[發(fā)明專利]檢測(cè)常駐式跨站腳本漏洞的方法和裝置有效
| 申請(qǐng)?zhí)枺?/td> | 201410048080.8 | 申請(qǐng)日: | 2014-02-11 |
| 公開(公告)號(hào): | CN104834588B | 公開(公告)日: | 2019-06-25 |
| 發(fā)明(設(shè)計(jì))人: | 朱楊軍 | 申請(qǐng)(專利權(quán))人: | 騰訊科技(深圳)有限公司 |
| 主分類號(hào): | G06F11/36 | 分類號(hào): | G06F11/36;G06F21/56 |
| 代理公司: | 廣州華進(jìn)聯(lián)合專利商標(biāo)代理有限公司 44224 | 代理人: | 何平;鄧云鵬 |
| 地址: | 518000 廣東省深圳*** | 國(guó)省代碼: | 廣東;44 |
| 權(quán)利要求書: | 查看更多 | 說(shuō)明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 測(cè)試腳本代碼 方法和裝置 訪問(wèn)指令 響應(yīng)包 腳本 漏洞 檢測(cè) 訪問(wèn)請(qǐng)求 漏洞信息 網(wǎng)頁(yè)應(yīng)用 自動(dòng)觸發(fā) 網(wǎng)頁(yè) 服務(wù)器發(fā)送 種檢測(cè) 訪問(wèn) 觸發(fā) 控件 服務(wù)器 自動(dòng)化 返回 | ||
1.一種檢測(cè)常駐式跨站腳本漏洞的方法,包括以下步驟:
獲取網(wǎng)頁(yè)發(fā)送給網(wǎng)頁(yè)應(yīng)用服務(wù)器的原始請(qǐng)求包;
檢測(cè)所述原始請(qǐng)求包,確定所述原始請(qǐng)求包中的參數(shù);
用測(cè)試腳本代碼替換所述原始請(qǐng)求包中的所述參數(shù),獲得測(cè)試請(qǐng)求包;
向網(wǎng)頁(yè)應(yīng)用服務(wù)器發(fā)送包含所述測(cè)試腳本代碼的所述測(cè)試請(qǐng)求包,以使所述測(cè)試腳本代碼在所述網(wǎng)頁(yè)應(yīng)用服務(wù)器上對(duì)應(yīng)網(wǎng)頁(yè)存儲(chǔ);
接收自動(dòng)觸發(fā)操作產(chǎn)生的訪問(wèn)指令,所述自動(dòng)觸發(fā)操作為按照預(yù)定次數(shù)循環(huán)點(diǎn)擊網(wǎng)頁(yè)中的觸發(fā)控件;
根據(jù)所述訪問(wèn)指令向所述網(wǎng)頁(yè)應(yīng)用服務(wù)器發(fā)送對(duì)經(jīng)過(guò)注入所述測(cè)試腳本代碼處理的網(wǎng)頁(yè)的訪問(wèn)請(qǐng)求;
接收所述網(wǎng)頁(yè)應(yīng)用服務(wù)器根據(jù)所述訪問(wèn)請(qǐng)求返回的訪問(wèn)響應(yīng)包;
若所述網(wǎng)頁(yè)應(yīng)用服務(wù)器將所述測(cè)試腳本代碼轉(zhuǎn)義為文本信息,則所述訪問(wèn)響應(yīng)包中不含有所述測(cè)試腳本代碼;
若所述網(wǎng)頁(yè)應(yīng)用服務(wù)器對(duì)所述測(cè)試腳本代碼不進(jìn)行轉(zhuǎn)義處理,則所述訪問(wèn)響應(yīng)包中包含所述測(cè)試腳本代碼,執(zhí)行所述測(cè)試腳本代碼,并根據(jù)所述測(cè)試腳本代碼發(fā)出漏洞信息;
所述接收自動(dòng)觸發(fā)操作產(chǎn)生的訪問(wèn)指令的步驟包括:
接收通過(guò)預(yù)先制作的自動(dòng)觸發(fā)器自動(dòng)觸發(fā)操作產(chǎn)生的訪問(wèn)指令。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于,在所述接收自動(dòng)觸發(fā)操作產(chǎn)生的訪問(wèn)指令之前,所述方法還包括:
預(yù)先制作自動(dòng)觸發(fā)器。
3.根據(jù)權(quán)利要求2所述的方法,其特征在于,所述預(yù)先制作自動(dòng)觸發(fā)器的步驟包括:
通過(guò)功能自動(dòng)化工具錄制打開網(wǎng)頁(yè)及觸發(fā)操作生成腳本,對(duì)所述錄制的腳本進(jìn)行編輯制作自動(dòng)觸發(fā)器。
4.根據(jù)權(quán)利要求2所述的方法,其特征在于,所述預(yù)先制作自動(dòng)觸發(fā)器的步驟包括:
打開網(wǎng)頁(yè),根據(jù)所述網(wǎng)頁(yè)中觸發(fā)控件的標(biāo)識(shí)獲取對(duì)應(yīng)的腳本,對(duì)所述腳本進(jìn)行編輯制作自動(dòng)觸發(fā)器。
5.一種檢測(cè)常駐式跨站腳本漏洞的裝置,其特征在于,包括:
原始請(qǐng)求包獲取模塊,用于獲取網(wǎng)頁(yè)發(fā)送給網(wǎng)頁(yè)應(yīng)用服務(wù)器的原始請(qǐng)求包;
參數(shù)確定模塊,用于檢測(cè)所述原始請(qǐng)求包,確定所述原始請(qǐng)求包中的參數(shù);
測(cè)試請(qǐng)求包生成模塊,用于用測(cè)試腳本代碼替換所述原始請(qǐng)求包中的所述參數(shù),獲得測(cè)試請(qǐng)求包;
注入模塊,用于向所述網(wǎng)頁(yè)應(yīng)用服務(wù)器發(fā)送包含所述測(cè)試腳本代碼的所述測(cè)試請(qǐng)求包,以使所述測(cè)試腳本代碼在所述網(wǎng)頁(yè)應(yīng)用服務(wù)器上對(duì)應(yīng)網(wǎng)頁(yè)存儲(chǔ);
指令接收模塊,用于接收自動(dòng)觸發(fā)操作產(chǎn)生的訪問(wèn)指令,所述自動(dòng)觸發(fā)操作為按照預(yù)定次數(shù)循環(huán)點(diǎn)擊網(wǎng)頁(yè)中的觸發(fā)控件;
訪問(wèn)請(qǐng)求模塊,用于根據(jù)所述訪問(wèn)指令向所述網(wǎng)頁(yè)應(yīng)用服務(wù)器發(fā)送對(duì)經(jīng)過(guò)注入所述測(cè)試腳本代碼處理的網(wǎng)頁(yè)的訪問(wèn)請(qǐng)求;
響應(yīng)包接收模塊,用于接收所述網(wǎng)頁(yè)應(yīng)用服務(wù)器根據(jù)所述訪問(wèn)請(qǐng)求返回的訪問(wèn)響應(yīng)包;若所述網(wǎng)頁(yè)應(yīng)用服務(wù)器將所述測(cè)試腳本代碼轉(zhuǎn)義為文本信息,則所述訪問(wèn)響應(yīng)包中不含有所述測(cè)試腳本代碼;腳本執(zhí)行模塊,用于若所述網(wǎng)頁(yè)應(yīng)用服務(wù)器對(duì)所述測(cè)試腳本代碼不進(jìn)行轉(zhuǎn)義處理,則所述訪問(wèn)響應(yīng)包中包含所述測(cè)試腳本代碼,執(zhí)行所述測(cè)試腳本代碼,并根據(jù)所述測(cè)試腳本代碼發(fā)出漏洞信息;
其中,所述指令接收模塊還用于接收通過(guò)預(yù)先制作的自動(dòng)觸發(fā)器自動(dòng)觸發(fā)操作產(chǎn)生的訪問(wèn)指令。
6.根據(jù)權(quán)利要求5所述的裝置,其特征在于,所述裝置還包括:
預(yù)制模塊,用于在所述接收自動(dòng)觸發(fā)操作產(chǎn)生的訪問(wèn)指令之前,預(yù)先制作自動(dòng)觸發(fā)器。
7.根據(jù)權(quán)利要求6所述的裝置,其特征在于,所述預(yù)制模塊還用于通過(guò)功能自動(dòng)化工具錄制打開網(wǎng)頁(yè)及觸發(fā)操作生成腳本,對(duì)所述錄制的腳本進(jìn)行編輯制作自動(dòng)觸發(fā)器。
8.根據(jù)權(quán)利要求6所述的裝置,其特征在于,所述預(yù)制模塊還用于打開網(wǎng)頁(yè),根據(jù)所述網(wǎng)頁(yè)中觸發(fā)控件的標(biāo)識(shí)獲取對(duì)應(yīng)的腳本,對(duì)所述腳本進(jìn)行編輯制作自動(dòng)觸發(fā)器。
9.一種計(jì)算機(jī)設(shè)備,包括存儲(chǔ)器和處理器,所述存儲(chǔ)器存儲(chǔ)有計(jì)算機(jī)程序,其特征在于,所述處理器執(zhí)行所述計(jì)算機(jī)程序時(shí)實(shí)現(xiàn)權(quán)利要求1至4中任一項(xiàng)所述方法的步驟。
10.一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì),其上存儲(chǔ)有計(jì)算機(jī)程序,其特征在于,所述計(jì)算機(jī)程序被處理器執(zhí)行時(shí)實(shí)現(xiàn)權(quán)利要求1至4中任一項(xiàng)所述的方法的步驟。
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于騰訊科技(深圳)有限公司,未經(jīng)騰訊科技(深圳)有限公司許可,擅自商用是侵權(quán)行為。如果您想購(gòu)買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請(qǐng)聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201410048080.8/1.html,轉(zhuǎn)載請(qǐng)聲明來(lái)源鉆瓜專利網(wǎng)。
- 同類專利
- 專利分類
G06F 電數(shù)字?jǐn)?shù)據(jù)處理
G06F11-00 錯(cuò)誤檢測(cè);錯(cuò)誤校正;監(jiān)控
G06F11-07 .響應(yīng)錯(cuò)誤的產(chǎn)生,例如,容錯(cuò)
G06F11-22 .在準(zhǔn)備運(yùn)算或者在空閑時(shí)間期間內(nèi),通過(guò)測(cè)試作故障硬件的檢測(cè)或定位
G06F11-28 .借助于檢驗(yàn)標(biāo)準(zhǔn)程序或通過(guò)處理作錯(cuò)誤檢測(cè)、錯(cuò)誤校正或監(jiān)控
G06F11-30 .監(jiān)控
G06F11-36 .通過(guò)軟件的測(cè)試或調(diào)試防止錯(cuò)誤
- 測(cè)試用例轉(zhuǎn)化為自動(dòng)化測(cè)試腳本的方法及系統(tǒng)
- 檢測(cè)常駐式跨站腳本漏洞的方法和裝置
- 自動(dòng)化測(cè)試方法及測(cè)試系統(tǒng)
- 腳本測(cè)試方法及裝置
- 腳本測(cè)試代碼編寫的方法、裝置、終端設(shè)備及存儲(chǔ)介質(zhì)
- 一種插件調(diào)試方法、測(cè)試方法及微內(nèi)核架構(gòu)系統(tǒng)
- 軟件測(cè)試方法及相關(guān)產(chǎn)品
- UI界面測(cè)試方法、系統(tǒng)、計(jì)算機(jī)設(shè)備和存儲(chǔ)介質(zhì)
- 接口測(cè)試腳本的生成方法、系統(tǒng)、設(shè)備及存儲(chǔ)介質(zhì)
- 壓力測(cè)試方法、設(shè)備及存儲(chǔ)介質(zhì)
- 網(wǎng)頁(yè)顯示方法和裝置
- 輔助對(duì)被監(jiān)控內(nèi)存空間的訪問(wèn)監(jiān)控的方法和裝置
- 用于SSD控制器的LBA阻止表格
- 強(qiáng)制訪問(wèn)控制方法、裝置和物理主機(jī)
- 訪存指令訪問(wèn)檢測(cè)方法及裝置
- 實(shí)現(xiàn)數(shù)據(jù)傳輸?shù)姆椒把b置、電子設(shè)備
- 訪問(wèn)指令的處理方法、裝置及設(shè)備
- 訪問(wèn)指令確定方法、裝置及存儲(chǔ)介質(zhì)
- 減少由于地址轉(zhuǎn)換缺失而引起的管線暫緩的方法、裝置和系統(tǒng)
- 一種網(wǎng)絡(luò)訪問(wèn)控制的方法、系統(tǒng)、設(shè)備及可讀存儲(chǔ)介質(zhì)
- 用于探測(cè)虛擬專用網(wǎng)通信的方法和設(shè)備
- 一種基于快速IO互連技術(shù)的數(shù)據(jù)排序方法及裝置
- 能夠識(shí)別多節(jié)點(diǎn)的磁場(chǎng)通信方法
- 數(shù)據(jù)傳輸方法、存儲(chǔ)器控制器、數(shù)據(jù)傳輸系統(tǒng)
- 響應(yīng)包接收延時(shí)的方法及裝置
- 一種數(shù)據(jù)處理方法、裝置及系統(tǒng)
- 信息處理裝置及數(shù)據(jù)包響應(yīng)方法
- 網(wǎng)絡(luò)傳輸過(guò)程中數(shù)據(jù)泄露防治方法
- 一種網(wǎng)絡(luò)通信方法、裝置和存儲(chǔ)介質(zhì)
- 越權(quán)漏洞自動(dòng)檢測(cè)方法、設(shè)備及介質(zhì)
