技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，尤其涉及一種跨站腳本攻擊源定位方法及裝置。

背景技術(shù)

Web應(yīng)用系統(tǒng)在為人們生活和工作帶來便利的同時(shí)，也帶來了很多安全問題。這些安全問題包括威脅到Web服務(wù)器安全的SQL(Structured?Query?Language，結(jié)構(gòu)化查詢語言)注入攻擊、可疑文件執(zhí)行和越權(quán)對(duì)象訪問等安全攻擊事件，也包括成脅到Web客戶端安全的跨站腳本(CrossSite?Scripting，以下簡稱為XSS)注入等安全攻擊事件。據(jù)國際著名Web安全開放組織OWASP統(tǒng)計(jì)，2007年，XSS攻擊事件居十大Web安全事件之首。從國際漏洞庫組織CVE庫2002年至2007年關(guān)于XSS攻擊事件的統(tǒng)計(jì)來看，XSS攻擊事件的發(fā)生頻率正呈逐年增長趨勢。

XSS攻擊存在的根源在于：Web服務(wù)器方程序代碼存在缺陷，未能對(duì)用戶輸入數(shù)據(jù)進(jìn)行嚴(yán)格檢查和過濾，以至于惡意攻擊者可以通過用戶輸入域注入惡意腳本，這些注入的惡意腳本可通過Web服務(wù)器反射到受害者Web瀏覽器執(zhí)行，從而達(dá)到偷取受害者敏感數(shù)據(jù)或者在受害者安全上下文環(huán)境下執(zhí)行惡意動(dòng)作等目的。目前，可以被利用來執(zhí)行XSS攻擊的腳本包括Javascript腳本和VBScript腳本。但目前為最常見的XSS攻擊都是采用Javascript腳本。

自從XSS攻擊被發(fā)現(xiàn)以來，人們開始了XSS攻擊檢測和防御方面的研究，并陸續(xù)出現(xiàn)了面向Web瀏覽器端、Web服務(wù)器端和安全網(wǎng)關(guān)的安全解決方案?，F(xiàn)有的一種可應(yīng)用到安全網(wǎng)關(guān)的用來檢測腳本注入攻擊的方法和系統(tǒng)，能通過對(duì)HTTP(Hypertext?Transfer?Protocol，超文本傳輸協(xié)議)請(qǐng)求中的用戶輸入數(shù)據(jù)進(jìn)行數(shù)據(jù)解碼、文檔對(duì)象模型分析、文檔對(duì)象模型腳本提取和腳本語法檢測等步驟，從用戶輸入數(shù)據(jù)中準(zhǔn)確提取出可疑的注入腳本，但是不能判定注入腳本是否為XSS攻擊。另一種用來對(duì)注入腳本進(jìn)行靜態(tài)分析的方法和系統(tǒng)，嘗試從注入腳本中提取和XSS攻擊相關(guān)的行為特征串，一旦XSS攻擊行為特征串提取成功，則認(rèn)為該腳本注入攻擊為一個(gè)XSS攻擊；但是，無法準(zhǔn)確獲取本次XSS攻擊的攻擊源信息，因此無法對(duì)本次XSS攻擊進(jìn)行有效的應(yīng)急響應(yīng)。

發(fā)明內(nèi)容

本發(fā)明要解決的技術(shù)問題是提供一種跨站腳本攻擊源定位方法及裝置，克服了傳統(tǒng)跨站腳本攻擊檢測方法只能檢測出某HTTP請(qǐng)求消息中包含跨站腳本攻擊，而不能對(duì)本次跨站腳本攻擊源進(jìn)行準(zhǔn)確定位的缺點(diǎn)，能夠在對(duì)HTTP請(qǐng)求消息進(jìn)行XSS攻擊檢測后，準(zhǔn)確定位XSS攻擊的攻擊源。

為了解決上述問題，本發(fā)明提供了一種跨站腳本攻擊源的定位方法，包括：

A、獲取完整的超文本傳輸協(xié)議HTTP請(qǐng)求消息，檢查該HTTP請(qǐng)求中是否包含跨站腳本攻擊，如果發(fā)現(xiàn)跨站腳本攻擊，則執(zhí)行步驟B，否則結(jié)束；

B、當(dāng)發(fā)現(xiàn)該HTTP請(qǐng)求的鏈接源為空，或者所述鏈接源與該HTTP請(qǐng)求的URL同屬于一個(gè)Web域時(shí)，判定該HTTP請(qǐng)求的發(fā)送者為本次跨站腳本攻擊源并結(jié)束，否則繼續(xù)執(zhí)行步驟C；

C、獲取該HTTP請(qǐng)求鏈接源所對(duì)應(yīng)的Web網(wǎng)頁，并檢索該Web網(wǎng)頁，當(dāng)發(fā)現(xiàn)該Web網(wǎng)頁包含一個(gè)發(fā)起本次跨站腳本攻擊的頁面鏈接地址，則判定該HTTP請(qǐng)求鏈接源為本次跨站腳本攻擊源，否則判定該HTTP請(qǐng)求發(fā)送者為本次跨站腳本攻擊源。

進(jìn)一步地，所述步驟A具體包括：

(A1)獲取完整的HTTP請(qǐng)求消息；

(A2)從HTTP請(qǐng)求中提取用戶輸入數(shù)據(jù)；

(A3)對(duì)用戶輸入數(shù)據(jù)進(jìn)行解碼；

(A4)對(duì)解碼后的用戶輸入數(shù)據(jù)執(zhí)行文檔對(duì)象模型結(jié)構(gòu)分析，將解碼后的用戶輸入數(shù)據(jù)其轉(zhuǎn)換為一個(gè)文檔對(duì)象模型樹；

(A5)從所述文檔對(duì)象模型樹中提取注入腳本；

(A6)檢測所述注入腳本中是否有XSS攻擊行為特征；如果有則執(zhí)行步驟B，否則結(jié)束。

進(jìn)一步地，所述步驟B中：

所述的HTTP請(qǐng)求的鏈接源是指該HTTP請(qǐng)求的上一鏈接頁面，包含在HTTP請(qǐng)求的Referer協(xié)議字段中。

進(jìn)一步地，所述步驟B中：

通過比較HTTP請(qǐng)求鏈接源中的Web域名與HTTP請(qǐng)求Host協(xié)議字段中的Web域名是否一致來判斷該HTTP請(qǐng)求鏈接源和該HTTP請(qǐng)求URL是否屬于同一個(gè)Web網(wǎng)站，如果一致則判斷屬于同一個(gè)Web網(wǎng)站。

進(jìn)一步地，所述步驟C中：

采用Boyer-More單模式匹配方法檢查HTTP請(qǐng)求鏈接源所對(duì)應(yīng)Web頁面是否包含發(fā)起本次跨站腳本攻擊URL的頁面鏈接。