[发明专利]一种基于虚拟解析的漏洞检测方法及其装置

说明书

本发明公开了一种基于虚拟解析的漏洞检测方法及装置，其中，该方法包括：接收客户端所发送的用户请求；对用户请求插入探针以获取目标输出点的上下文信息及目标输出点的XPath；根据目标输出点的上下文信息构造目标特征值；针对目标注入参数，向Web服务器发送带有目标特征值的检测请求；接收Web服务器对检测请求的第一响应结果；根据虚拟解析器对页面源代码进行解析以得到第一解析页面；根据目标输出点的XPath对第一解析页面进行特征值检测以得到XSS漏洞。本发明实施例提出了一种结合探针预检测技术定位输出点XPath，并在响应检测阶段通过XPath精确确认XSS漏洞的机制，从而提高了漏洞检测的准确性。

技术领域

本发明涉及Web应用测试技术领域，尤其涉及一种基于虚拟解析的漏洞检测方法及其装置。

背景技术

近年来，随着Web应用的广泛使用，Web安全问题也日益突出。其中，XSS（Cross-site scripting，跨站脚本攻击）漏洞已成为Web应用程序中最常见的漏洞之一，因此，对XSS漏洞的自动化检测也成为了一项重要的技术。

目前，一般采用XSS检测工具来检测XSS漏洞，其具体过程如下：（1）XSS检测工具捕获客户端（浏览器）所发送的http请求；（2）XSS检测工具构造带有特征值的请求；（3）XSS检测工具将带有特征值的请求发送至Web服务器，Web服务器响应该请求；（4）XSS检测工具在该请求响应的页面源代码中检测特征值，若在某处检测到特征值，则认为此处为一个XSS漏洞。

但是，上述漏洞检测方法中未对可能的XSS输出点进行定位，从而检测的准确性较低。

发明内容

本发明实施例所要解决的技术问题是：提供一种基于虚拟解析的漏洞检测方法，以提高检测的准确性。

为解决上述技术问题，本发明实施例采用的技术方案如下：

提供一种基于虚拟解析的漏洞检测方法，包括：

接收客户端所发送的用户请求；

对所述用户请求插入探针以获取目标注入参数、目标输出点、所述目标输出点的上下文信息及所述目标输出点的XPath；

根据所述目标输出点的上下文信息构造目标特征值；

针对所述目标注入参数，向Web服务器发送带有所述目标特征值的检测请求；

接收所述Web服务器对所述检测请求的第一响应结果，所述第一响应结果包括页面源代码；

根据虚拟解析器对所述页面源代码进行解析以得到第一解析页面；

根据所述目标输出点的XPath对所述第一解析页面进行特征值检测以得到XSS漏洞。

具体地，所述用户请求中包括至少一个参数，对所述用户请求插入探针以获取目标注入参数、目标输出点、所述目标输出点的上下文信息及所述目标输出点的XPath具体包括：

对每一个所述参数构造所述探针并发送带有所述探针的第一请求至Web服务器，且所述探针具有唯一性；

接收所述Web服务器针对所述第一请求的第二响应结果，并根据所述第二响应结果获取所述目标注入参数、目标输出点、所述目标输出点的上下文信息及所述目标输出点的XPath。

可选地，所述第二响应结果包括页面源代码，根据所述第二响应结果获取所述目标注入参数、目标输出点、所述目标输出点的上下文信息及所述目标输出点的XPath具体包括：

检测所述页面源代码中是否存在所述探针；