技術領域

本發明涉及Web應用測試技術領域，尤其涉及一種漏洞檢測方法及其裝置。

背景技術

近年來，隨著Web應用的廣泛使用，Web安全問題也日益突出。其中，XSS（Cross-site scripting，跨站腳本攻擊）漏洞已成為Web應用程序中最常見的漏洞之一，因此，對XSS漏洞的自動化檢測也成為了一項重要的技術。

目前，一般采用XSS檢測工具來檢測XSS漏洞，其具體過程如下：（1）XSS檢測工具捕獲客戶端（瀏覽器）所發送的http請求；（2）XSS檢測工具構造帶有特征值的請求；（3）XSS檢測工具將帶有特征值的請求發送至Web服務器，Web服務器響應該請求；（4）XSS檢測工具在該請求響應的頁面源代碼中檢測特征值，若在某處檢測到特征值，則認為此處為一個XSS漏洞。

進一步地，隨著Web 2.0技術的發展，Web應用的頁面不僅具有展示靜態內容的功能，還具有與用戶進行交互的功能。其中，這些交互功能通常通過在Web頁面嵌入大量JavaScript和CSS腳本來實現。具體地，通過執行嵌入的JavaScript和CSS腳本，可以動態的增加、刪除和修改各種Web頁面元素。然而，上述漏洞檢測方法由于僅僅檢測了請求響應的源代碼，這部分動態生成的頁面元素由于頁面中的JavaScript和CSS腳本沒有執行而無法被檢測，即無法檢測動態頁面生成元素的XSS漏洞。

發明內容

本發明所要解決的技術問題是：提供一種漏洞檢測方法，以檢測出動態頁面生成元素的XSS漏洞。

為解決上述技術問題，本發明采用的技術方案如下：

提供一種漏洞檢測方法，包括：

接收Web服務器對處理請求的響應結果，該處理請求包括特征值，該響應結果包括頁面源代碼；

根據虛擬解析器對頁面源代碼進行解析以得到解析結果，該解析結果包括html頁面；

對html頁面進行特征值檢測以得到XSS漏洞，該XSS漏洞對應于動態頁面生成元素；其中，動態頁面指的是執行JavaScript腳本和CSS腳本后的頁面。

具體地，該XSS漏洞包括JavaScript腳本和CSS腳本執行后生成的漏洞。

可選地，接收Web服務器對處理請求的響應結果之后，該方法還包括：

對頁面源代碼進行特征值檢測以得到XSS漏洞，該XSS漏洞對應于靜態頁面生成元素。其中，靜態頁面指的是未執行JavaScript腳本和CSS腳本的頁面。

較佳地，接收Web服務器對處理請求的響應結果之前，該方法還包括：

接收客戶端所發送的用戶請求，并將用戶請求發送至Web服務器；

接收Web服務器對用戶請求的響應結果；

構造處理請求，并將處理請求發送至Web服務器。

具體地，該用戶請求包括http請求。

相應地，本發明還提供了一種漏洞檢測裝置，包括：

接收模塊，用于接收Web服務器對處理請求的響應結果，該處理請求包括特征值，該響應結果包括頁面源代碼；

解析模塊，用于根據虛擬解析器對頁面源代碼進行解析以得到解析結果，該解析結果包括html頁面；以及

檢測模塊，用于對html頁面進行特征值檢測以得到XSS漏洞，該XSS漏洞對應于動態頁面生成元素。其中，動態頁面指的是執行JavaScript腳本和CSS腳本后的頁面。

具體地，該XSS漏洞包括JavaScript腳本和CSS腳本執行后生成的漏洞。

可選地，接收Web服務器對處理請求的響應結果之后，該檢測模塊還用于：

對頁面源代碼進行特征值檢測以得到XSS漏洞，該XSS漏洞對應于靜態頁面生成元素。其中，靜態頁面指的是未執行JavaScript腳本和CSS腳本的頁面。

較佳地，接收Web服務器對處理請求的響應結果之前，該接收模塊還用于：

接收客戶端所發送的用戶請求，并將用戶請求發送至Web服務器；

接收Web服務器對用戶請求的響應結果；

該漏洞檢測裝置還包括構造模塊，用于構造處理請求并將處理請求發送至Web服務器。

具體地，該用戶請求包括http請求。