪問(wèn)代碼執(zhí)行時(shí)向指定地址發(fā)送訪問(wèn)請(qǐng)求；
[0011 ] 根據(jù)所述測(cè)試鏈接發(fā)送超文本傳輸協(xié)議請(qǐng)求；
[0012]如果指定地址獲取到來(lái)自所述網(wǎng)站的訪問(wèn)請(qǐng)求，則確定所述網(wǎng)站存在XSS漏洞。
[0013]優(yōu)選地，所述獲取網(wǎng)站待檢測(cè)的鏈接包括:
[0014]獲取用戶指定網(wǎng)站的鏈接以及與指定網(wǎng)站相關(guān)聯(lián)的其他鏈接。
[0015]優(yōu)選地，所述獲取網(wǎng)站待檢測(cè)的鏈接包括:
[0016]通過(guò)旁路偵聽(tīng)而獲得的超文本傳輸協(xié)議請(qǐng)求包；利用所述請(qǐng)求包所包含的鏈接確定屬于已知特定網(wǎng)站的關(guān)聯(lián)新鏈接；
[0017]將所述關(guān)聯(lián)新鏈接作為待檢測(cè)的鏈接。
[0018]根據(jù)本發(fā)明實(shí)施例之一所揭示，所述在所述待檢測(cè)的鏈接中加入XSS測(cè)試字符串形成測(cè)試鏈接包括:
[0019]識(shí)別出所述待檢測(cè)的鏈接參數(shù)部分，在所述參數(shù)部分加入XSS測(cè)試字符串，以形成測(cè)試鏈接。
[0020]根據(jù)本發(fā)明實(shí)施例之一所揭示，所述指定地址獲取到來(lái)自所述網(wǎng)站的訪問(wèn)請(qǐng)求包括:
[0021]所述指定地址接收到來(lái)自所述網(wǎng)站發(fā)送的超文本傳輸協(xié)議請(qǐng)求；
[0022]或者
[0023]所述指定地址的腳本程序被所述網(wǎng)站執(zhí)行。
[0024]優(yōu)選地，所述方法包括后續(xù)步驟:顯示圖形用戶界面以輸出XSS漏洞的具體信息。
[0025]本發(fā)明提出的一種網(wǎng)站XSS漏洞檢測(cè)設(shè)備，包括:
[0026]獲取單元，用于獲取網(wǎng)站待檢測(cè)的鏈接；
[0027]添加單元，用于在所述待檢測(cè)的鏈接中加入XSS測(cè)試字符串形成測(cè)試鏈接，
[0028]其中，所述測(cè)試字符串中包括遠(yuǎn)程訪問(wèn)代碼，所述遠(yuǎn)程訪問(wèn)代碼執(zhí)行時(shí)向指定地址發(fā)送訪問(wèn)請(qǐng)求，所述網(wǎng)站根據(jù)所述測(cè)試鏈接發(fā)送超文本傳輸協(xié)議請(qǐng)求；
[0029]接收單元，用于接收訪問(wèn)請(qǐng)求，當(dāng)通過(guò)所述指定地址獲取到來(lái)自所述網(wǎng)站的訪問(wèn)請(qǐng)求，則確定所述網(wǎng)站存在XSS漏洞。
[0030]優(yōu)選地，還包括:
[0031]指令單元，用于接收并解析用戶輸入指令，以確定用戶指定網(wǎng)站的鏈接，
[0032]其中，所述獲取單元用于獲取用戶指定網(wǎng)站的鏈接以及與指定網(wǎng)站相關(guān)聯(lián)的其他鏈接。
[0033]根據(jù)本發(fā)明實(shí)施例之一所揭示，所述獲取單元包括:
[0034]監(jiān)聽(tīng)子單元，用于通過(guò)旁路偵聽(tīng)而獲得的超文本傳輸協(xié)議請(qǐng)求包；
[0035]確定子單元，用于利用所述請(qǐng)求包所包含的鏈接確定屬于已知特定網(wǎng)站的關(guān)聯(lián)新鏈接，將所述關(guān)聯(lián)新鏈接作為待檢測(cè)的鏈接。
[0036]根據(jù)本發(fā)明實(shí)施例之一所揭示，所述添加單元包括:
[0037]識(shí)別子單元，用于識(shí)別出所述待檢測(cè)的鏈接參數(shù)部分；
[0038]字符串子單元，用于在所述參數(shù)部分加入XSS測(cè)試字符串，以形成測(cè)試鏈接。
[0039]優(yōu)選地，所述接收單元通過(guò)指定地址接收到來(lái)自所述網(wǎng)站發(fā)送的超文本傳輸協(xié)議請(qǐng)求，或在所述指定地址的腳本程序被所述網(wǎng)站執(zhí)行時(shí)，通過(guò)所述指定地址獲取到來(lái)自所述網(wǎng)站的訪問(wèn)請(qǐng)求。
[0040]優(yōu)選地，該設(shè)備還包括:顯示單元，用于顯示XSS漏洞的具體信息。
[0041]相較于現(xiàn)有技術(shù)，本發(fā)明至少具有如下優(yōu)點(diǎn):
[0042]1、本發(fā)明能夠向待測(cè)試的鏈接添加測(cè)試字符串來(lái)形成測(cè)試鏈接，并通過(guò)指定地址獲取測(cè)試字符串中遠(yuǎn)程訪問(wèn)代碼執(zhí)行時(shí)發(fā)送的訪問(wèn)請(qǐng)求，由于添加測(cè)試字符串的待測(cè)試鏈接包括網(wǎng)站的所有鏈接，或用戶指定的部分鏈接，為每個(gè)鏈接可以分別添加一個(gè)測(cè)試字符串，從而在其中任意一個(gè)鏈接對(duì)應(yīng)網(wǎng)頁(yè)被顯示時(shí)，指定地址就可以接收到網(wǎng)站的訪問(wèn)請(qǐng)求，從而確定網(wǎng)站存在XSS漏洞。無(wú)需為指定鏈接發(fā)包來(lái)等待指定鏈接的響應(yīng)，從而實(shí)現(xiàn)大范圍鏈接的漏洞檢測(cè)。
[0043]2、本發(fā)明中的XSS測(cè)試字符串的添加和XSS漏洞的判定都由程序?qū)崿F(xiàn)，一方面無(wú)需人工添加測(cè)試字符串，節(jié)約了人力資源的同時(shí)，保證了對(duì)大量鏈接測(cè)試的實(shí)現(xiàn)，另一方面無(wú)需人工判定漏洞，能夠更加準(zhǔn)確且全面地對(duì)漏洞進(jìn)行檢測(cè)和評(píng)估。
[0044]3、本發(fā)明通過(guò)旁路偵聽(tīng)的方式，可以從網(wǎng)站接收交換機(jī)的數(shù)據(jù)，借助交換機(jī)獲取接入該交換機(jī)的架設(shè)有已知特定網(wǎng)站的服務(wù)器即將收到的請(qǐng)求包。從而對(duì)于無(wú)論是通過(guò)本機(jī)監(jiān)聽(tīng)網(wǎng)卡而獲取所述的請(qǐng)求包，還是由其他設(shè)備監(jiān)聽(tīng)網(wǎng)卡獲取所述的請(qǐng)求包后匯聚到本機(jī)，本發(fā)明均能對(duì)這些請(qǐng)求包進(jìn)行集中的后續(xù)處理，確定出這些請(qǐng)求包中的新鏈接，然后針對(duì)這些新鏈接所指向的網(wǎng)頁(yè)實(shí)施漏洞掃描。一方面實(shí)現(xiàn)了明確針對(duì)已知特定網(wǎng)站篩選新鏈接實(shí)施掃描，另一方面避免出現(xiàn)定時(shí)或不定時(shí)掃描所形成的時(shí)間空檔期間造成的漏掃描而可能出現(xiàn)的安全事故，為網(wǎng)絡(luò)管理者提供了更為有效的漏洞檢測(cè)技術(shù)工具。
[0045]4、本發(fā)明允許用戶根據(jù)實(shí)際情況指定需要檢測(cè)漏洞的網(wǎng)站，具體可以通過(guò)圖形用戶界面添加已知特定網(wǎng)站，并且，在漏洞掃描后還能進(jìn)行相應(yīng)的警示，具有非常強(qiáng)的交互性和較為優(yōu)異的人機(jī)交互效果。
[0046]綜上所述，本發(fā)明實(shí)現(xiàn)了更加全面、高效且智能的網(wǎng)站安全檢測(cè)技術(shù)方案。
[0047]上述說(shuō)明僅是本發(fā)明技術(shù)方案的概述，為了能夠更清楚了解本發(fā)明的技術(shù)手段，而可依照說(shuō)明書(shū)的內(nèi)容予以實(shí)施，并且為了讓本發(fā)明的上述和其它目的、特征和優(yōu)點(diǎn)能夠更明顯易懂，以下特舉本發(fā)明的【具體實(shí)施方式】。
【附圖說(shuō)明】
[0048]通過(guò)參考附圖會(huì)更加清楚的理解本發(fā)明的特征和優(yōu)點(diǎn)，附圖是示意性的而不應(yīng)理解為對(duì)本發(fā)明進(jìn)行任何限制，在附圖中:
[0049]圖1示出了根據(jù)本發(fā)明一個(gè)實(shí)施例的網(wǎng)站XSS漏洞檢測(cè)方法流程示意圖；
[0050]圖2示出了根據(jù)本發(fā)明一個(gè)實(shí)施例的獲取網(wǎng)站待檢測(cè)的鏈接的具體流程示意圖；
[0051]圖3示出了根據(jù)本發(fā)明一個(gè)實(shí)施例的在待檢測(cè)的鏈接中加入XSS測(cè)試字符串形成測(cè)試鏈接的具體流程示意圖；
[0052]圖4示出了根據(jù)本發(fā)明一個(gè)實(shí)施例的網(wǎng)站XSS漏洞檢測(cè)設(shè)備的示意框圖。
【具體實(shí)施方式】
[0053]為了能夠更清楚地理解本發(fā)明的上述目的、特征和優(yōu)點(diǎn)，下面結(jié)合附圖和【具體實(shí)施方式】對(duì)本發(fā)明進(jìn)行進(jìn)一步的詳細(xì)描述。需要說(shuō)明的是，在不沖突的情況下，本申請(qǐng)的實(shí)施例及實(shí)施例中的特征可以相互組合。
[0054]在下面的描述中闡述了很多具體細(xì)節(jié)以便于充分理解本發(fā)明，但是，本發(fā)明還可以采用其他不同于在此描述的其他方式來(lái)實(shí)施，因此，本發(fā)明的保護(hù)范圍并不受下面公開(kāi)的具體實(shí)施例的限制。
[0055]本技術(shù)