[发明专利]一种基于web应用运行时的零规则XSS攻击检测方法

权利要求书

1.一种基于web应用运行时的零规则XSS攻击检测方法，其特征在于，所述检测方法包括：

获取用户访问数据，其中，所述用户访问数据至少包括用户访问请求、验证信息和Cookie；

将所述访问数据发送至镜像服务器，其中，所述镜像服务器至少包括服务器内web应用及空白信息；

记录所述访问数据在镜像服务器内的行为，判断用户此次访问行为是否包含XSS攻击，其中，所述行为至少包括脚本运行、读取数据、存储数据、发送数据和篡改数据；

输出判断结果。

2.根据权利要求1所述的基于web应用运行时的零规则XSS攻击检测方法，其特征在于，在所述获取用户访问数据之前，所述检测方法还包括：

获取用户登录信息，其中，所述用户登录信息包括用户ID及登录密码；

验证用户登录信息；

基于用户登录信息的验证结果给予用户访问权限。

3.根据权利要求2所述的基于web应用运行时的零规则XSS攻击检测方法，其特征在于，所述验证登录信息的步骤具体包括：

基于用户ID获取预设的用户信息，检索存储在服务器内的数据库，验证所述登录密码与预设的用户信息内密码是否匹配；

基于用户ID检索用户白名单，判断所述用户ID是否存储于用户白名单内；

输出判断结果。

4.根据权利要求1所述的基于web应用运行时的零规则XSS攻击检测方法，其特征在于，所述记录所述访问数据在镜像服务器内的行为的具体步骤包括：

在镜像服务器内执行所述用户数据包含的命令或请求；

监测所述用户数据在所述镜像服务器内执行后的执行结果，其中，所述执行结果至少包括：注入脚本代码、执行脚本、读取数据、存储数据、发送数据和篡改数据。

5.根据权利要求4所述的基于web应用运行时的零规则XSS攻击检测方法，其特征在于，所述判断用户此次访问行为是否包含XSS攻击的具体步骤包括：

获取所述访问数据后执行由访问用户注入的脚本代码；

在镜像服务器内执行所述脚本代码；

获取所述脚本代码的运行结果，其中，所述运行结果至少包括读取数据、存储数据、发送数据和篡改数据；

基于所述脚本代码的运行结果判断此次访问是否为XSS攻击。

6.根据权利要求4所述的基于web应用运行时的零规则XSS攻击检测方法，其特征在于，所述判断用户此次访问行为是否包含XSS攻击的具体步骤包括：

基于所述访问数据所包含的访问命令或请求与运行存储于镜像服务器内的web应用；

监测web应用运行的运行结果，其中，所述运行结果包括：注入脚本代码、执行脚本、读取数据、存储数据、发送数据和篡改数据；

基于web应用运行时的结果判断此次访问是否为XSS攻击。

7.根据权利要求2所述的基于web应用运行时的零规则XSS攻击检测方法，其特征在于，获取用户登录信息时，所述检测方法还包括：

获取用户登录终端的终端信息，其中，所述终端信息至少包括登录地址、用户终端识别码。

8.根据权利要求1-7任意一项所述的基于web应用运行时的零规则XSS攻击检测方法，其特征在于，所述检测方法还包括：

基于判断结果，将包含XSS攻击的用户写入用户黑名单，其中，所述用户黑名单至少包括用户ID、登录终端地址和登录终端的识别码；

将所述用户黑名单存储在主服务器和镜像服务器内。

9.根据权利要求1-7任意一项所述的基于web应用运行时的零规则XSS攻击检测方法，其特征在于，所述检测方法还包括：

基于判断结果将包含有XSS攻击的脚本代码写入脚本代码黑名单，其中，所述脚本代码黑名单存储在镜像服务器内。

10.根据权利要求9所述的基于web应用运行时的零规则XSS攻击检测方法，其特征在于，所述判断用户此次访问行为是否包含XSS攻击的具体步骤包括：

解析所述访问数据，判断所述访问数据是否包含的代码；

基于解析结果，提取解析出的代码，将解析出的代码与脚本代码黑名单内的进行匹配，判断所述访问数据内是否包含脚本代码黑名单内的代码；

输出判断结果。