| 发明名称 | XSS漏洞检测方法、系统和Web服务器 | ||
| 摘要 | 本发明公开了一种XSS漏洞检测方法、系统和Web服务器,其中XSS漏洞检测方法包括随机生成第一特征字符串,并请求网页;在获得的第一网页正文中检测到第一特征字符串时,生成第二特征字符串,并再次请求所述网页;获取各个网页正文的DOM树;筛选并触发各个具有数据交互的DOM对象的脚本事件;记录出现所述第一特征字符串数据位置以及被滤除的特殊符号;将所述第二特征字符串、数据位置和被滤除的特殊符号组合为测试数据;将所述测试数据通过XSS漏洞检测方式进行XSS漏洞检测。本发明还提供一种使用所述方法的XSS漏洞检测系统和Web服务器。本发明的XSS漏洞检测方法和系统提高了XSS漏洞检测效率和准确性。 | ||
| 申请公布号 | CN104836779A | 申请公布日期 | 2015.08.12 |
| 申请号 | CN201410049088.6 | 申请日期 | 2014.02.12 |
| 申请人 | 携程计算机技术(上海)有限公司 | 发明人 | 王笑天;罗启武;董晓琼 |
| 分类号 | H04L29/06(2006.01)I;H04L12/26(2006.01)I;H04L29/08(2006.01)I;G06F21/56(2013.01)I | 主分类号 | H04L29/06(2006.01)I |
| 代理机构 | 上海弼兴律师事务所 31283 | 代理人 | 薛琦;王聪 |
| 主权项 | 一种XSS漏洞检测方法,其特征在于,所述XSS漏洞检测方法包括以下步骤:随机生成一第一特征字符串,将所述第一特征字符串填充至一GET参数中,并请求网页;获得的网页正文作为第一网页正文后,在检测到所述第一网页正文中包含所述第一特征字符串时,生成包含一组特殊符号的一第二特征字符串,并将所述第二特征字符串填充至所述GET参数中,并再次请求网页;将再次获得的网页正文作为第二网页正文后,通过QTwebkit的API接口获取第一网页正文和第二网页正文的DOM树;分别遍历第一网页正文和第二网页正文的DOM树的各个DOM对象节点,筛选出具有数据交互的DOM对象,并通过QTwebkit的API接口触发各个具有数据交互的DOM对象的脚本事件;遍历第一网页正文和第二网页正文中DOM树的各个DOM对象节点,并记录第一网页正文中所有出现所述第一特征字符串的DOM对象节点的数据位置以及记录第二网页正文中对应于第一网页正文中出现所述第一特征字符串的各个DOM对象节点中被滤除的特殊符号;将所述第二特征字符串、数据位置和被滤除的特殊符号组合为多组包括所述第二特征字符串以及至少一个数据位置和一个被滤除的特殊符号的测试数据;将各组测试数据加入XSS漏洞检测的测试用例,并通过XSS漏洞检测方式对根据网页请求获得的网页正文进行XSS漏洞检测。 | ||
| 地址 | 200335 上海市长宁区福泉路99号携程网络技术大楼 | ||