[发明专利]XSS漏洞的检测方法、装置、设备及介质

权利要求书

1.一种XSS漏洞的检测方法，其特征在于，包括：

将第一请求包中的任一用户属性参数删除，并在被删除的所述用户属性参数的原先位置处添加对应的请求包标识，生成至少一个第二请求包，所述第一请求包是待检测全球广域网Web应用程序生成的，所述第一请求包包括至少一个用户属性参数；

将所述至少一个第二请求包发送给所述待检测Web应用程序对应的服务器；

接收所述服务器返回的至少一个第一响应包，在任一第一响应包中存在目标请求包标识时，从第一请求包中获取所述目标请求包标识对应的目标第一请求包，每个第一响应包是所述服务器根据一个第二请求包处理得到的；

将所述目标第一请求包中的目标请求包标识删除，并根据所述目标第一请求包中的参数组织形式，在所述目标第一请求包中添加可以使跨站脚本攻击XSS漏洞攻击成功的负载，生成目标请求包；

将所述目标请求包发送至所述服务器；

接收所述服务器返回的第二响应包，并控制所述待检测Web应用程序渲染所述第二响应包，获得第一检测结果，所述第一检测结果包括所述服务器存在XSS漏洞或所述服务器不存在XSS漏洞。

2.根据权利要求1所述的方法，其特征在于，所述控制所述待检测Web应用程序渲染所述第二响应包，获得第一检测结果，包括：

向所述待检测Web应用程序所在的终端设备发送渲染指令，所述渲染指令用于指示所述待检测Web应用程序对所述第二响应包进行渲染；

接收所述终端设备发送的第一检测结果，所述第一检测结果是所述待检测Web应用程序执行所述渲染指令后，根据渲染结果得到的。

3.根据权利要求1所述的方法，其特征在于，所述控制所述待检测Web应用程序渲染所述第二响应包，获得第一检测结果，包括：

控制所述待检测Web应用程序渲染所述第二响应包；

利用所述待检测Web应用程序中预先安装的浏览器插件获取所述文档对象模型DOM树的当前数据值；

在所述当前数据值与所述DOM树的原始数据不一致时，所述第一检测结果为所述服务器存在XSS漏洞；

在所述当前数据值与所述DOM树的原始数据一致时，所述第一检测结果为所述服务器不存在XSS漏洞。

4.根据权利要求3所述的方法，其特征在于，所述待检测Web应用程序中预先安装有代理插件，所述代理插件用于对所述待检测Web应用程序的超文本传输协议HTTP流量进行代理。

5.根据权利要求1所述的方法，其特征在于，所述接收所述服务器返回的至少一个第一响应包之后，所述方法还包括：

在任一第一响应包中均不存在请求包标识时，生成第二检测结果，所述第二检测结果用于指示所述服务器不存在XSS漏洞。

6.根据权利要求1所述的方法，其特征在于，所述遍历第一请求包中的用户属性参数之前，所述方法还包括：-

获取所述第一请求包。

7.根据权利要求6所述的方法，其特征在于，所述获取所述第一请求包，包括：

接收所述待检测Web应用程序发送的第一请求包；

或，

响应于用户对于所述待检测Web应用程序中控件的点击操作，生成第一请求包。

8.根据权利要求6所述的方法，其特征在于，所述方法还包括：

根据所述第一请求包中的数据的数据类型，获取所述第一请求包中的用户属性参数。