[发明专利]一种用于检测FlashXSS漏洞的方法、装置与设备

权利要求书

1.一种用于检测Flash XSS漏洞的方法，该方法包括以下步骤：

a获取待检测的Flash可执行文件；

b对所述待检测的Flash可执行文件进行反编译处理，来获取其所对应的源程序文件；

c对所述源程序文件进行检查，以判断所述待检测的Flash文件中是否包括XSS漏洞；

其中，所述步骤c包括：

-在所述源程序文件中提取用于接收用户提供参数的参数接口及用于数据输出的风险函数；

-检测通过所述参数接口输入的输入数据；

-当所述风险函数使用的参数值为通过所述参数接口输入的输入数据，则判断所述待检测的Flash可执行文件存在XSS漏洞。

2.根据权利要求1所述的方法，其中，所述步骤a包括：

-获取用户提供的待检测的统一资源定位符(URL)指向页面包括的待判断的Flash可执行文件，以及该页面包括的一个或多个下层URL指向的下层页面包括的待判断的一个或多个Flash可执行文件；

-通过读取所述待判断的Flash可执行文件的头部字段信息，来判断所述待判断的Flash可执行文件是否为真实的Flash可执行文件，

如果所述待判断的Flash可执行文件为真实的Flash可执行文件，则将所述真实的Flash可执行文件作为所述待检测的Flash可执行文件。

3.根据权利要求1或2所述的方法，其中，所述XSS漏洞包括以下至少任一项：

-由getURL()函数实现的XSS漏洞；

-由navigateToURL()函数实现的XSS漏洞；

-由ExternalInterface.call()方法实现的XSS漏洞。

4.根据权利要求1或2所述的方法，其中，所述用于接收用户提供参数的参数接口包括以下至少任一项：

-LoaderInfo(this.root.loaderInfo).parameters参数接口；

-root.loaderInfo.parameters参数接口；

-root.loaderInfo.parameters；_root.paramName参数接口；

-_level0.paramName参数接口。

5.根据权利要求1或2所述的方法，其中，该方法还包括：

-根据第一判断规则，对所述待检测的Flash可执行文件的用于保存安全策略信息的文件进行检测，来判断所述Flash可执行文件的安全配置属性是否合理。

6.根据权利要求5所述的方法，其中，该方法还包括：

-根据所述Flash可执行文件的应用需求，对所述待检测的Flash可执行文件的用于保存安全策略信息的文件进行检测，来判断所述Flash可执行文件的安全配置属性是否合理。

7.根据权利要求1或2所述的方法，其中，该方法还包括：

-根据第二判断规则，对所述待检测的Flash可执行文件的源程序文件的安全控制属性进行检测，来判断所述Flash可执行文件的安全策略是否完善。

8.一种用于检测Flash XSS漏洞的检测装置，该检测装置包括：

第一获取装置，用于获取待检测的Flash可执行文件；

反编译装置，用于对所述待检测的Flash可执行文件进行反编译处理，来获取其所对应的源程序文件；

第一判断装置，用于对所述源程序文件进行检查，以判断所述待检测的Flash文件中是否包括XSS漏洞；

其中，所述第一判断装置包括：

提取装置，用于在所述源程序文件中提取用于接收用户提供参数的参数接口及用于数据输出的风险函数；

数据检测装置，用于检测通过所述参数接口输入的输入数据；

第三判断装置，用于当所述风险函数使用的参数值为通过所述参数接口输入的输入数据，则判断所述待检测的Flash可执行文件存在XSS漏洞。