一种基于静态和动态结合分析JS代码的扫描器攻击同步框架

本发明提出了一种基于静态和动态结合分析JS代码的扫描器攻击同步框架。本发明通过代理中间件的方式拦截漏洞扫描器的流量，并从流量中提取关键信息进行处理。然后设计了攻击面挖掘方法，使用这些信息初步构建攻击面集合。随后设计了一种静态和动态结合分析Javascript代码方法，通过将代码转换成抽象语法树提取出攻击面相关的代码片段，并使用远程调试技术执行代码片段得到执行结果以此来获得精确的攻击面。此外，本发明还本发明还设计了一个攻击面筛选算法，通过计算攻击面的hash值和权重进一步精简攻击面集合，精确扫描范围。最后，本发明通过攻击面集合中的信息，根据漏洞扫描器的扫描位置生成索引页面附加到响应内容中，实现攻击同步，让多个扫描器实现信息共享、协同工作，并弥补扫描器无法分析Javascript的缺点，提高扫描器的覆盖率和漏洞检测效果。