本發明涉及一種存儲跨站攻擊腳本漏洞檢測方法、裝置及系統。一個實施例中，上述的方法包括：獲取目標網頁的待檢測參數；構造一個特征字符串，該特征字符串內包含可觸發存儲跨站腳本攻擊的字符以及唯一標識符；將所述特征字符串作為所述待檢測參數的值提交至所述目標網頁；遍歷所有可能輸出所述提參數值的網頁，并判斷是否有網頁中是否包含所述的唯一標識符；以及若有網頁中包含所述的唯一標識符則記錄所述待檢測參數存在存儲跨站攻擊腳本漏洞。上述的方法、裝置及系統可提升XSS漏洞檢測的效率及準確性。

技術領域

本發明涉及計算機安全技術，尤其涉及一種存儲跨站攻擊腳本漏洞檢測方法、裝置及系統。

背景技術

跨站腳本攻擊（Cross Site Script，XSS）是惡意攻擊者通過在網頁中加入惡意代碼并誘使用戶訪問，當訪問者瀏覽網頁時惡意代碼會在用戶機器上執行，從而導致惡意攻擊者盜取用戶信息，或者在用戶機器上掛載木馬攻擊并遠程獲得用戶機器的控制權。XSS分為普通反射型XSS和存儲XSS，存儲XSS的惡意代碼直接存儲在目標網站的服務器上，因而比普通反射型XSS危害更大，影響面更廣。

由于存儲XSS漏洞的攻擊方式十分隱蔽且在攻擊網頁無直接回顯特征，目前業界還沒有有效的自動化檢測工具。

發明內容

有鑒于此，有必要提供一種存儲跨站攻擊腳本漏洞檢測方法、裝置及系統，其能夠高效的檢測網站中的存儲跨站攻擊腳本漏洞。

一種存儲跨站攻擊腳本漏洞檢測方法，包括：獲取目標網頁的待檢測參數；構造一個特征字符串，該特征字符串內包含可觸發存儲跨站腳本攻擊的字符以及唯一標識符；將所述特征字符串作為所述待檢測參數的值提交至所述目標網頁；遍歷所有可能輸出所述提參數值的網頁，并判斷是否有網頁中是否包含所述的唯一標識符；以及若有網頁中包含所述的唯一標識符則記錄所述待檢測參數存在存儲跨站攻擊腳本漏洞。

一種存儲跨站攻擊腳本漏洞檢測裝置，包括：參數獲取模塊，用于獲取目標網頁的待檢測參數；字符串構造模塊，用于構造一個特征字符串，該特征字符串內包含可觸發存儲跨站腳本攻擊的字符以及唯一標識符；參數提交模塊，用于將所述特征字符串作為所述待檢測參數的值提交至所述目標網頁；檢測模塊，用于遍歷所有可能輸出所述提參數值的網頁，并判斷是否有網頁中是否包含所述的唯一標識符；以及漏洞記錄模塊，用于若有網頁中包含所述的唯一標識符則記錄所述待檢測參數存在存儲跨站攻擊腳本漏洞。

一種存儲跨站攻擊腳本漏洞檢測系統，包括：漏洞檢測服務器以及搜索引擎；所述漏洞檢測服務器用于：獲取目標網頁的待檢測參數；構造一個特征字符串，該特征字符串內包含可觸發存儲跨站腳本攻擊的字符以及唯一標識符；將所述特征字符串作為所述待檢測參數的值提交至所述目標網頁；所述搜索引擎用于：遍歷所有可能輸出所述提參數值的網頁；所述漏洞檢測服務器還用于：將所述唯一標識符提交至所述搜索引擎進行檢索，若所述搜索引擎返回的檢索結果中包含至少一個匹配的網頁則記錄所述待檢測參數存在存儲跨站攻擊腳本漏洞。

根據上述的存儲跨站攻擊腳本漏洞檢測方法、裝置及系統，通過模擬存儲XSS的攻擊方式向被檢測的網站提交參數值，而參數的值內包含唯一標識符，在后續的網頁遍歷過程中若檢測到此唯一標識符，則可判定對應的URL以及參數存在XSS漏洞。此種檢測方式可全自動的進行，具有很高的檢測效率以及準確性。

為讓本發明的上述和其他目的、特征和優點能更明顯易懂，下文特舉較佳實施例，并配合所附圖式，作詳細說明如下。

附圖說明

圖1為本發明實施例提供的方法及裝置的運行環境示意圖。

圖2為圖1中的漏洞檢測服務器的結構框圖。

圖3為圖1中的網站服務器的結構框圖。

圖4為第一實施例提供的存儲跨站攻擊腳本漏洞檢測方法流程圖。