一種交互XSS漏洞的檢測(cè)方法及其系統(tǒng)

基本信息

申請(qǐng)?zhí)?/td> CN201710186112.4 申請(qǐng)日 -
公開(公告)號(hào) CN107085686A 公開(公告)日 2017-08-22
申請(qǐng)公布號(hào) CN107085686A 申請(qǐng)公布日 2017-08-22
分類號(hào) G06F21/57(2013.01)I 分類 計(jì)算;推算;計(jì)數(shù);
發(fā)明人 萬(wàn)振華;徐瑞祝 申請(qǐng)(專利權(quán))人 安徽開源互聯(lián)網(wǎng)安全技術(shù)有限公司
代理機(jī)構(gòu) 深圳中一聯(lián)合知識(shí)產(chǎn)權(quán)代理有限公司 代理人 深圳市九州安域科技有限公司;深圳開源互聯(lián)網(wǎng)安全技術(shù)有限公司;安徽開源互聯(lián)網(wǎng)安全技術(shù)有限公司
地址 518000 廣東省深圳市龍華新區(qū)龍華辦事處清祥路清湖工業(yè)園寶能科技園7棟B座6樓J單位
法律狀態(tài) -

摘要

摘要 本發(fā)明適用于Web程序應(yīng)用領(lǐng)域,提供了一種交互XSS漏洞的檢測(cè)方法及其系統(tǒng)。所述方法包括:發(fā)送構(gòu)造的帶有特征值的檢測(cè)請(qǐng)求至Web服務(wù)器,并接收所述Web服務(wù)器返回的響應(yīng)頁(yè)面;解析預(yù)先在所述響應(yīng)頁(yè)面注入的DOM監(jiān)聽器,然后解析預(yù)先在所述響應(yīng)頁(yè)面注入的智能事件模擬器,以通過(guò)所述智能事件模擬器發(fā)現(xiàn)并自動(dòng)觸發(fā)所述響應(yīng)頁(yè)面的DOM結(jié)構(gòu)上的事件;根據(jù)所述DOM監(jiān)聽器的監(jiān)聽結(jié)果,判斷是否存在XSS漏洞。通過(guò)上述方法能夠通過(guò)智能事件模擬器的執(zhí)行達(dá)到識(shí)別并模擬用戶交互的效果,從而使XSS檢測(cè)工具將得到完整的DOM結(jié)構(gòu)。通過(guò)DOM監(jiān)聽器實(shí)現(xiàn)對(duì)響應(yīng)頁(yè)面的DOM結(jié)構(gòu)變化情況的實(shí)時(shí)監(jiān)聽,進(jìn)而實(shí)現(xiàn)對(duì)響應(yīng)頁(yè)面交互型XSS漏洞的成功檢測(cè)。