[發明專利]一種檢測跨站腳本漏洞的方法及裝置有效
| 申請號: | 201310269976.4 | 申請日: | 2013-06-28 |
| 公開(公告)號: | CN104252599B | 公開(公告)日: | 2019-07-05 |
| 發明(設計)人: | 林椏泉 | 申請(專利權)人: | 深圳市騰訊計算機系統有限公司 |
| 主分類號: | G06F21/57 | 分類號: | G06F21/57 |
| 代理公司: | 北京三高永信知識產權代理有限責任公司 11138 | 代理人: | 滕一斌 |
| 地址: | 518000 廣東省深圳市南*** | 國省代碼: | 廣東;44 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 一種 檢測 腳本 漏洞 方法 裝置 | ||
1.一種檢測跨站腳本漏洞的方法,其特征在于,所述方法包括:
根據預先保存的漏洞庫中包括的漏洞代碼,生成用于查詢所述漏洞代碼的正則表達式;
向搜索引擎發送搜索請求,所述搜索請求攜帶網站域名,所述搜索請求用于搜索所述網站域名對應的網站中的所有Flash文件;
接收所述搜索引擎返回的所述所有Flash文件的地址,根據所述所有Flash文件的地址下載所述網站中的所有Flash文件,均作為待檢測的Flash文件;
對所述待檢測的Flash文件進行反編譯,獲取所述待檢測的Flash文件的源碼;
根據所述正則表達式,查詢所述源碼中是否存在預先保存的漏洞庫中包括的漏洞代碼;
如果在所述源碼中存在漏洞代碼,則確定所述待檢測的Flash文件存在跨站腳本漏洞;
輸出所述待檢測的Flash文件的源碼中存在漏洞的源碼語句以及所述漏洞的源碼語句對應的攻擊代碼。
2.根據權利要求1所述的方法,其特征在于,所述對所述待檢測的Flash文件進行反編譯之前,所述方法還包括:
獲取本地中保存的待檢測的Flash文件;或者,
根據本地獲取的待檢測的Flash文件的鏈接地址,下載所述檢測的Flash文件。
3.根據權利要求1所述的方法,其特征在于,所述對所述待檢測的Flash文件進行反編譯,獲取所述待檢測的Flash文件的源碼,包括:
查詢所述待檢測的Flash文件中的腳本代碼版本,并根據所述腳本代碼版本選取相應的反編譯方式對所述待檢測的Flash文件進行反編譯,獲取所述待檢測的Flash文件的源碼。
4.根據權利要求1所述的方法,其特征在于,所述獲取所述待檢測的Flash文件的源碼之后,所述方法還包括:
查詢所述源碼中的預設的函數中是否存在全局變量;
如果在所述源碼中的預設的函數中查詢到全局變量,則確定所述待檢測的Flash文件存在跨站腳本漏洞。
5.一種檢測跨站腳本漏洞的裝置,其特征在于,所述裝置包括:
生成模塊,用于根據預先保存的漏洞庫中包括的漏洞代碼,生成用于查詢所述漏洞代碼的正則表達式;
發送模塊,用于向搜索引擎發送搜索請求,所述搜索請求攜帶網站域名,所述搜索請求用于搜索所述網站域名對應的網站中的所有Flash文件;
接收模塊,用于接收所述搜索引擎返回的所述所有Flash文件的地址;
第一獲取模塊,用于根據所述所有Flash文件的地址下載所述網站中的所有Flash文件,均作為待檢測的Flash文件;
第二獲取模塊,用于對所述待檢測的Flash文件進行反編譯,獲取所述待檢測的Flash文件的源碼;
第一查詢模塊,用于根據所述正則表達式,查詢所述源碼中是否存在預先保存的漏洞庫中包括的漏洞代碼;
第一確定模塊,用于如果在所述源碼中存在漏洞代碼,則確定所述待檢測的Flash文件存在跨站腳本漏洞;
輸出模塊,用于輸出所述待檢測的Flash文件的源碼中存在漏洞的源碼語句以及所述漏洞的源碼語句對應的攻擊代碼。
6.根據權利要求5所述的裝置,其特征在于,所述第一獲取模塊,還包括:
第一獲取單元,用于獲取本地中保存的待檢測的Flash文件;
第二獲取單元,用于根據本地獲取的待檢測的Flash文件的鏈接地址,下載所述檢測的Flash文件。
7.根據權利要求5所述的裝置,其特征在于,所述第二獲取模塊具體用于:
查詢所述待檢測的Flash文件中的腳本代碼版本,并根據所述腳本代碼版本選取相應的反編譯方式對所述待檢測的Flash文件進行反編譯,獲取所述待檢測的Flash文件的源碼。
8.根據權利要求5所述的裝置,其特征在于,所述裝置還包括:
第二查詢模塊,用于查詢所述源碼中的預設的函數中是否存在全局變量;
第二確定模塊,用于如果在所述源碼中的預設的函數中查詢到全局變量,則確定所述待檢測的Flash文件存在跨站腳本漏洞。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于深圳市騰訊計算機系統有限公司,未經深圳市騰訊計算機系統有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201310269976.4/1.html,轉載請聲明來源鉆瓜專利網。
