本申請(qǐng)?zhí)峁┝艘环NXSS攻擊漏洞檢測(cè)方案，該方案首先創(chuàng)建移動(dòng)端設(shè)備的模擬器，并在模擬器上安裝目標(biāo)應(yīng)用程序，然后執(zhí)行腳本，以通過腳本控制模擬器中的目標(biāo)應(yīng)用程序執(zhí)行測(cè)試用例，使目標(biāo)應(yīng)用程序與服務(wù)端設(shè)備進(jìn)行數(shù)據(jù)交互，獲取目標(biāo)應(yīng)用程序與服務(wù)端設(shè)備交互的數(shù)據(jù)，并根據(jù)目標(biāo)應(yīng)用程序與服務(wù)端設(shè)備交互的數(shù)據(jù)，檢測(cè)XSS攻擊漏洞。由于使用了模擬器替代原有的真機(jī)設(shè)備，避免了真機(jī)設(shè)備自動(dòng)關(guān)機(jī)、更新導(dǎo)致測(cè)試流程中斷，并且由于無需使用自動(dòng)化UI測(cè)試工具，避免因自動(dòng)化UI測(cè)試工具控制真機(jī)設(shè)備的鏈路過長(zhǎng)導(dǎo)致穩(wěn)定性下降的問題，同時(shí)通過腳本實(shí)現(xiàn)對(duì)模擬器的控制，無需在目標(biāo)應(yīng)用程序中植入測(cè)試代碼，避免了代碼沖突導(dǎo)致穩(wěn)定性下降的問題。

技術(shù)領(lǐng)域

本申請(qǐng)涉及信息技術(shù)領(lǐng)域，尤其涉及一種跨站腳本攻擊漏洞檢測(cè)方法、設(shè)備及計(jì)算機(jī)可讀介質(zhì)。

背景技術(shù)

隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，移動(dòng)端H5(HTML5)應(yīng)用程序的場(chǎng)景所覆蓋的業(yè)務(wù)種類也越來越豐富。為了更好的支撐業(yè)務(wù)，H5應(yīng)用程序的服務(wù)端設(shè)備會(huì)提前向移動(dòng)端設(shè)備下發(fā)已完成開發(fā)的離線H5應(yīng)用程序，在用戶觸發(fā)部分業(yè)務(wù)場(chǎng)景的操作后，會(huì)由移動(dòng)端設(shè)備中的容器組件加載完整的H5應(yīng)用程序。此種執(zhí)行方式的優(yōu)點(diǎn)在于，可以預(yù)先下載離線的H5應(yīng)用程序，從而可以減少加載時(shí)的網(wǎng)絡(luò)開銷，提高了容器加載速度。

但是，這樣的執(zhí)行方式也會(huì)帶來一些安全問題：由于目前對(duì)檢測(cè)應(yīng)用程序是否存在XSS(Cross Site Scripting，跨站腳本)攻擊漏洞時(shí)，需要由安全掃描器模擬應(yīng)用程序的客戶端向服務(wù)端設(shè)備發(fā)起請(qǐng)求。而移動(dòng)端設(shè)備的容器對(duì)離線H5應(yīng)用程序有定制化的配置和支持，由此導(dǎo)致安全掃描器在模擬請(qǐng)求時(shí)很難模擬出移動(dòng)端設(shè)備容器的環(huán)境，無法對(duì)感知此類H5應(yīng)用程序是否存在XSS攻擊漏洞。

因此，目前對(duì)此類移動(dòng)端H5應(yīng)用程序的XSS攻擊漏洞的檢測(cè)方案是采用自動(dòng)化UI測(cè)試工具來控制真機(jī)設(shè)備，在檢測(cè)時(shí)真機(jī)設(shè)備的目標(biāo)應(yīng)用程序會(huì)提前植入測(cè)試代碼，由自動(dòng)化UI測(cè)試工具監(jiān)控移動(dòng)端設(shè)備的系統(tǒng)消息來判斷XSS攻擊漏洞的測(cè)試結(jié)果。但是此種方式存在以下問題：

1、真機(jī)設(shè)備由于電池等原因，可能會(huì)存在溫度過低時(shí)自動(dòng)關(guān)機(jī)使得真機(jī)設(shè)備不可用，導(dǎo)致測(cè)試流程中斷。

2、真機(jī)設(shè)備在運(yùn)行過程中可能會(huì)自動(dòng)推送系統(tǒng)更新，而這些更新會(huì)中斷自動(dòng)化UI測(cè)試工具的測(cè)試流程。

3、自動(dòng)化UI測(cè)試工具控制真機(jī)設(shè)備的鏈路過長(zhǎng)，因此控制鏈路中的環(huán)節(jié)也會(huì)增加，因此整個(gè)控制鏈路發(fā)生問題的概率也會(huì)變高，導(dǎo)致整體測(cè)試流程的失敗率較高，穩(wěn)定性不佳。

4、由于在移動(dòng)端設(shè)備的目標(biāo)應(yīng)用程序中植入測(cè)試代碼，對(duì)應(yīng)用程序的侵入較大，由于植入的代碼可能與目標(biāo)應(yīng)用程序中的部分邏輯沖突，也會(huì)導(dǎo)致測(cè)試的穩(wěn)定性、兼容性下降。

申請(qǐng)內(nèi)容

本申請(qǐng)的一個(gè)目的是提供一種跨站腳本攻擊漏洞檢測(cè)，用以解決現(xiàn)有檢測(cè)方案中穩(wěn)定性不佳的問題。

本申請(qǐng)實(shí)施例提供了一種跨站腳本攻擊漏洞檢測(cè)方法，所述方法包括：

創(chuàng)建移動(dòng)端設(shè)備的模擬器，并在所述模擬器上安裝待測(cè)試的目標(biāo)應(yīng)用程序；

執(zhí)行腳本，以通過腳本控制模擬器中的目標(biāo)應(yīng)用程序執(zhí)行測(cè)試用例，使所述目標(biāo)應(yīng)用程序與服務(wù)端設(shè)備進(jìn)行數(shù)據(jù)交互；

獲取所述目標(biāo)應(yīng)用程序與服務(wù)端設(shè)備交互的數(shù)據(jù)，并根據(jù)所述目標(biāo)應(yīng)用程序與服務(wù)端設(shè)備交互的數(shù)據(jù)，檢測(cè)跨站腳本攻擊漏洞。

本申請(qǐng)實(shí)施例還提供了一種跨站腳本攻擊漏洞檢測(cè)設(shè)備，所述設(shè)備包括：

模擬模塊，用于創(chuàng)建移動(dòng)端設(shè)備的模擬器，并在所述模擬器上安裝待測(cè)試的目標(biāo)應(yīng)用程序；

腳本控制模塊，用于執(zhí)行腳本，以通過腳本控制模擬器中的目標(biāo)應(yīng)用程序執(zhí)行測(cè)試用例，使所述目標(biāo)應(yīng)用程序與服務(wù)端設(shè)備進(jìn)行數(shù)據(jù)交互；