[发明专利]基于渗透测试的跨站点脚本漏洞检测方法

权利要求书

1.一种基于渗透测试的跨站点脚本漏洞检测方法，其特征在于包括以下步骤：

(a)根据URL获取所对应的Web页面，取得相应页面的全部URL链接；

(b)提取步骤(a)所获取页面中的表单信息，所提取的表单信息包括表单的提交方式，表单所要提交的目的URL，表单中input标签里type值为空值、“text”、“hidden”、“password”、“submit”所对应的name值和value值；

(c)对表单进行渗透测试：

(1)向表单渗透测试语句，分析返回页面，如果返回页面中包含所渗透的测试语句，转向步骤(2)，否则转向步骤(a)；

(2)在步骤(1)的渗透测试语句中分别加上特殊字符“<”“>”“/”“＇”“＂”，提交后分析返回页面，如果返回页面中包含渗透测试语句，记录特殊字符，转向步骤(3)，否则转向步骤(a)；

(3)根据步骤(2)中服务器端没有过滤的特殊字符选取XSS攻击字符串，分析返回页面，如果返回的页面中包含可执行的XSS脚本，则表明该页面包含XSS漏洞；记录结果并转向步骤(a)；如果返回的页面不包含可执行的XSS脚本且测试语句没有将HTML语句闭合，则对原测试语句进行动态修改，构造出能使HTML语句闭合的测试语句后再次执行步骤(3)；

(d)会话保持和重定向跟踪，在步骤(c)中与服务器端的交互过程使用会话保持和重定向跟踪。