[发明专利]源码跨站脚本漏洞检测方法、装置、电子设备及存储介质

说明书

本发明实施例涉及一种源码跨站脚本漏洞检测方法、装置、电子设备及存储介质，包括：通过反代码变形操作调整源码格式以提取源码内容；基于提取到的源码内容采用预设构建规则构建特征表达式以及预设的变量转换方法构建静态检测分析工具；采用动态测试技术通过预设工具注入攻击向量监测页面状态，得到页面状态监测信息；基于所述静态检测分析工具和所述页面状态监测信息检测源码跨站脚本漏洞。由此，通过构建特征表达式和数据流分析实现静态漏洞检测，通过构建攻击向量动态模拟发掘源码注入点，动静结合提高源码跨站脚本漏洞检测准确率，准确定位并输出源码漏洞点。

技术领域

本发明实施例涉及计算机领域，尤其涉及一种源码跨站脚本漏洞检测方法、装置、电子设备及存储介质。

背景技术

伴随着互联网技术不断升级，网络安全问题始终是发展时的焦点问题，其中网络攻击问题尤为的突出；根据OWASP(开放式Web应用程序安全项目)组织公布的2021-TOP10漏洞排名中，注入攻击仍然居于前三，并且属于注入攻击的XSS跨站脚本漏洞也位于top10之内；由此XSS跨站脚本漏洞仍然是互联网当前的危险漏洞之一；跨站脚本漏洞XSS攻击方式是攻击者在页面各元素，如HTML标签属性、事件中注入恶意脚本，当用户浏览该页面时，嵌入在其中的恶意内容会被执行，从而达到恶意攻击用户的目的。XSS恶意攻击的危害涉及有盗取用户的cookie信息，仿冒用户身份进行非法操作；进行钓鱼攻击；在网站内进行挂马；甚至可以实现远程控制，严重威胁用户隐私、财产安全。

发明内容

鉴于此，为解决上述技术问题或部分技术问题，本发明实施例提供一种源码跨站脚本漏洞检测方法、装置、电子设备及存储介质。

第一方面，本发明实施例提供一种源码跨站脚本漏洞检测方法，包括：

通过反代码变形操作调整源码格式以提取源码内容；

基于提取到的源码内容采用预设构建规则构建特征表达式以及预设的变量转换方法构建静态检测分析工具；

采用动态测试技术通过预设工具注入攻击向量监测页面状态，得到页面状态监测信息；

基于所述静态检测分析工具和所述页面状态监测信息检测源码跨站脚本漏洞。

在一个可能的实施方式中，所述方法还包括：

基于预设构建规则，将提取到的源码内容采用静态分析技术构建特征表达式，其中，所述构建规则包括元字符构建规则、控制次数字符构建规则和内容字符构建规则；结合源码数据流分析检测识别源码敏感内容，挖掘源码静态漏洞点，其中，所述源码数据流分析包括生成变量矩阵、输入点矩阵和标签矩阵。

在一个可能的实施方式中，所述方法还包括：

构建攻击向量进行输入点动态验证测试，其中，所述攻击向量在操作符号的控制下组合各类基元素标签构建而成。

在一个可能的实施方式中，所述方法还包括：

S1：采用特征表达式获取脚本内全部声明变量，并以键值对形式存储；

S2：探测脚本内S1中全部声明变量的位置信息，基于所述位置信息将对应脚本内的变量转换为对应的变量值；

S3：对S2内所有的变量值进行类型判别和长度计算，将变量值、变量值类别、长度以DataFrame格式存储构建变量矩阵。

在一个可能的实施方式中，所述方法还包括：

设定敏感内置函数，使用恶性内容的特征表达式检测参数内容的安全性，若存在恶性内容则输出对应的敏感内置函数及其参数；

采用特征表达式，基于URL构建语法定位脚本中的拼接URL操作，并定位存储对应字符串的变量，检测变量值内是否含有恶意内容；