[发明专利]一种面向云计算环境的跨站脚本漏洞挖掘方法及系统

说明书

本发明公开了一种面向云计算环境的跨站脚本漏洞挖掘方法及系统，本发明通过网页爬行模块先抓取超HTTP的Web页面；HTML解析模块对抓取的Web页面进行解析以获取对应的DOM结构树，同时，HTML解析模块会获取嵌入式的URL链接及调用参数；将URL及调用参数传递给外部JavaScript链接提取器模块模块，该模块能够提取对应的外部JS文件集；脚本提取器模块能够提取HTTP响应消息中相关的脚本内容；将此脚本内容和从URL链接中检索到的脚本内容进行相似性检测，通过是否检测到相似性来判断是否存在XSS漏洞。本发明有效地避免了修改浏览器和Web应用程序的源码。本发明解决了云计算环境中部署的Web应用程序容易受到跨站脚本攻击的问题，提高了安全性。

技术领域

本发明属于云计算环境安全技术领域，涉及一种脚本漏洞挖掘方法及系统，具体涉及一种面向云环境的跨站脚本漏洞挖掘的方法及系统。

背景技术

云计算(Cloud computing)利用便捷、无处不在的互联网资源，将共享的硬件资源和信息按照需求分配给其他用户使用。目前，很多公司致力发展云计算技术，并将应用系统部署到云环境中。由于其灵活性和低成本，它已成为在Internet 上部署应用程序的最流行的技术。用户使用的三种云计算服务模型描述如下：

(1)基础设施即服务(Infrastructure as a Service，简称IaaS)。IaaS旨在为最终用户提供物理或虚拟资源，如处理器、存储、网络和其他基本计算资源。

(2)平台即服务(Platform as a Service，简称PaaS)。PaaS是为用户提供开发环境，其中包含程序语言(Java、Python、Net等)和应用程序的运行条件。用户无权管理云基础架构，且无法控制应用程序的部署。

(3)软件即服务(Software as a Service，简称SaaS)。SaaS是为用户提供应用程序服务。用户无权安装应用程序，但可以使用提供的应用程序。

近年来，互联网上网页资源的急速增长，越来越多的网站系统使用客户端脚本语言来增强用户体验。客户端脚本语言通常和HTML文件绑定在一起，用来向服务器端发送请求和响应请求。通过使用脚本语言，服务器和用户端之间的交互性得到了极大的提高。但是，客户端脚本语言在增强网站系统交互性的同时，也产生了许多安全问题。在众多的安全问题中，跨站脚本是危险性最高的攻击之一。

XSS攻击是一种频繁出现在Web应用程序中的计算机安全漏洞，是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足而产生的。攻击者把恶意的脚本代码嵌入到Web页面中去，当其他用户在浏览并且访问这些网页时，就会执行其中的恶意代码，对受害者可能采取资源窃取、会话劫持、钓欺骗等各种攻击。攻击者通常会用十六进制(或者其他编码方式)将链接编码，以免用户怀疑它的合法性。即网站在接收到包含恶意代码的请求之后会产生一个包含恶意代码的页面，而这个页面看起来就像是那个网站应当生成的合法页面一样。随着前端技术的成熟，越来越多的网站和移动应用开始使用更加高级的前端技术， XSS攻击也在逐渐升级。从2007至今，在开放式Web应用程序安全项目统计的所有网络安全威胁中，跨站脚本攻击无论是严重性还是普遍性都稳居前三的位置。

随着云计算的快速发展，XSS攻击并没有因为应用系统的运行环境改变而消失，反之，XSS攻击是SaaS平台中的常见攻击，会产生更为严重的安全问题。当应用程序部署在易受到攻击的云环境中时，特别是对于企业或公司来说，防止 XSS攻击非常重要。恶意用户可能会发现云环境弱点，通过XSS攻击获得未经授权的访问和控制。

XSS攻击通常可以分为三种类型，即非持久类型、持久类型和基于DOM的类型。这里主要针对第一种非持久类型。

非持久型XSS攻击是常见的XSS攻击，也称为反射型。当服务器接收诸如 HTML查询参数或HTML表单的提交之类的请求时，输入数据不能经过严格过滤。因此，它会导致非持久型XSS攻击。