[发明专利]一种漏洞检测方法及其装置

说明书

技术领域

本发明涉及Web应用测试技术领域，尤其涉及一种漏洞检测方法及其装置。

背景技术

近年来，随着Web应用的广泛使用，Web安全问题也日益突出。其中，XSS（Cross-site scripting，跨站脚本攻击）漏洞已成为Web应用程序中最常见的漏洞之一，因此，对XSS漏洞的自动化检测也成为了一项重要的技术。

目前，一般采用XSS检测工具来检测XSS漏洞，其具体过程如下：（1）XSS检测工具捕获客户端（浏览器）所发送的http请求；（2）XSS检测工具构造带有特征值的请求；（3）XSS检测工具将带有特征值的请求发送至Web服务器，Web服务器响应该请求；（4）XSS检测工具在该请求响应的页面源代码中检测特征值，若在某处检测到特征值，则认为此处为一个XSS漏洞。

进一步地，随着Web 2.0技术的发展，Web应用的页面不仅具有展示静态内容的功能，还具有与用户进行交互的功能。其中，这些交互功能通常通过在Web页面嵌入大量JavaScript和CSS脚本来实现。具体地，通过执行嵌入的JavaScript和CSS脚本，可以动态的增加、删除和修改各种Web页面元素。然而，上述漏洞检测方法由于仅仅检测了请求响应的源代码，这部分动态生成的页面元素由于页面中的JavaScript和CSS脚本没有执行而无法被检测，即无法检测动态页面生成元素的XSS漏洞。

发明内容

本发明所要解决的技术问题是：提供一种漏洞检测方法，以检测出动态页面生成元素的XSS漏洞。

为解决上述技术问题，本发明采用的技术方案如下：

提供一种漏洞检测方法，包括：

接收Web服务器对处理请求的响应结果，该处理请求包括特征值，该响应结果包括页面源代码；

根据虚拟解析器对页面源代码进行解析以得到解析结果，该解析结果包括html页面；

对html页面进行特征值检测以得到XSS漏洞，该XSS漏洞对应于动态页面生成元素；其中，动态页面指的是执行JavaScript脚本和CSS脚本后的页面。

具体地，该XSS漏洞包括JavaScript脚本和CSS脚本执行后生成的漏洞。

可选地，接收Web服务器对处理请求的响应结果之后，该方法还包括：

对页面源代码进行特征值检测以得到XSS漏洞，该XSS漏洞对应于静态页面生成元素。其中，静态页面指的是未执行JavaScript脚本和CSS脚本的页面。

较佳地，接收Web服务器对处理请求的响应结果之前，该方法还包括：

接收客户端所发送的用户请求，并将用户请求发送至Web服务器；

接收Web服务器对用户请求的响应结果；

构造处理请求，并将处理请求发送至Web服务器。

具体地，该用户请求包括http请求。

相应地，本发明还提供了一种漏洞检测装置，包括：

接收模块，用于接收Web服务器对处理请求的响应结果，该处理请求包括特征值，该响应结果包括页面源代码；

解析模块，用于根据虚拟解析器对页面源代码进行解析以得到解析结果，该解析结果包括html页面；以及

检测模块，用于对html页面进行特征值检测以得到XSS漏洞，该XSS漏洞对应于动态页面生成元素。其中，动态页面指的是执行JavaScript脚本和CSS脚本后的页面。

具体地，该XSS漏洞包括JavaScript脚本和CSS脚本执行后生成的漏洞。

可选地，接收Web服务器对处理请求的响应结果之后，该检测模块还用于：

对页面源代码进行特征值检测以得到XSS漏洞，该XSS漏洞对应于静态页面生成元素。其中，静态页面指的是未执行JavaScript脚本和CSS脚本的页面。

较佳地，接收Web服务器对处理请求的响应结果之前，该接收模块还用于：

接收客户端所发送的用户请求，并将用户请求发送至Web服务器；

接收Web服务器对用户请求的响应结果；

该漏洞检测装置还包括构造模块，用于构造处理请求并将处理请求发送至Web服务器。

具体地，该用户请求包括http请求。