一種基于虛擬解析的漏洞檢測方法及其裝置

基本信息

申請?zhí)?/td> CN201710028970.6 申請日 -
公開(公告)號 CN106909846A 公開(公告)日 2017-06-30
申請公布號 CN106909846A 申請公布日 2017-06-30
分類號 G06F21/56 分類 計算;推算;計數(shù);
發(fā)明人 萬振華 申請(專利權)人 安徽開源互聯(lián)網(wǎng)安全技術有限公司
代理機構 北京一格知識產權代理事務所(普通合伙) 代理人 安徽開源互聯(lián)網(wǎng)安全技術有限公司;深圳開源互聯(lián)網(wǎng)安全技術有限公司;深圳市九州安域科技有限公司
地址 230000 安徽省合肥市高新區(qū)望江西路800號合肥創(chuàng)新產業(yè)園A4樓611室
法律狀態(tài) -

摘要

摘要 本發(fā)明公開了一種基于虛擬解析的漏洞檢測方法及裝置,其中,該方法包括:接收客戶端所發(fā)送的用戶請求;對用戶請求插入探針以獲取目標輸出點的上下文信息及目標輸出點的XPath;根據(jù)目標輸出點的上下文信息構造目標特征值;針對目標注入?yún)?shù),向Web服務器發(fā)送帶有目標特征值的檢測請求;接收Web服務器對檢測請求的第一響應結果;根據(jù)虛擬解析器對頁面源代碼進行解析以得到第一解析頁面;根據(jù)目標輸出點的XPath對第一解析頁面進行特征值檢測以得到XSS漏洞。本發(fā)明實施例提出了一種結合探針預檢測技術定位輸出點XPath,并在響應檢測階段通過XPath精確確認XSS漏洞的機制,從而提高了漏洞檢測的準確性。