[发明专利]一种可动态判断XSS漏洞的自动化检测系统

摘要

一种可动态判断XSS漏洞的自动化检测系统，该系统由爬虫模块、动态漏洞检测模块以及用户交互界面组成。该软件系统引入了含有浏览器内核的库，可以模拟浏览器行为解析JavaScript和加载Ajax以得到页面中隐藏式注入点和交互点，并且通过静态分析页面结构找到非常规的Web提交请求方式。相比传统静态方法和不含有动态判断模块的方法大大提高了注入点识别的覆盖率。对注入点的测试使用黑盒方法，无需考虑服务器的内部逻辑，提交攻击向量后，通过模拟浏览器行为检测页面是否有异常情况出现，即能够检测浏览器是否执行了网页脚本，就可直接判断出当前注入点是否有漏洞，且更加准确。此外，该系统完全采用Python语言开发，具有易于维护和进行二次开发的特点。

主权项

一种可动态判断XSS漏洞的自动化检测系统，其特征在于：本系统主要分为爬虫模块、检测模块、用户界面模块三大模块，而这三大模块又包含了若干子模块以实现核心功能，其中：(1)爬虫模块强化了爬取页面和提取注入点的步骤，该模块使用Ghost.py作为浏览器引擎，采用深度优先爬虫，不断地循环抓取网页存入URL队列，直到将同域名下的页面全部访问完成，从而获取大量的页面以供检测模块进行检测；用于使用了浏览器引擎提供的API，该模块可以将页面动态加载完，并触发页面中的事件以获取JavaSricpt或Ajax生成的新的URL存入URL队列；对于单个页面，爬虫模块采用BeautifulSoup库进行解析，通过分析页面结构提取非格式化注入点，并用数据结构Form类和Input类保存注入点，用于之后的测试；(2)漏洞检测模块强化了进行攻击测试和分析结果的步骤，该模块包含多个自动化动态检测模块对非格式化注入点和一般注入点进行攻击向量提交，以及一个自动化动态判断模块用于分析结果，它们同样使用Ghost.py作为浏览器引擎；自动化动态检测模块对化注入点采用的攻击向量为经过设计后多种可以绕过XSS检验的攻击向量(表1)；表1 一些经过设计的攻击向量这些经过设计的攻击向量提交后，执行结果交由自动化动态判断模块来判断，它能够动态判断页面返回后的行为；首先，该系统借助了第三方服务器，如果攻击向量中含有对该服务器的请求(测试时采用的均为非恶意的请求)，则系统会自动分析第三方服务器的状态，判断返回页面是否执行了这一请求，如果执行了，则注入点存在XSS漏洞；其次，该系统通过调用浏览器内核的API，可以检测网页是否执行了JavaScript脚本；如果页面会执行了一个弹出提醒框的脚本，其内容为系统预先设定好的，则可以判断出当前注入点是存在漏洞的；相比传统方法，该系统的检测模块对漏洞的判断更加准确，几乎不会出现误报的现象。