一种基于虚拟解析的漏洞检测方法及其装置
基本信息
| 申请号 | CN201710028970.6 | 申请日 | - |
| 公开(公告)号 | CN106909846A | 公开(公告)日 | 2017-06-30 |
| 申请公布号 | CN106909846A | 申请公布日 | 2017-06-30 |
| 分类号 | G06F21/56 | 分类 | 计算;推算;计数; |
| 发明人 | 万振华 | 申请(专利权)人 | 安徽开源互联网安全技术有限公司 |
| 代理机构 | 北京一格知识产权代理事务所(普通合伙) | 代理人 | 安徽开源互联网安全技术有限公司;深圳开源互联网安全技术有限公司;深圳市九州安域科技有限公司 |
| 地址 | 230000 安徽省合肥市高新区望江西路800号合肥创新产业园A4楼611室 | ||
| 法律状态 | - | ||
摘要
| 摘要 | 本发明公开了一种基于虚拟解析的漏洞检测方法及装置,其中,该方法包括:接收客户端所发送的用户请求;对用户请求插入探针以获取目标输出点的上下文信息及目标输出点的XPath;根据目标输出点的上下文信息构造目标特征值;针对目标注入参数,向Web服务器发送带有目标特征值的检测请求;接收Web服务器对检测请求的第一响应结果;根据虚拟解析器对页面源代码进行解析以得到第一解析页面;根据目标输出点的XPath对第一解析页面进行特征值检测以得到XSS漏洞。本发明实施例提出了一种结合探针预检测技术定位输出点XPath,并在响应检测阶段通过XPath精确确认XSS漏洞的机制,从而提高了漏洞检测的准确性。 |
