本發(fā)明公開(kāi)了一種面向云計(jì)算環(huán)境的跨站腳本漏洞挖掘方法及系統(tǒng)，本發(fā)明通過(guò)網(wǎng)頁(yè)爬行模塊先抓取超HTTP的Web頁(yè)面；HTML解析模塊對(duì)抓取的Web頁(yè)面進(jìn)行解析以獲取對(duì)應(yīng)的DOM結(jié)構(gòu)樹(shù)，同時(shí)，HTML解析模塊會(huì)獲取嵌入式的URL鏈接及調(diào)用參數(shù)；將URL及調(diào)用參數(shù)傳遞給外部JavaScript鏈接提取器模塊模塊，該模塊能夠提取對(duì)應(yīng)的外部JS文件集；腳本提取器模塊能夠提取HTTP響應(yīng)消息中相關(guān)的腳本內(nèi)容；將此腳本內(nèi)容和從URL鏈接中檢索到的腳本內(nèi)容進(jìn)行相似性檢測(cè)，通過(guò)是否檢測(cè)到相似性來(lái)判斷是否存在XSS漏洞。本發(fā)明有效地避免了修改瀏覽器和Web應(yīng)用程序的源碼。本發(fā)明解決了云計(jì)算環(huán)境中部署的Web應(yīng)用程序容易受到跨站腳本攻擊的問(wèn)題，提高了安全性。

技術(shù)領(lǐng)域

本發(fā)明屬于云計(jì)算環(huán)境安全技術(shù)領(lǐng)域，涉及一種腳本漏洞挖掘方法及系統(tǒng)，具體涉及一種面向云環(huán)境的跨站腳本漏洞挖掘的方法及系統(tǒng)。

背景技術(shù)

云計(jì)算(Cloud computing)利用便捷、無(wú)處不在的互聯(lián)網(wǎng)資源，將共享的硬件資源和信息按照需求分配給其他用戶使用。目前，很多公司致力發(fā)展云計(jì)算技術(shù)，并將應(yīng)用系統(tǒng)部署到云環(huán)境中。由于其靈活性和低成本，它已成為在Internet 上部署應(yīng)用程序的最流行的技術(shù)。用戶使用的三種云計(jì)算服務(wù)模型描述如下：

(1)基礎(chǔ)設(shè)施即服務(wù)(Infrastructure as a Service，簡(jiǎn)稱IaaS)。IaaS旨在為最終用戶提供物理或虛擬資源，如處理器、存儲(chǔ)、網(wǎng)絡(luò)和其他基本計(jì)算資源。

(2)平臺(tái)即服務(wù)(Platform as a Service，簡(jiǎn)稱PaaS)。PaaS是為用戶提供開(kāi)發(fā)環(huán)境，其中包含程序語(yǔ)言(Java、Python、Net等)和應(yīng)用程序的運(yùn)行條件。用戶無(wú)權(quán)管理云基礎(chǔ)架構(gòu)，且無(wú)法控制應(yīng)用程序的部署。

(3)軟件即服務(wù)(Software as a Service，簡(jiǎn)稱SaaS)。SaaS是為用戶提供應(yīng)用程序服務(wù)。用戶無(wú)權(quán)安裝應(yīng)用程序，但可以使用提供的應(yīng)用程序。

近年來(lái)，互聯(lián)網(wǎng)上網(wǎng)頁(yè)資源的急速增長(zhǎng)，越來(lái)越多的網(wǎng)站系統(tǒng)使用客戶端腳本語(yǔ)言來(lái)增強(qiáng)用戶體驗(yàn)。客戶端腳本語(yǔ)言通常和HTML文件綁定在一起，用來(lái)向服務(wù)器端發(fā)送請(qǐng)求和響應(yīng)請(qǐng)求。通過(guò)使用腳本語(yǔ)言，服務(wù)器和用戶端之間的交互性得到了極大的提高。但是，客戶端腳本語(yǔ)言在增強(qiáng)網(wǎng)站系統(tǒng)交互性的同時(shí)，也產(chǎn)生了許多安全問(wèn)題。在眾多的安全問(wèn)題中，跨站腳本是危險(xiǎn)性最高的攻擊之一。

XSS攻擊是一種頻繁出現(xiàn)在Web應(yīng)用程序中的計(jì)算機(jī)安全漏洞，是指惡意攻擊者利用網(wǎng)站沒(méi)有對(duì)用戶提交數(shù)據(jù)進(jìn)行轉(zhuǎn)義處理或者過(guò)濾不足而產(chǎn)生的。攻擊者把惡意的腳本代碼嵌入到Web頁(yè)面中去，當(dāng)其他用戶在瀏覽并且訪問(wèn)這些網(wǎng)頁(yè)時(shí)，就會(huì)執(zhí)行其中的惡意代碼，對(duì)受害者可能采取資源竊取、會(huì)話劫持、釣欺騙等各種攻擊。攻擊者通常會(huì)用十六進(jìn)制(或者其他編碼方式)將鏈接編碼，以免用戶懷疑它的合法性。即網(wǎng)站在接收到包含惡意代碼的請(qǐng)求之后會(huì)產(chǎn)生一個(gè)包含惡意代碼的頁(yè)面，而這個(gè)頁(yè)面看起來(lái)就像是那個(gè)網(wǎng)站應(yīng)當(dāng)生成的合法頁(yè)面一樣。隨著前端技術(shù)的成熟，越來(lái)越多的網(wǎng)站和移動(dòng)應(yīng)用開(kāi)始使用更加高級(jí)的前端技術(shù)， XSS攻擊也在逐漸升級(jí)。從2007至今，在開(kāi)放式Web應(yīng)用程序安全項(xiàng)目統(tǒng)計(jì)的所有網(wǎng)絡(luò)安全威脅中，跨站腳本攻擊無(wú)論是嚴(yán)重性還是普遍性都穩(wěn)居前三的位置。

隨著云計(jì)算的快速發(fā)展，XSS攻擊并沒(méi)有因?yàn)閼?yīng)用系統(tǒng)的運(yùn)行環(huán)境改變而消失，反之，XSS攻擊是SaaS平臺(tái)中的常見(jiàn)攻擊，會(huì)產(chǎn)生更為嚴(yán)重的安全問(wèn)題。當(dāng)應(yīng)用程序部署在易受到攻擊的云環(huán)境中時(shí)，特別是對(duì)于企業(yè)或公司來(lái)說(shuō)，防止 XSS攻擊非常重要。惡意用戶可能會(huì)發(fā)現(xiàn)云環(huán)境弱點(diǎn)，通過(guò)XSS攻擊獲得未經(jīng)授權(quán)的訪問(wèn)和控制。

XSS攻擊通常可以分為三種類型，即非持久類型、持久類型和基于DOM的類型。這里主要針對(duì)第一種非持久類型。

非持久型XSS攻擊是常見(jiàn)的XSS攻擊，也稱為反射型。當(dāng)服務(wù)器接收諸如 HTML查詢參數(shù)或HTML表單的提交之類的請(qǐng)求時(shí)，輸入數(shù)據(jù)不能經(jīng)過(guò)嚴(yán)格過(guò)濾。因此，它會(huì)導(dǎo)致非持久型XSS攻擊。