(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN110113311A(43)申请公布日2019.08.09(21)申请号201910285146.8(22)申请日2019.04.10(66)本国优先权数据201910163512.22019.03.05CN(71)申请人北京丁牛科技有限公司地址100016北京市朝阳区酒仙桥乙21号佳丽饭店一层B1010室(72)发明人姜海杨敬泽余伟强付寿海(74)专利代理机构北京林达刘知识产权代理事务所(普通合伙)11277代理人刘新宇(51)Int.Cl.H04L29/06(2006.01)G06F21/57(2013.01)权利要求书3页说明书14页附图9页(54)发明名称跨站脚本攻击XSS漏洞检测方法及装置(57)摘要本公开涉及一种跨站脚本攻击XSS漏洞检测方法及装置。所述方法应用于检测节点，包括：接收待检测统一资源定位符URL；获取待检测URL的请求方式以及待检测URL的类型；根据待检测URL的类型，使用探针构造第一URL；根据待检测URL的请求方式，利用第一URL进行XSS漏洞探测，确定未过滤的字符；根据未过滤的字符，向待检测URL中注入有效载荷payload，检测XSS漏洞。通过探针将待检测URL构造为第一URL进行XSS漏洞探测后，对探测的未过滤字符继续进行XSS漏洞检测，使得XSS漏洞的检测更有针对性，避免盲目注入payload，提高了XSS漏洞检测的效率。CN110113311ACN110113311A权利要求书1/3页1.一种跨站脚本攻击XSS漏洞检测方法，其特征在于，所述方法应用于检测节点，包括：接收待检测统一资源定位符URL；获取所述待检测URL的请求方式以及所述待检测URL的类型；根据所述待检测URL的类型，使用探针构造第一URL；根据所述待检测URL的请求方式，利用所述第一URL进行XSS漏洞探测，确定未过滤的字符；根据所述未过滤的字符，向待检测URL中注入有效载荷payload，检测XSS漏洞。2.根据权利要求1所述的方法，其特征在于，所述payload包括反射型payload和存储型payload。3.根据权利要求2所述的方法，其特征在于，所述反射型payload为用于改变所述待检测URL对应的页面中标签属性的代码；所述存储型payload为用于向XSS接收平台发送待检测URL存在XSS漏洞的代码；所述代码为JS代码或HTML代码。4.根据权利要求1所述的方法，其特征在于，根据所述未过滤的字符，向待检测URL中注入有效载荷payload，检测XSS漏洞，包括：根据所述未过滤的字符，在反射型payload中选择第一注入payload；利用所述第一注入Payload替换所述待检测URL中的参数，构造第二URL；使用第二URL重新发起请求；接收页面渲染完整的响应页面，分析所述响应页面中是否包含所述第一注入Payload来确定是否存在XSS漏洞。5.根据权利要求1所述的方法，其特征在于，根据所述未过滤的字符，向待检测URL中注入有效载荷payload，检测XSS漏洞，还包括：根据所述未过滤的字符，在存储型payload中选择第二注入payload；利用所述第二注入Payload替换所述待检测URL中的参数，构造第三URL；利用第三URL发起请求以使第三URL的请求信息被保存到数据库；其中，所述第三URL的请求信息被保存到数据库用于当所述第三URL的请求信息被执行时，能够发送存在XSS漏洞至XSS接收平台。6.根据权利要求3或5所述的方法，其特征在于，所述XSS接收平台设置于总调度平台中，其中，总调度平台与所述检测节点分布式部署。7.根据权利要求1所述的方法，其特征在于，所述检测节点采用Docker容器技术。8.根据权利要求7所述的方法，其特征在于，每一个Docker容器包括XSS检测系统和XSS检测系统的副本，其中，所述XSS检测系统的副本用于在XSS检测系统崩溃时，代替XSS检测系统进行XSS漏洞检测。9.根据权利要求4所述的方法，其特征在于，分析所述响应页面中是否包含所述第一注入Payload来确定是否存在XSS漏洞，包括：若分析所述响应页面中包含所述第一注入Payload，确定存在XSS漏洞；若分析所述响应页面中不包含所述第一注入Payload，确定不存在XSS漏洞。10.根据权利要求1所述的方法，其特征在于，所述方法还包括：获取待检测URL的标识符；根据标识符，确定所述待检测URL是否被检测；2CN110113311A权利要求书2/3页若所述待检测URL被检测，将检测结果发送至总调度平台；若所述待检测URL未被检测，重新检测该待检测URL。11.根据权利要求1所述的方法，其特征在于，所述URL的类型包括动态URL或伪静态URL。12