公开(公告)号：CN110708308B

公开(公告)日：2021-08-17

申请号：CN201910933163.8

申请日：2019-09-29

Applicant: 武汉大学

Inventor： 陈晶 ,  何琨 ,  杜瑞颖 ,  杨子康

IPC: H04L29/06 ,  H04L29/08 ,  G06F8/60

Abstract: 本发明公开了一种面向云计算环境的跨站脚本漏洞挖掘方法及系统，本发明通过网页爬行模块先抓取超HTTP的Web页面；HTML解析模块对抓取的Web页面进行解析以获取对应的DOM结构树，同时，HTML解析模块会获取嵌入式的URL链接及调用参数；将URL及调用参数传递给外部JavaScript链接提取器模块模块，该模块能够提取对应的外部JS文件集；脚本提取器模块能够提取HTTP响应消息中相关的脚本内容；将此脚本内容和从URL链接中检索到的脚本内容进行相似性检测，通过是否检测到相似性来判断是否存在XSS漏洞。本发明有效地避免了修改浏览器和Web应用程序的源码。本发明解决了云计算环境中部署的Web应用程序容易受到跨站脚本攻击的问题，提高了安全性。

公开(公告)号：CN110708308A

公开(公告)日：2020-01-17

申请号：CN201910933163.8

申请日：2019-09-29

Applicant: 武汉大学

Inventor： 陈晶 ,  何琨 ,  杜瑞颖 ,  杨子康

IPC: H04L29/06 ,  H04L29/08 ,  G06F8/60

Abstract: 本发明公开了一种面向云计算环境的跨站脚本漏洞挖掘方法及系统，本发明通过网页爬行模块先抓取超HTTP的Web页面；HTML解析模块对抓取的Web页面进行解析以获取对应的DOM结构树，同时，HTML解析模块会获取嵌入式的URL链接及调用参数；将URL及调用参数传递给外部JavaScript链接提取器模块模块，该模块能够提取对应的外部JS文件集；脚本提取器模块能够提取HTTP响应消息中相关的脚本内容；将此脚本内容和从URL链接中检索到的脚本内容进行相似性检测，通过是否检测到相似性来判断是否存在XSS漏洞。本发明有效地避免了修改浏览器和Web应用程序的源码。本发明解决了云计算环境中部署的Web应用程序容易受到跨站脚本攻击的问题，提高了安全性。