[发明专利]XSS漏洞的检测方法、装置、设备及介质

说明书

本申请提供一种XSS漏洞的检测方法、装置、设备及介质，通过将第一请求包中的任一用户属性参数删除，并在被删除的用户属性参数的原先位置处添加对应的请求包标识，生成至少一个第二请求包并发送至服务器，接收服务器返回的至少一个第一响应包，在任一第一响应包中存在目标请求包标识时，获取目标请求包标识对应的目标第一请求包，将目标第一请求包中的目标请求包标识删除，并根据目标第一请求包中的参数组织形式，在目标第一请求包中添加可以使跨站脚本攻击XSS漏洞攻击成功的负载，生成目标请求包并发送至服务器，接收服务器返回的第二响应包，控制待检测Web应用程序渲染第二响应包，获得第一检测结果。本申请提高了用户的体验感受。

技术领域

本申请涉及网络安全技术领域，尤其涉及一种XSS漏洞的检测方法、装置、设备及介质。

背景技术

跨站脚本攻击(Cross-site scripting，XSS)是一种安全漏洞，攻击者可以利用XSS漏洞在网站上注入恶意的客户端代码。当用户(受害者)登陆该网站时，客户端就会自动运行这些恶意代码，攻击者可以突破网站的访问权限，对受害者采取资源窃取、会话劫持、钓欺骗等各种攻击，从而达到冒充受害者的目的。因此，对网站中的XSS漏洞进行检测，是至关重要的。

现有技术中，对网站中的XSS漏洞进行检测主要通过抓取超文本传输协议(HyperText Transfer Protocol，HTTP)协议的全球广域网(World Wide Web，Web)页面，然后对Web页面进行解析，以获取Web页面对应的文档对象模型(Document Object Model，DOM)树；同时，提取Web页面中的嵌入式的URL链接及调用参数，根据统一资源定位系统(uniformresource locator，URL)链接及调用参数传递，检索对应的外部JavaScript文件集，以获取相关请求信息的脚本内容；之后，检索服务器返回的HTTP响应信息，获取相关的脚本集，将获取到的响应信息中的脚本集和从URL链接中检索到的请求信息中的脚本集进行相似性检测，通过是否检测到相似性来判断是否存在XSS漏洞。

然而，现有技术需要单独收集URL链接，在用户正常访问网站时无法无感的对网站进行XSS漏洞检测，可能存在用户体验较差的问题。

发明内容

本申请提供一种XSS漏洞的检测方法、装置、设备及介质，以解决在用户正常访问网站时无法无感的对网站进行XSS漏洞检测，存在用户体验较差的问题。

第一方面，本申请实施例提供一种XSS漏洞的检测方法，包括：

将第一请求包中的任一用户属性参数删除，并在被删除的所述用户属性参数的原先位置处添加对应的请求包标识，生成至少一个第二请求包，所述第一请求包是待检测全球广域网Web应用程序生成的，所述第一请求包包括至少一个用户属性参数；

将所述至少一个第二请求包发送给所述待检测Web应用程序对应的服务器；

接收所述服务器返回的至少一个第一响应包，在任一第一响应包中存在目标请求包标识时，从第一请求包中获取所述目标请求包标识对应的目标第一请求包，每个第一响应包是所述服务器根据一个第二请求包处理得到的；

将所述目标第一请求包中的目标请求包标识删除，并根据所述目标第一请求包中的参数组织形式，在所述目标第一请求包中添加可以使跨站脚本攻击XSS漏洞攻击成功的负载，生成目标请求包；

将所述目标请求包发送至所述服务器；

接收所述服务器返回的第二响应包，并控制所述待检测Web应用程序渲染所述第二响应包，获得第一检测结果，所述第一检测结果包括所述服务器存在XSS漏洞或所述服务器不存在XSS漏洞。

在第一方面的一种可能设计中，所述控制所述待检测Web应用程序渲染所述第二响应包，获得第一检测结果，包括：