(19)国家知识产权局(12)发明专利申请(10)申请公布号CN115774873A(43)申请公布日2023.03.10(21)申请号202111052396.0(22)申请日2021.09.08(71)申请人深信服科技股份有限公司地址518055广东省深圳市南山区学苑大道1001号南山智园A1栋一层(72)发明人艾江俊黄忠强杨荣海(74)专利代理机构深圳市深佳知识产权代理事务所(普通合伙)44285专利代理师陈彦如(51)Int.Cl.G06F21/56(2013.01)G06F21/57(2013.01)G06F8/41(2018.01)权利要求书2页说明书7页附图3页(54)发明名称一种跨站脚本攻击的检测方法、装置、设备及存储介质(57)摘要本申请公开了一种跨站脚本攻击的检测方法、装置、电子设备及计算机可读存储介质，该方法包括：根据语法结构识别采用拆分结构的代码片段；采用拆分结构的代码片段中的代码指令被拆分为若干个字符串分别存储；将采用拆分结构的代码片段进行拼接还原以获取对应的代码指令；判断各代码片段中的代码指令是否与跨站脚本攻击的语句特征相匹配；将匹配的代码片段判定为跨站脚本攻击片段。本申请基于语法结构分析可识别出通过拆分变形而隐藏攻击特征的恶意代码，并通过对其进行拼接还原和攻击特征匹配检测而达到避免漏检的目的，有效提高了对跨站脚本攻击的检测精准率，保障了网络运行安全。CN115774873ACN115774873A权利要求书1/2页1.一种跨站脚本攻击的检测方法，其特征在于，包括：根据语法结构识别采用拆分结构的代码片段；采用拆分结构的代码片段中的代码指令被拆分为若干个字符串分别存储；将采用拆分结构的代码片段进行拼接还原以获取对应的代码指令；判断各代码片段中的代码指令是否与跨站脚本攻击的语句特征相匹配；将匹配的代码片段判定为跨站脚本攻击片段。2.根据权利要求1所述的检测方法，其特征在于，所述根据语法结构识别采用拆分结构的代码片段，包括：生成各代码片段分别对应的语法树；基于所述语法树进行语法结构解析以判断对应的代码片段是否采用拆分结构。3.根据权利要求1所述的检测方法，其特征在于，所述判断各代码片段中的代码指令是否与跨站脚本攻击的语句特征相匹配，包括：判断各代码片段中的代码指令是否包括如下内容中的任意一种或组合：弹窗函数语句、伪协议语句；若是，则判定对应代码片段中的代码指令与跨站脚本攻击的语句特征相匹配。4.根据权利要求1至3任一项所述的检测方法，其特征在于，在所述将匹配的代码片段判定为跨站脚本攻击片段之后，还包括：生成当前网页存在跨站脚本攻击注入的提示信息和日志记录。5.根据权利要求4所述的检测方法，其特征在于，在所述将匹配的代码片段判定为跨站脚本攻击片段之后，还包括：对所述跨站脚本攻击片段所请求执行的操作进行拦截。6.一种跨站脚本攻击的检测装置，其特征在于，包括：解析模块，用于根据语法结构识别采用拆分结构的代码片段；采用拆分结构的代码片段中的代码指令被拆分为若干个字符串分别存储；还原模块，用于将采用拆分结构的代码片段进行拼接还原以获取对应的代码指令；检测模块，用于判断各代码片段中的代码指令是否与跨站脚本攻击的语句特征相匹配；处理模块，用于将匹配的代码片段判定为跨站脚本攻击片段。7.根据权利要求6所述的检测装置，其特征在于，所述解析模块在根据语法结构识别采用拆分结构的代码片段时，具体用于：生成各代码片段分别对应的语法树；基于所述语法树进行语法结构解析以判断对应的代码片段是否采用拆分结构。8.根据权利要求6所述的检测装置，其特征在于，所述检测模块在判断各代码片段中的代码指令是否与跨站脚本攻击的语句特征相匹配时，具体用于：判断各代码片段中的代码指令是否包括如下内容中的任意一种或组合：弹窗函数语句、Javascript伪协议语句；若是，则判定对应代码片段中的代码指令与跨站脚本攻击的语句特征相匹配。9.一种电子设备，其特征在于，包括：存储器，用于存储计算机程序；2CN115774873A权利要求书2/2页处理器，用于执行所述计算机程序以实现如权利要求1至5任一项所述的跨站脚本攻击的检测方法的步骤。10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质中存储有计算机程序，所述计算机程序被处理器执行时用以实现如权利要求1至5任一项所述的跨站脚本攻击的检测方法的步骤。3CN115774873A说明书1/7页一种跨站脚本攻击的检测方法、装置、设备及存储介质技术领域[0001]本申请涉及网络安全技术领域，特别涉及一种跨站脚本攻击的检测方法、装置、电子设备及计算机可读存储介质。背景技术[0002]跨站脚本攻击(XSS)，是目前最普遍的Web应用安全漏洞之一。这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面中，当正