技術(shù)總結(jié)
本發(fā)明公開了一種基于虛擬解析的漏洞檢測方法及裝置，其中，該方法包括：接收客戶端所發(fā)送的用戶請求；對用戶請求插入探針以獲取目標輸出點的上下文信息及目標輸出點的XPath；根據(jù)目標輸出點的上下文信息構(gòu)造目標特征值；針對目標注入?yún)?shù)，向Web服務(wù)器發(fā)送帶有目標特征值的檢測請求；接收Web服務(wù)器對檢測請求的第一響應(yīng)結(jié)果；根據(jù)虛擬解析器對頁面源代碼進行解析以得到第一解析頁面；根據(jù)目標輸出點的XPath對第一解析頁面進行特征值檢測以得到XSS漏洞。本發(fā)明實施例提出了一種結(jié)合探針預(yù)檢測技術(shù)定位輸出點XPath，并在響應(yīng)檢測階段通過XPath精確確認XSS漏洞的機制，從而提高了漏洞檢測的準確性。

技術(shù)研發(fā)人員：萬振華
受保護的技術(shù)使用者：安徽開源互聯(lián)網(wǎng)安全技術(shù)有限公司;深圳開源互聯(lián)網(wǎng)安全技術(shù)有限公司;深圳市九州安域科技有限公司
文檔號碼：201710028970
技術(shù)研發(fā)日：2017.01.16
技術(shù)公布日：2017.06.30