[发明专利]一种检测Web页面中的XSS漏洞的检测方法

权利要求书

1.一种检测Web页面中的XSS漏洞的检测方法，其特征在于：包含以下步骤：（1）确定Web页面可接收的参数-值对集合；（2）以及为所述参数-值对集合中的每个参数-值对；（3）构造在值中插入了特定脚本的参数-值对；（4）基于该插入了特定脚本的参数-值对来组装对应于所述Web网页的URL；（5）获取对应于所组装的URL的动态Web页面内容；（6）以及模拟执行所获取的Web动态页面内容，如果执行了所述特定脚本，则认为所述Web页面中对该参数的处理存在的XSS漏洞。

2.如权利要求1所述的XSS漏洞检测方法，其特征在于：在所述模拟执行所获取的动态Web页面内容的步骤中，使用脚本解析引擎来模拟执行所述Web页面内容中，该脚本解析引擎被构造为基于特定脚本是否被触发来确定是否存在XSS漏洞。

3.如上述权利要求任一个所述的XSS漏洞检测方法，其特征在于：所述特定脚本为alert函数。

4.如上述权利要求任一个所述的XSS漏洞检测方法，其特征在于：在所述组装对应于Web页面的URL的步骤中，通过在URL中改变参数-值对次序和插入其它特殊代码来组装多个URL，并且为所述多个URL分别执行所述获取动态Web页面内容和模拟执行动态Web页面内容的步骤。

5.如上述权利要求任一个所述的XSS漏洞检测方法，其特征在于：还包括步骤：记录所述参数-值对集合中的每个参数是否存在XSS漏洞。

6.一种检测Web页面中XSS漏洞的检测装置，其特征在于：包括：Web页面参数-值对集合确定装置，用于确定所述Web页面可以接收的参数-值对集合；测试URL组装装置，为所述参数-值对集合中的每个参数-值对组装测试用的URL，其中在组织所述测试用的URL时，在所述值中插入特定的脚本；请求和接收装置，用于将所述测试用的URL发送到网络服务器，并接收从所述网络服务器返回的Web页面内容；以及模拟执行装置，用于模拟执行所述Web页面内容，并且在所述特定脚本被执行时，确定相应参数存在XSS漏洞。

7.如权利要求6所述的XSS漏洞检测装置，其特征在于：还包括脚本解析引擎，所述模拟执行装置在模拟执行所述Web页面内容时使用所述脚本解析引擎来执行脚本，所述脚本解析引擎根据所述特定脚本是否被触发来确定所述相应参数是否存大XSS漏洞。

8.如权利要求6或者7所述的XSS漏洞检测装置，其特征在于：所述特定脚本为alert函数；所述测试URL组装装置在为某个参数-值对组装测试用的URL时，通过在URL中改变参数-值对次序和插入其它特殊代码来组装多个URL，并且将每个组装的URL发送给所述请求和接收装置，以便为每个组装的URL进行XSS漏洞；还包括记录装置，记录所述参数-值对集合中的每个参数是否存在XSS漏洞。

9.一种网站安全扫描系统，其特征在于：包括如权利要求8所述的XSS漏洞检测装置。

10.一种网络扫描系统，其特征在于：包括如权利要求8所述的XSS漏洞检测装置。