本發明涉及一種檢測常駐式跨站腳本漏洞的方法和裝置。所述方法包括以下步驟：接收自動觸發操作產生的訪問指令；根據所述訪問指令向網頁應用服務器發送對預先經過注入測試腳本代碼處理的網頁的訪問請求；接收所述網頁應用服務器根據所述訪問請求返回的訪問響應包；若所述訪問響應包中包含所述測試腳本代碼，則執行所述測試腳本代碼，并根據所述測試腳本代碼發出漏洞信息。上述檢測常駐式跨站腳本漏洞的方法和裝置，通過接收自動觸發操作產生的訪問指令，該訪問響應包中包括的測試腳本代碼，則執行測試腳本代碼，發出漏洞信息，實現網頁漏洞的自動化檢測，不需人工頻繁點擊觸發網頁中的控件，節省時間，提高了檢測效率。

技術領域

本發明涉及計算機安全技術領域，特別是涉及一種檢測常駐式跨站腳本漏洞的方法和裝置。

背景技術

跨站腳本（Cross Site Scripting，簡稱XSS或CSS）漏洞是一種經常出現在網頁中的計算機安全漏洞，它允許惡意攻擊者向網頁里插入惡意代碼，當用戶瀏覽該網頁時，嵌入其中的惡意代碼會被觸發，從而達到惡意用戶的特殊目的，比如盜取個人信息等。常駐式跨站腳本漏洞是跨站腳本漏洞的一種，它允許將惡意代碼存儲在網頁應用服務器中，當用戶訪問該網頁應用服務器的網頁時，該網頁會從網頁應用服務器拉取惡意代碼并執行，危害極大。

然而，傳統的檢測常駐式跨站腳本漏洞的方法，對業務的網頁功能全部瀏覽一次，需要人工點擊每一步操作，比如點擊頁面下一頁按鈕100次，則需要人工操作鼠標或鍵盤100次，需要消耗大量的人工時間，檢測效率低下。

發明內容

基于此，有必要針對傳統的檢測常駐式跨站腳本漏洞需要人工點擊操作浪費大量時間，檢測效率低下的問題，提供一種能提高檢測效率的檢測常駐式跨站腳本漏洞的方法和裝置。

一種檢測常駐式跨站腳本漏洞的方法，包括以下步驟：

接收自動觸發操作產生的訪問指令；

根據所述訪問指令向網頁應用服務器發送對預先經過注入測試腳本代碼處理的網頁的訪問請求；

接收所述網頁應用服務器根據所述訪問請求返回的訪問響應包；

若所述訪問響應包中包含所述測試腳本代碼，則執行所述測試腳本代碼，并根據所述測試腳本代碼發出漏洞信息。

一種檢測常駐式跨站腳本漏洞的裝置，包括：

指令接收模塊，用于接收自動觸發操作產生的訪問指令；

訪問請求模塊，用于根據所述訪問指令向網頁應用服務器發送對預先經過注入測試腳本代碼處理的網頁的訪問請求；

響應包接收模塊，用于接收所述網頁應用服務器根據所述訪問請求返回的訪問響應包；

腳本執行模塊，用于若所述訪問響應包中包含所述測試腳本代碼，則執行所述測試腳本代碼，并根據所述測試腳本代碼發出漏洞信息。

上述檢測常駐式跨站腳本漏洞的方法和裝置，通過接收自動觸發操作產生的訪問指令，并根據該訪問指令進行訪問預先注入測試腳本代碼的網頁，并接收返回的訪問響應包，該訪問響應包中包括的測試腳本代碼，則執行測試腳本代碼，發出漏洞信息，實現網頁漏洞的自動化檢測，不需人工頻繁點擊觸發網頁中的控件，節省時間，提高了檢測效率。

附圖說明

圖1為一個實施例中檢測常駐式跨站腳本漏洞的方法的流程圖；

圖2為另一個實施例中檢測常駐式跨站腳本漏洞的方法的流程圖；

圖3為一個實施例中生成測試請求包的流程圖；

圖4為一個具體應用場景中實現檢測常駐式跨站腳本漏洞的方法的框圖；

圖5為另一個具體應用場景中實現檢測常駐式跨站腳本漏洞的方法的框圖；