一種基于虛擬解析的漏洞檢測方法及其裝置

基本信息

申請?zhí)?/td> CN201710028970.6 申請日 -
公開(公告)號 CN106909846B 公開(公告)日 2020-04-24
申請公布號 CN106909846B 申請公布日 2020-04-24
分類號 G06F21/56 分類 計算;推算;計數(shù);
發(fā)明人 萬振華 申請(專利權(quán))人 安徽開源互聯(lián)網(wǎng)安全技術(shù)有限公司
代理機構(gòu) 深圳中一聯(lián)合知識產(chǎn)權(quán)代理有限公司 代理人 安徽開源互聯(lián)網(wǎng)安全技術(shù)有限公司;深圳市九州安域科技有限公司;深圳開源互聯(lián)網(wǎng)安全技術(shù)有限公司
地址 230000 安徽省合肥市高新區(qū)望江西路800號合肥創(chuàng)新產(chǎn)業(yè)園A4樓611室
法律狀態(tài) -

摘要

摘要 本發(fā)明公開了一種基于虛擬解析的漏洞檢測方法及裝置,其中,該方法包括:接收客戶端所發(fā)送的用戶請求;對用戶請求插入探針以獲取目標輸出點的上下文信息及目標輸出點的XPath;根據(jù)目標輸出點的上下文信息構(gòu)造目標特征值;針對目標注入?yún)?shù),向Web服務(wù)器發(fā)送帶有目標特征值的檢測請求;接收Web服務(wù)器對檢測請求的第一響應(yīng)結(jié)果;根據(jù)虛擬解析器對頁面源代碼進行解析以得到第一解析頁面;根據(jù)目標輸出點的XPath對第一解析頁面進行特征值檢測以得到XSS漏洞。本發(fā)明實施例提出了一種結(jié)合探針預(yù)檢測技術(shù)定位輸出點XPath,并在響應(yīng)檢測階段通過XPath精確確認XSS漏洞的機制,從而提高了漏洞檢測的準確性。