技術領域

本發明涉及一種惡意注入腳本網頁檢測方法，屬于計算機網絡技術領域。?

背景技術

隨著互聯網技術和Web技術的發展，Web不再只為互聯網用戶提供靜態內容服務，而可以根據用戶需要提供各種動態Web內容服務。由于Web服務具有易部署和易用等優點，現在很多傳統客戶機/服務器模式的應用都開始轉變成基于Web的應用，包括那些對安全要求非常高的電子銀行和電子證券等應用。?

Web應用在為人們的生活和工作帶來便利的同時，也帶來了很多安全問題，而腳本注入攻擊事件為這些安全問題中最主要的安全問題。腳本注入攻擊存在的根源在于：Web應用程序代碼存在缺陷，它未能對用戶輸入數據進行嚴格檢查和過濾，以至于惡意攻擊者可以通過用戶輸入域注入惡意腳本，這些注入的惡意腳本通過Web應用提供的動態內容網頁呈現給受害者Web瀏覽器執行，從而達到偷取受害者敏感數據或者在受害者安全上下文環境下執行惡意動作等目的。據國際著名Web安全開放組織OWASP統計，2007年，腳本注入攻擊事件(包括跨站腳本攻擊事件，它屬于腳本注入攻擊范疇)居于十大Web安全事件之首。從國際漏洞庫組織CVE庫2002年至2007年關于腳本注入攻擊事件的統計來看，腳本注入攻擊安全事件的發生頻率正呈逐年增長趨勢。?

腳本注入攻擊漏洞存在的根源在于Web應用實現上的缺陷，而這些編程缺陷不可能完全避免，因此，需要借助專用的Web應用安全漏洞掃描工具來幫助找到Web應用中潛在的腳本注入攻擊安全漏洞并在被黑客利用前通過代碼補丁方式修補安全漏洞。但是，Web應用安全漏洞掃描工具并不能夠發現所有的腳本注入攻擊安全漏洞，并且，對于那些已被黑客利用腳本注入安全漏洞產生的包含惡意注入腳本的動態內容網頁，Web服務安全漏洞掃描工具也無法檢測出?來。?

發明內容

本發明提供一種惡意注入腳本網頁檢測方法。本發明所述的惡意注入腳本網頁檢測方法和系統克服了傳統Web安全漏洞掃描方法和系統只能發現包含腳本注入漏洞缺陷的網頁而無法發現那些已被黑客利用腳本注入漏洞成功注入惡意腳本的動態內容網頁的缺陷，是對現有Web網站信息安全風險評估方法和系統的有利補充。本發明所述的惡意注入腳本網頁檢測方法和系統的基本檢測原理是：絕大多數成功的腳本注入攻擊都將改變其動態內容網頁模板的文檔對象模型結構，如果能夠成功提取各動態內容網頁模板，則通過將動態內容網頁文檔對象模型結構與網頁模板相比對，可檢測出該動態內容網頁是否包含惡意注入腳本。?

本發明解決其技術問題所采用的技術方案是：?

一種惡意注入腳本網頁檢測方法，所述的惡意注入腳本網頁檢測方法包括以下步驟：?

使用網頁爬蟲遍歷并下載被掃描網站所有網頁的步驟；?

對下載網頁進行聚類分析并提取網頁簇模板的步驟；?

利用網頁簇模板檢測簇中各網頁是否包含惡意注入腳本的步驟。?

優選地，所述的惡意注入腳本網頁檢測方法之對下載網頁進行聚類分析并提取網頁簇模板的步驟包括以下步驟：?

對下載的網頁集合進行預處理，過濾掉那些與靜態Web對象請求相關的網頁，只保留那些與動態Web對象請求相關的動態內容網頁；?

根據網頁統一資源定位符對動態內容網頁進行聚類，得到聚類后的動態內容網頁簇；?

對于每一動態內容網頁簇，提取其所共有的文檔對象模型樹作為該動態內容網頁簇模板。?

優選地，所述的惡意注入腳本網頁檢測方法之利用網頁簇模板檢測簇中各網頁是否包含惡意注入腳本的步驟包括以下步驟：?

對于每一動態內容網頁簇，將簇中每一動態網頁轉換為文檔對象模型樹，并與該網頁簇模板相比較，找到超出網頁簇模板輪廓的各個文檔對象模型子樹；?

對于超出網頁簇模板輪廓的各文檔對象模型子樹，試圖從中提取注入腳本；?

對提取的注入腳本進行語法正確性檢測，如果語法正確，則確認其宿主動態內容網頁為包含惡意注入腳本的網頁。?

優選地，所述的惡意注入腳本網頁檢測方法之從超出網頁簇模板輪廓的文檔對象模型子樹集合中提取注入腳本步驟為以下5種腳本提取方法的任意組合：?

從文檔對象模型子樹各<script>標簽中提取Javascript/VBScript腳本；?

從文檔對象模型子樹各HTML標簽的事件驅動函數中提取Javascript/VBScript腳本；?

從文檔對象模型子樹各HTML標簽的特定屬性值中提取Javascript/VBScript腳本；?