模塊11用于對(duì)獲取模塊10獲取的參數(shù)值對(duì)集合中的每個(gè)參數(shù)值對(duì)�����,采用特征腳本替換參數(shù)值�,形成待檢測網(wǎng)頁的測試網(wǎng)址;特征腳本為包含有惡意字符且能在待檢測網(wǎng)頁的DOM樹中唯一標(biāo)識(shí)的惡意代碼��;獲取模塊10還用于獲取替換模塊11替換的得到的測試網(wǎng)址的頁面內(nèi)容�;轉(zhuǎn)化模塊12與獲取模塊10連接,轉(zhuǎn)換模塊12用于將獲取模塊10獲取的頁面內(nèi)容轉(zhuǎn)化為DOM樹����;檢測模塊13與轉(zhuǎn)化模塊12連接,檢測模塊13用于根據(jù)轉(zhuǎn)化模塊12轉(zhuǎn)化得到的DOM樹和特征腳本檢測當(dāng)前的參數(shù)值對(duì)是否存在XSS漏洞�。該特征腳本可以為預(yù)先設(shè)置的。
[0082]本實(shí)施例的DOM XSS漏洞檢測裝置���,通過采用上述模塊實(shí)現(xiàn)DOM XSS漏洞的檢測與上述相關(guān)方法實(shí)施例的實(shí)現(xiàn)機(jī)制相同�����,詳細(xì)可以參考上述實(shí)施例的記載���,在此不再贅述。
[0083]本實(shí)施例的DOM XSS漏洞檢測裝置���,通過采用上述模塊����,只需在轉(zhuǎn)化的DOM樹中尋找插入的特征腳本���,而不需要讓特征腳本觸發(fā)執(zhí)行就能有效發(fā)現(xiàn)DOM XSS漏洞�,大大提高了漏洞發(fā)現(xiàn)能力及檢測效率���。
[0084]圖6為本發(fā)明另一實(shí)施例提供的DOM XSS漏洞檢測裝置的結(jié)構(gòu)示意圖����。如圖6所示�����,本實(shí)施例在上述圖5所示實(shí)施例的基礎(chǔ)上,進(jìn)一步包括如下可選技術(shù)方案。
[0085]如圖6所示��,本實(shí)施例的DOM XSS漏洞檢測裝置中的檢測模塊13具體用于判斷DOM樹中是否包括特征腳本�����,當(dāng)包括時(shí)���,確定當(dāng)前的參數(shù)值對(duì)存在XSS漏洞�;否則當(dāng)不包括時(shí)�,確定當(dāng)前的參數(shù)值對(duì)不存在XSS漏洞。
[0086]可選地�,如圖6所示,本實(shí)施例的DOM XSS漏洞檢測裝置中的獲取模塊10具體用于向測試網(wǎng)址的網(wǎng)站服務(wù)器20請(qǐng)求測試網(wǎng)址的頁面內(nèi)容����;并接收測試網(wǎng)址的網(wǎng)站服務(wù)器20響應(yīng)的頁面內(nèi)容。如圖6所示�,圖中還示出了與獲取模塊10交互的網(wǎng)站服務(wù)器20,網(wǎng)站服務(wù)器為某網(wǎng)站的服務(wù)器�����,該網(wǎng)站服務(wù)器20中存儲(chǔ)有該網(wǎng)站下的所有網(wǎng)頁的頁面內(nèi)容,并在其他設(shè)備或者模塊向其請(qǐng)求某頁面內(nèi)容時(shí)�����,向請(qǐng)求的設(shè)備或者模塊響應(yīng)請(qǐng)求的頁面內(nèi)容�。當(dāng)該網(wǎng)站服務(wù)器20接收到獲取模塊10發(fā)送的測試網(wǎng)址的頁面內(nèi)容的請(qǐng)求時(shí),獲取該測試網(wǎng)址的頁面內(nèi)容�����,并向該獲取模塊10發(fā)送響應(yīng)�,以將該測試網(wǎng)址的頁面內(nèi)容發(fā)送給該獲取模塊10���。
[0087]可選地�����,如圖6所示���,本實(shí)施例的DOM XSS漏洞檢測裝置還可以包括接收模塊14。該接收模塊14用于接收用戶通過人機(jī)接口模塊輸入的待檢測網(wǎng)頁的原始網(wǎng)址����。此時(shí)對(duì)應(yīng)的獲取模塊10與接收模塊14連接���,獲取模塊10用于獲取接收模塊14接收的待檢測網(wǎng)頁的原始網(wǎng)址中的參數(shù)值對(duì)集合。
[0088]可選地�,如圖6所示,本實(shí)施例的DOM XSS漏洞檢測裝置還可以包括引擎觸發(fā)模塊15��,該引擎觸發(fā)模塊15為本發(fā)明實(shí)施例的一個(gè)備用的輔助模塊�。對(duì)于一些DOM XSS漏洞需要點(diǎn)擊某個(gè)按鈕才能觸發(fā),此時(shí)在由初始返回頁面生成的DOM樹中找不到特征腳本的DOMXSS漏洞����,在檢測模塊13檢測確定文檔對(duì)象模型樹中不包括特征腳本時(shí),此時(shí)引擎觸發(fā)模塊15觸發(fā)執(zhí)行待檢測網(wǎng)頁中的按鈕�����,這樣才將DOM XSS漏洞觸發(fā)��,此時(shí)再由獲取模塊10獲取已經(jīng)由該引擎觸發(fā)模塊15觸發(fā)了按鈕后的測試網(wǎng)址的頁面內(nèi)容�。因此獲取模塊10還與引擎觸發(fā)模塊15連接。后續(xù)繼續(xù)上述操作�����,獲取模塊10獲取替換模塊11替換的得到的測試網(wǎng)址的頁面內(nèi)容����;轉(zhuǎn)換模塊12將獲取模塊10獲取的頁面內(nèi)容轉(zhuǎn)化為DOM樹����;檢測模塊13根據(jù)轉(zhuǎn)化模塊12轉(zhuǎn)化得到的DOM樹和特征腳本檢測當(dāng)前的參數(shù)值對(duì)是否存在XSS漏洞�����。若觸發(fā)該按鈕之后�����,檢測模塊13還判斷DOM樹中仍不包括特征腳本�,此時(shí)引擎觸發(fā)模塊15觸發(fā)執(zhí)行待檢測網(wǎng)頁中的下一個(gè)按鈕����,直到所有的按鈕都被觸發(fā),檢測模塊13檢測DOM樹中均不包括特征腳本���,此時(shí)才確定當(dāng)前的參數(shù)值對(duì)不存在XSS漏洞�����。通過采用該方案�,對(duì)于一些更復(fù)雜的DOM XSS漏洞,本發(fā)明實(shí)施例的技術(shù)方案也能夠檢測到�,進(jìn)一步提高了漏洞發(fā)現(xiàn)能力。
[0089]本實(shí)施例的上述所有可選技術(shù)方案���,可以采用可以結(jié)合的方式任意組合形成本發(fā)明的可選技術(shù)方案�����,在此不再舉例���。
[0090]本實(shí)施例的DOM XSS漏洞檢測裝置,通過采用上述模塊實(shí)現(xiàn)DOM XSS漏洞的檢測與上述相關(guān)方法實(shí)施例的實(shí)現(xiàn)機(jī)制相同����,詳細(xì)可以參考上述實(shí)施例的記載,在此不再贅述�����。
[0091]本實(shí)施例的DOM XSS漏洞檢測裝置����,通過采用上述模塊只需在轉(zhuǎn)化的DOM樹中尋找插入的特征腳本,而不需要讓特征腳本觸發(fā)執(zhí)行就能有效發(fā)現(xiàn)DOM XSS漏洞,大大提高了漏洞發(fā)現(xiàn)能力及檢測效率�。此外對(duì)于如需要在返回頁面點(diǎn)擊按鈕后才能觸發(fā)的更復(fù)雜的DOM XSS漏洞,上述實(shí)施例的技術(shù)方案也能檢測到�,相比現(xiàn)有技術(shù),進(jìn)一步擴(kuò)大了DOM XSS漏洞的檢測范圍���,提高了漏洞發(fā)現(xiàn)能力����。而且上述實(shí)施例的技術(shù)方案不僅能檢測DOM XSS漏洞��,也可以有效檢測普通反射型XSS漏洞����,適用性非常強(qiáng)。
[0092]本實(shí)施例的DOM XSS漏洞檢測裝置具體可以設(shè)置在瀏覽器客戶端側(cè)�,作為瀏覽器的一個(gè)引擎裝置來使用�。還可以設(shè)置在一個(gè)終端中,單獨(dú)執(zhí)行其功能����。
[0093]圖7是本發(fā)明實(shí)施例提供的一種終端結(jié)構(gòu)示意圖。參見圖7����,該終端可以用于實(shí)施上述實(shí)施例中提供的DOM XSS漏洞檢測方法�����。具體來講:
[0094]終端設(shè)備800可以包括通信單元110�����、包括有一個(gè)或一個(gè)以上計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)的存儲(chǔ)器120����、輸入單元130����、顯示單元140、傳感器150����、音頻電路160、WiFi (wirelessfidelity��,無線保真)模塊170���、包括有一個(gè)或者一個(gè)以上處理核心的處理器180����、以及電源190等部件。本領(lǐng)域技術(shù)人員可以理解�,圖7中示出的終端設(shè)備結(jié)構(gòu)并不構(gòu)成對(duì)終端設(shè)備的限定,可以包括比圖示更多或更少的部件��,或者組合某些部件���,或者不同的部件布置��。其中:
[0095]通信單元110可用于收發(fā)信息或通話過程中�����,信號(hào)的接收和發(fā)送���,該通信單元110可以為RF (Rad1 Frequency,射頻)電路����、路由器�、調(diào)制解調(diào)器、等網(wǎng)絡(luò)通信設(shè)備�。特別地,當(dāng)通信單元110為RF電路時(shí),將基站的下行信息接收后��,交由一個(gè)或者一個(gè)以上處理器180處理�;另外,將涉及上行的數(shù)據(jù)發(fā)送給基站����。通常,作為通信單元的RF電路包括但不限于天線��、至少一個(gè)放大器�����、調(diào)諧器��、一個(gè)或多個(gè)振蕩器���、用戶身份模塊(SIM)卡����、收發(fā)信機(jī)���、耦合器����、LNA(Low Noise Amplifier,低噪聲放大器)、雙工器等����。此外,通信單元110還可以通過無線通信與網(wǎng)絡(luò)和其他設(shè)備通信。所述無線通信可以使用任一通信標(biāo)準(zhǔn)或協(xié)議�,包括但不限于 GSM(Global System of Mobile communicat1n,全球移動(dòng)通訊系統(tǒng))、GPRS (GeneralPacket Rad1 Service,通用分組無線服務(wù))�����、CDMA (Code Divis1n Multiple Access,石馬分多址)�����、WCDMA(Wideband Code Divis1n Multiple Access,寬帶碼分多址)����、LTE (LongTerm Evolut1n,長期演進(jìn))、電子郵件����、SMS (Short Messaging Service,短消息服務(wù))等。存儲(chǔ)器120可用于存儲(chǔ)軟件程序以及模塊��,處理器180通過運(yùn)行存儲(chǔ)在存儲(chǔ)器120的軟件程序以及模塊���,從而執(zhí)行各種功能應(yīng)用以及數(shù)據(jù)處理�。存儲(chǔ)器120可主要包括存儲(chǔ)程序區(qū)和存儲(chǔ)數(shù)據(jù)區(qū)���,其中��,存儲(chǔ)程序區(qū)可存儲(chǔ)操作系統(tǒng)�����、至少一個(gè)功能所需的應(yīng)用程序(比如聲音播放功能�����、圖像播放功能等)等��;存儲(chǔ)數(shù)據(jù)區(qū)可存儲(chǔ)根據(jù)終端設(shè)備800的使用所創(chuàng)建的數(shù)據(jù)(比如音頻數(shù)據(jù)��、電話本等)等�����。此外���,存儲(chǔ)器120可以包括高速隨機(jī)存取存儲(chǔ)器���,還可以包括非易失性存儲(chǔ)器,例如至少一個(gè)磁盤存儲(chǔ)器件�、閃存器件、或其他易失性固態(tài)存儲(chǔ)器件���。相應(yīng)地����,存儲(chǔ)器120還可以包括存儲(chǔ)器控制器�����,以提供處理器180和輸入單元130對(duì)存儲(chǔ)器120的訪問�����。
[0096]輸入單元130可用于接收輸入的數(shù)字或字符信息���,以及產(chǎn)生與用戶設(shè)置以及功能控制有關(guān)的鍵盤�、鼠標(biāo)��、操作桿、光學(xué)或者軌跡球信號(hào)輸入�。具體地,輸入單元130可包括觸敏表面131以及其他輸入設(shè)備132�。觸敏表面131��,也稱為觸摸顯示屏或者觸控板���,可收集用戶在其上或附近的觸摸操作(比如用戶使用手指�����、觸筆等任何適合的物體或附件在觸敏表面131上或在觸敏表面131附近的操作)���,并根據(jù)預(yù)先設(shè)定的程式驅(qū)動(dòng)相應(yīng)的連接裝置?�?蛇x的����,觸敏表面131可包括觸摸檢測裝置和觸摸控制器兩個(gè)部分。其中���,觸摸檢測裝置檢測用戶的觸摸方位���,并檢測觸摸操作帶來的信號(hào)�����,將信號(hào)傳送給觸摸控制器����;觸摸控制器從觸摸檢測裝置上接收觸摸信息�,并將它轉(zhuǎn)換成觸點(diǎn)坐標(biāo),再送給處理器180�,并能接收處理器180發(fā)來的命令并加以執(zhí)行。此外�����,可以采用電阻式����、電容式、紅外線以及表面聲波等多種類型實(shí)現(xiàn)觸敏表面131�。除了觸敏表面131,輸入單元130還可以包括其他輸入設(shè)備132����。具體地�,其他輸入設(shè)備132可以包括但不限于物理鍵盤����、功能鍵(比如音量控制按鍵、開關(guān)按鍵等)����、軌跡球�、鼠標(biāo)、操作桿等中的一種或多種����。
[0097]顯示單元140可用于顯示由用戶輸入的信息或提供給用戶的信息以及終端設(shè)備800的各種圖形用戶接口,這些圖形用戶接口可以由圖形�����、文本�、圖標(biāo)、視頻和其任意組合來構(gòu)成�。顯示單元140可包括顯示面板141,可選的,可以采用IXD (Liquid Crystal Display,液晶顯示器)、OLED (Organic Light-Emitting D1de,有機(jī)發(fā)光二極管)等形式來配置顯示面板141����。進(jìn)一步的,觸敏表面131可覆蓋顯示面板141���,當(dāng)觸敏表面131檢測到在其上或附近的觸摸操作后,傳送給處理器180以確定觸摸事件的類型�,隨后處理器180根據(jù)觸摸事件的類型在顯示面板141上提供相應(yīng)的視覺輸出。雖然在圖7中�����,觸敏表面131與顯示面板141是作為兩個(gè)獨(dú)立的部件來實(shí)現(xiàn)輸入和輸入功能�,但是在某些實(shí)施例中,可以將觸敏表面131與顯示面板141集成而實(shí)現(xiàn)輸入和輸出功能���。
[0098]終端設(shè)備800還可包括至少一種傳感器150����,比如光傳感器��、運(yùn)動(dòng)傳感器以及其他傳感器�����。具體地�,光傳感器可包括環(huán)境光傳感器及接近傳感器,其中,環(huán)境光傳感器可根據(jù)環(huán)境光線的明暗來調(diào)節(jié)顯示面板141的亮度����,接近傳感器可在終端設(shè)備80