本發明公開了一種檢測跨站腳本漏洞的方法及裝置，屬于計算機技術領域。所述方法包括：獲取待檢測的Flash文件；對所述待檢測的Flash文件進行反編譯，獲取所述待檢測的Flash文件的源碼；查詢所述源碼中是否存在預先保存的漏洞庫中包括的漏洞代碼；如果在所述源碼中存在漏洞代碼查詢到全局變量，則確定所述待檢測的Flash文件存在跨站腳本漏洞。本發明通過預先建立的漏洞庫對Flash文件的源碼中的漏洞代碼進行查詢，如果查詢到則確定Flash文件存在跨站腳本漏洞，提高了跨站腳本漏洞的檢測范圍，將業界已經公布的除預設的函數中的全局變量以為的漏洞都包括在檢測范圍內，提高了檢測的效率。

技術領域

本發明涉及計算機技術領域，特別涉及一種檢測跨站腳本漏洞的方法及裝置。

背景技術

跨站腳本（Cross Site Scripting，常簡寫作XSS）攻擊，是常見的Web攻擊技術之一，由于跨站腳本漏洞易于出現且利用成本低，被列為當前的頭號Web安全威脅。現有的跨站腳本不僅出現在網頁中，還可以出現在Flash文件中，利用Flash文件中的漏洞實施跨站腳本攻擊，對用戶的網絡安全造成很大的威脅。因此，為了提高用戶的網絡安全，需要對Flash文件進行跨站腳本漏洞的檢測。

現有技術中，對于檢測是否Flash文件中存在跨站腳本漏洞的方式是將Flash文件進行反編譯，得到該Flash文件的源碼，在源碼中查詢預設的輸出函數中是否存在全局變量，當查詢到時則認為該Flash文件為存在跨站腳本漏洞危險的。其中，通過全局變量可以將危險代碼傳遞給預設的輸出函數，造成跨站腳本攻擊。

在實現本發明的過程中，發明人發現現有技術至少存在以下問題：

現有的檢測方式僅能查詢到全局變量傳遞危險代碼而導致跨站腳本攻擊的類型，檢測的方式較單一，檢測的內容較為片面。

發明內容

為了解決現有技術的問題，本發明實施例提供了一種檢測跨站腳本漏洞的方法及裝置。所述技術方案如下：

一方面，提供了一種檢測跨站腳本漏洞的方法，所述方法包括：

獲取待檢測的Flash文件；

對所述待檢測的Flash文件進行反編譯，獲取所述待檢測的Flash文件的源碼；

查詢所述源碼中是否存在預先保存的漏洞庫中包括的漏洞代碼；

如果在所述源碼中存在漏洞代碼查詢到全局變量，則確定所述待檢測的Flash文件存在跨站腳本漏洞。

另一方面，提供了一種檢測跨站腳本漏洞的裝置，所述裝置包括：

第一獲取模塊，用于獲取待檢測的Flash文件；

第二獲取模塊，用于對所述待檢測的Flash文件進行反編譯，獲取所述待檢測的Flash文件的源碼；

第一查詢模塊，用于查詢所述源碼中是否存在預先保存的漏洞庫中包括的漏洞代碼；

第一確定模塊，用于如果在所述源碼中存在漏洞代碼查詢到全局變量，則確定所述待檢測的Flash文件存在跨站腳本漏洞。

本發明實施例提供的技術方案帶來的有益效果是：

通過預先建立的漏洞庫對Flash文件的源碼中的漏洞代碼進行查詢，如果查詢到則確定Flash文件存在跨站腳本漏洞，提高了跨站腳本漏洞的檢測范圍，將業界已經公布的除預設的函數中的全局變量以為的漏洞都包括在檢測范圍內，提高了檢測的效率。

附圖說明