CN104537305B - 网站漏洞检测方法和*** - Google Patents
网站漏洞检测方法和*** Download PDFInfo
- Publication number
- CN104537305B CN104537305B CN201410854475.7A CN201410854475A CN104537305B CN 104537305 B CN104537305 B CN 104537305B CN 201410854475 A CN201410854475 A CN 201410854475A CN 104537305 B CN104537305 B CN 104537305B
- Authority
- CN
- China
- Prior art keywords
- website
- web site
- site url
- parameter
- character string
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 24
- 238000012360 testing method Methods 0.000 claims abstract description 94
- 239000000284 extract Substances 0.000 claims description 6
- 230000015572 biosynthetic process Effects 0.000 claims description 5
- 210000001072 colon Anatomy 0.000 claims description 4
- 108010001267 Protein Subunits Proteins 0.000 claims description 2
- 238000000034 method Methods 0.000 abstract description 17
- 238000004891 communication Methods 0.000 description 10
- 230000006854 communication Effects 0.000 description 10
- 230000005540 biological transmission Effects 0.000 description 7
- 241001269238 Data Species 0.000 description 4
- 230000006835 compression Effects 0.000 description 3
- 238000007906 compression Methods 0.000 description 3
- 238000010276 construction Methods 0.000 description 3
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 238000004590 computer program Methods 0.000 description 2
- 238000013497 data interchange Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 1
- 230000007175 bidirectional communication Effects 0.000 description 1
- 238000004422 calculation algorithm Methods 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 239000000243 solution Substances 0.000 description 1
- 241000894007 species Species 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer And Data Communications (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明涉及一种网站漏洞检测方法和***,该方法包括:获取待检测网站中的网站链接和/或网站表单,其中,网站链接和/或网站表单为json文本格式;对网站链接和/或网站表单进行解析,以识别网站链接和/或网站表单中参数的位置;根据位置为参数添加测试字符串形成测试请求;根据测试请求检测网站是否存在漏洞。通过本发明的技术方案,能够快速且准确地为json文本格式的网站链接和/或网站表单添加测试字符串形成测试请求,进而对网站链接和/或网站表单对应的网站进行漏洞检测。
Description
技术领域
本发明涉及网络安全技术领域,具体而言,涉及一种网站漏洞检测方法和一种网站漏洞检测***。
背景技术
json(Javascript Object Notation)是一种轻量级的数据交换语言,以文字为基础,且易于让人阅读。尽管json是在Javascript的一个子集,但JSON是独立于语言的文本格式,并且采用了类似于C语言家族的一些习惯。
这种易于人阅读和编写,同时也易于机器解析和生成的数据交换语言被广泛应用于网站数据的编码。通过json对网站中的链接或表单进行编码后形成json数据,由于json数据有着其固有的文本格式,导致现有的漏洞检测***在检测包含json数据的网站时,难以快速且准确地为其中的json数据添加测试字符串形成测试请求,使得漏洞检测难以顺利进行。
发明内容
本发明所要解决的技术问题是,如何快速且准确地为json文本格式的网站链接和/或网站表单添加测试字符串形成测试请求,进而对网站链接和/或网站表单对应的网站进行漏洞检测。
为此目的,本发明提出了一种网站漏洞检测方法,包括:获取待检测网站中的网站链接和/或网站表单,其中,所述网站链接和/或网站表单为json文本格式;对所述网站链接和/或网站表单进行解析,以识别所述网站链接和/或网站表单中参数的位置;根据所述位置为所述参数添加测试字符串形成测试请求;根据所述测试请求检测所述网站是否存在漏洞。
优选地,所述根据所述位置为所述参数添加测试字符串形成测试请求包括:根据需要检测的漏洞类型从数据库中提取相应的测试字符串。
优选地,所述识别所述网站链接和/或网站表单中参数的位置包括:
识别所述网站链接和/或网站表单的结构,根据所述结构识别所述网站链接和/或网站表单中参数的位置。
优选地,所述识别所述网站链接和/或网站表单中参数的位置还包括:
识别所述参数的类型,
则所述根据所述位置为所述参数添加测试字符串形成测试请求包括:
根据所述类型从数据库中提取相应的测试字符串;
在每个参数中分别添加与其类型相关联的测试字符串,以形成测试请求。
优选地,所述获取待检测的网站中的网站链接和/或网站表单包括:
判断所述网站链接和/或网站表单是否为json文本格式,
其中,若判定所述网站链接和/或网站表单为json文本格式,则所述对所述网站链接和/或网站表单进行解析包括:
调用预设解析引擎对所述网站链接和/或网站表单进行解析。
本发明还提出一种网站漏洞检测***,包括:
获取单元,用于获取待检测网站中的网站链接和/或网站表单,其中,所述网站链接和/或网站表单为json文本格式;
解析单元,用于对所述网站链接和/或网站表单进行解析,以识别所述网站链接和/或网站表单中参数的位置;
添加单元,用于根据所述位置为所述参数添加测试字符串形成测试请求;
检测单元,用于根据所述测试请求检测所述网站是否存在漏洞。
优选地,所述添加单元包括:
提取子单元,用于根据需要检测的漏洞类型从数据库中提取相应的测试字符串。
优选地,所述解析单元包括:
结构识别子单元,用于识别所述网站链接和/或网站表单的结构,
位置识别子单元,用于根据所述结构识别所述网站链接和/或网站表单中参数的位置。
优选地,所述解析单元包括:
类型识别子单元,用于识别所述参数的类型,
所述添加单元包括:
提取子单元,用于根据所述类型从数据库中提取相应的测试字符串;
请求形成子单元,用于在每个参数中分别添加与其类型相关联的测试字符串,以形成测试请求。
优选地,所述获取单元包括:
格式判断子单元,用于判断所述网站链接和/或网站表单是否为json文本格式;
所述解析单元包括:
调用子单元,在所述网站链接和/或网站表单为json文本格式时,调用预设解析引擎对所述网站链接和/或网站表单进行解析。
通过上述技术方案,至少能够实现以下技术效果:
1、能够对json文本格式的网站链接和/或网站表单所在网站进行漏洞检测,实现了对json文本格式的网站链接和/或网站表单中参数位置的精准查询,以及快速且准确地添加测试字符串地构造测试请求进行测试,准确地判断网站是否中是否存在漏洞,提高了网站的安全性。
2、根据需要检测的漏洞类型提取相应的测试字符串形成测试请求,可以更具有针对性地构造每个测试请求,根据每个不同的测试请求分别对网站进行检测,能够对网站漏洞实施更加全面地检测,提高网站漏洞检测结果的准确度。
3、通过为具有不同属性的参数添加相应的测试字符串形成测试请求,可以更具有针对性地构造每个测试请求,根据每个不同的测试请求分别对网站进行检测,能够提高对网站漏洞检测的全面性,提高网站漏洞检测结果的准确度。
附图说明
通过参考附图会更加清楚的理解本发明的特征和优点,附图是示意性的而不应理解为对本发明进行任何限制,在附图中:
图1示出了根据本发明一个实施例的网站漏洞检测方法的示意流程图;
图2示出了根据本发明一个实施例的网站漏洞检测***的示意框图。
具体实施方式
下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,仅用于解释本发明,而不能解释为对本发明的限制。
本技术领域技术人员可以理解,除非特意声明,这里使用的单数形式“一”、“一个”、“所述”和“该”也可包括复数形式。应该进一步理解的是,本发明的说明书中使用的措辞“包括”是指存在所述特征、整数、步骤、操作、元件和/或组件,但是并不排除存在或添加一个或多个其他特征、整数、步骤、操作、元件、组件和/或它们的组。应该理解,当我们称元件被“连接”或“耦接”到另一元件时,它可以直接连接或耦接到其他元件,或者也可以存在中间元件。此外,这里使用的“连接”或“耦接”可以包括无线连接或无线耦接。这里使用的措辞“和/或”包括一个或更多个相关联的列出项的全部或任一单元和全部组合。
本技术领域技术人员可以理解,除非另外定义,这里使用的所有术语(包括技术术语和科学术语),具有与本发明所属领域中的普通技术人员的一般理解相同的意义。还应该理解的是,诸如通用字典中定义的那些术语,应该被理解为具有与现有技术的上下文中的意义一致的意义,并且除非像这里一样被特定定义,否则不会用理想化或过于正式的含义来解释。
本技术领域技术人员可以理解,这里所使用的“终端”、“终端设备”既包括无线信号接收器的设备,其仅具备无发射能力的无线信号接收器的设备,又包括接收和发射硬件的设备,其具有能够在双向通信链路上,执行双向通信的接收和发射硬件的设备。这种设备可以包括:蜂窝或其他通信设备,其具有单线路显示器或多线路显示器或没有多线路显示器的蜂窝或其他通信设备;PCS(Personal Communications Service,个人通信***),其可以组合语音、数据处理、传真和/或数据通信能力;PDA(Personal Digital Assistant,个人数字助理),其可以包括射频接收器、寻呼机、互联网/内联网访问、网络浏览器、记事本、日历和/或GPS(Global Positioning System,全球定位***)接收器;常规膝上型和/或掌上型计算机或其他设备,其具有和/或包括射频接收器的常规膝上型和/或掌上型计算机或其他设备。这里所使用的“终端”、“终端设备”可以是便携式、可运输、安装在交通工具(航空、海运和/或陆地)中的,或者适合于和/或配置为在本地运行,和/或以分布形式,运行在地球和/或空间的任何其他位置运行。这里所使用的“终端”、“终端设备”还可以是通信终端、上网终端、音乐/视频播放终端,例如可以是PDA、MID(Mobile Internet Device,移动互联网设备)和/或具有音乐/视频播放功能的移动电话,也可以是智能电视、机顶盒等设备。
本技术领域技术人员可以理解,这里所使用的服务器、云端、远端网络设备等概念,具有等同效果,其包括但不限于计算机、网络主机、单个网络服务器、多个网络服务器集或多个服务器构成的云。在此,云由基于云计算(Cloud Computing)的大量计算机或网络服务器构成,其中,云计算是分布式计算的一种,由一群松散耦合的计算机集组成的一个超级虚拟计算机。本发明的实施例中,远端网络设备、终端设备与WNS服务器之间可通过任何通信方式实现通信,包括但不限于,基于3GPP、LTE、WIMAX的移动通信、基于TCP/IP、UDP协议的计算机网络通信以及基于蓝牙、红外传输标准的近距无线传输方式。
本领域技术人员应当理解,本发明所称的“应用”、“应用程序”、“应用软件”以及类似表述的概念,是业内技术人员所公知的相同概念,是指由一系列计算机指令及相关数据资源有机构造的适于电子运行的计算机软件。除非特别指定,这种命名本身不受编程语言种类、级别,也不受其赖以运行的操作***或平台所限制。理所当然地,此类概念也不受任何形式的终端所限制。
如图1所示,根据本发明一个实施例的网站漏洞检测方法包括:
S1,获取待检测网站中的网站链接和/或网站表单,其中,所述网站链接和/或网站表单为json文本格式;
获取操作可以由用户通过图形用户界面完成,图形用户界面中除了包括可供用户指定的待检测网站,还可以为用户提供具体网站中待检测的网站链接和/或网站表单,使得用户可以根据需要选择相应的网站,以及具体的链接、表单等处理对象,从而具有针对性地进行检测。
S2,对所述网站链接和/或网站表单进行解析,以识别所述网站链接和/或网站表单中参数的位置;
网站链接和网站表单都可以通过json编码形式来体现,通过json编码后的数据中的一个对象以“{”开始,“}”结束,且每个参数后跟一个“:”,“‘参数/值’对”之间使用“,”分隔,一个简单的示例可以是
其中“name””和“age”分别为两个参数,“Jim”为参数“name”的值,24为参数“age”的值,两个参数通过逗号分隔。根据上述形式,可以将与“{”相邻的数据识别为参数,并记录其位置,并将每个逗号之后的数据识别为参数,并记录其位置。或者可以根据每个值之前的冒号,来识别冒号之前的数据,即为参数,然后记录其位置。
当然,上述json编码数据只是一种示例,上述识别方式也只是针对这种示例的几种参数位置识别方式,实际操作中,可以根据具体的json编码数据的格式进行更进一步的解析和识别,以确定其中参数的位置。
S3,根据所述位置为所述参数添加测试字符串形成测试请求;
测试字符串可以根据具体需要测试的漏洞进行添加,例如测试SQL注入漏洞或XSS漏洞,可以分别从数据库中提取相对应的测试字符串,添加到json文本格式的网站链接和网站表单中,例如json文本格式的网站链接为
{[“name”:“abc”],[“value”:“val-1”]}
在识别其中的参数“name”和“value”的位置后,为其添加XSS漏洞测试字符串<Script>alert(42873)</Script>,从而形成测试链接
S4,根据所述测试请求检测所述网站是否存在漏洞。
通过对json文本格式的网站链接和/或网站表单所在网站进行检测,实现了对json文本格式的网站链接和/或网站表单中参数的精准查询,从而完整地构造测试请求进行测试,准确地判断网站是否中是否存在漏洞,提高网站的安全性。
优选地,所述根据所述位置为所述参数添加测试字符串形成测试请求(S3)包括:
根据需要检测的漏洞类型从数据库中提取相应的测试字符串。
为了检测不同类型的漏洞,可以提取相应的测试字符串添加到json文本格式的网站链接和/或网站表单中,形成相应格式的测试请求,从而对网站中相应类型的漏洞进行准确检测。
优选地,所述识别所述网站链接和/或网站表单中参数的位置(S2)包括:
识别所述网站链接和/或网站表单的结构,根据所述结构识别所述网站链接和/或网站表单中参数的位置。
json文本格式的网站链接和/或网站表单主要包括两种结构,一种结构为对象,对象在javascript中表示为“{}”括起来的内容,例如{key:value,key:value,...};另一种结构为数组,数组在javascript中表示为中括号“[]”括起来的内容,例如[“java”,“javascript”,“vb”,...]。
针对不同的结构,其中的参数和值的结构是不同的,因此可以针对不同的结构进行具体识别,从而准确且快速地获取不同结构的json文本格式的网站链接和/或网站表单中参数的位置,进而添加测试字符串形成测试请求。
优选地,所述识别所述网站链接和/或网站表单中参数的位置(S2)还包括:
识别所述参数的类型,
则所述根据所述位置为所述参数添加测试字符串形成测试请求(S3)包括:
根据所述类型从数据库中提取相应的测试字符串;
在每个参数中分别添加与其类型相关联的测试字符串,以形成测试请求。
由于网站链接和/或网站表单中,参数的数量不一定唯一,且每个参数的类型不尽相同,例如json文本格式的网站链接
{[“name”:“abc”],[“value”:“val-1”]},
那么其中包含两个类型的参数,其一为name,其值为abc,其二为value,其值为val-1,例如name对应用户身份标识,value对应用户权限,两个参数属于不同类型,可以根据每个参数的类型分别从数据库中获取相对应的字符串,并添加到相应的参数后以构成完整的测试请求。从而根据该测试链接进行检测,即可对其所在网站进行准确的漏洞检测,例如针对用户身份标识检测一种类型的漏洞,针对用户权限检测另一种类型的漏洞。
优选地,所述获取待检测的网站中的网站链接和/或网站表单包括:
判断所述网站链接和/或网站表单是否为json文本格式,
其中,若判定所述网站链接和/或网站表单为json文本格式,则所述对所述网站链接和/或网站表单进行解析包括:
调用预设解析引擎对所述网站链接和/或网站表单进行解析。
对于网站中数据的编码格式,除了json文本格式,还存在XML等其他格式,通过上述技术方案,在检测到json文本格式的数据时,可以调用预设解析引擎对数据进行针对性的解析,从而更加全面且完整地解析数据。例如对于json文本格式的网站链接,可以通过预设解析引擎解析出具体的Http方法,例如GET、POST等,还可以解析出统一资源标识符,即URI(Uniform Resource Identifier),以准确定位该链接对应的资源位置,更进一步还可以解析出判断条件,从而在网站链接中截取部分链接,为其添加测试字符串。
优选地,所述获取待检测的网站中的网站链接和/或网站表单(S1)包括:
识别获取到的网站链接和/或网站表单的格式,
若为XML格式,则获取XML报文模板,将所述XML报文模板转换为至少一个json类报文模板,将所述json类报文模板实例化为json类报文模板对象,并将所述json类报文模板对象以及该json类报文模板对象对应的键值保存至哈希表内,当存在外部输入信息时,将外部输入信息塞值到所述json类报文模板对象内,将每个json类报文模板对象转换为json编码,作为待解析的网站链接和/或网站表单;
若为json文本格式,则将获取到的网站链接和/或网站表单作为待解析的网站链接和/或网站表单。
网站中的数据除了json文本格式的数据,还存在XML文本格式的数据,json作为数据包格式传输的时候具有更高的效率,因为XML需要有严格的闭合标签,这就使得有效数据量与总数据包比大大提升,从而减少同等数据流量的情况下,网络的传输压力较大。因此可以将XML文本格式的数据转换为json文本格式的数据进行传输,然后在获取到json文本格式的网站链接和/或网站表单后,为其添加测试字符串形成测试请求进行测试。
降低了以XML格式进行网络传输时,所造成的冗余数据对网络流量的占用,提高了传输速度,以及B/S***的实时性,进而提升了用户体验。将XML格式转换为json格式,还可以使得***对内部或外部调用时所要求的数据格式进行灵活的序列化转换,从而可以提供对外的多种接口格式,适应更多的传输协议。
优选地,所述获取待检测的网站数据包括:
遍历读取获取到的网站数据,对其中的每一json对象分别生成一数据对象,该数据对象包含该json对象的所有Key值和Value,对每一数据对象的Key值进行对比,将重复的Key值生成一Key值模版,对每一数据对象的Value值进行对比,将重复的Value值生成一Value值模版,按照所述Key值模版和所述Value值模版对获取到的网站数据进行压缩,获取压缩后的网站数据作为所述待检测的网站数据。
通过对原有json数据全部读取后抽取模版,抽取相同的“Key值”和“Value值”作为模版,进行数据格式重组,提高json文本格式数据的压缩率,降低压缩后的文件大小,提高传输效率。
优选地,所述获取待检测的网站数据包括:所述按照所述Key值模版和所述Value值模版对待获取的json数据进行压缩包括:
将同一数据对象中重复的Value值替换成标识符,该标示符指示该Value值位于第几个Value值模板中的第几个值。
如图2所示,根据本发明一个实施例的网站漏洞检测***10包括:
获取单元11,用于获取待检测网站中的网站链接和/或网站表单,其中,所述网站链接和/或网站表单为json文本格式;
解析单元12,用于对所述网站链接和/或网站表单进行解析,以识别所述网站链接和/或网站表单中参数的位置;
添加单元13,用于根据所述位置为所述参数添加测试字符串形成测试请求;
检测单元14,用于根据所述测试请求检测所述网站是否存在漏洞。
优选地,所述添加单元13包括:
提取子单元131,用于根据需要检测的漏洞类型从数据库中提取相应的测试字符串。
优选地,所述解析单元12包括:
结构识别子单元121,用于识别所述网站链接和/或网站表单的结构,
位置识别子单元122,用于根据所述结构识别所述网站链接和/或网站表单中参数的位置。
优选地,所述解析单元12包括:
类型识别子单元123,用于识别所述参数的类型,
所述添加单元13包括:
提取子单元131,用于根据所述类型从数据库中提取相应的测试字符串;
请求形成子单元132,用于在每个参数中分别添加与其类型相关联的测试字符串,以形成测试请求。
优选地,所述获取单元11包括:
格式判断子单元111,用于判断所述网站链接和/或网站表单是否为json文本格式;
所述解析单元12包括:
调用子单元124,在所述网站链接和/或网站表单为json文本格式时,调用预设解析引擎对所述网站链接和/或网站表单进行解析。
综上所述,本发明通过解析并识别json文本格式的网站链接和/或网站表单中参数的位置,为其中的参数中添加测试字符串形成测试请求,对相应的网站进行测试。实现了对存在json文本格式数据的网站准确地漏洞检测,提高了网站的安全性。
应当注意,在此提供的算法和公式不与任何特定计算机、虚拟***或者其它设备固有相关。各种通用***也可以与基于在此的示例一起使用。根据上面的描述,构造这类***所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本发明并帮助理解本发明各个方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法和装置解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如权利要求书所反映,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的网站安全检测设备中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
以上所述仅是本发明的部分实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (8)
1.一种网站漏洞检测方法,其特征在于,包括:
获取待检测网站中的网站链接和/或网站表单,其中,所述网站链接和/或网站表单为json文本格式;
对所述网站链接和/或网站表单进行解析,以识别所述网站链接和/或网站表单中参数的位置;
根据所述位置为所述参数添加测试字符串形成测试请求;
根据所述测试请求检测所述网站是否存在漏洞;
其中,所述识别所述网站链接和/或网站表单中参数的位置包括:
识别所述网站链接和/或网站表单的结构,根据所述结构识别所述网站链接和/或网站表单中参数的位置,具体包括:将json文本格式的所述网站链接和/或网站表单中与左大括号相邻的数据识别为参数并记录其位置,将每个逗号之后的数据识别为参数并记录其位置,或者,将json文本格式的所述网站链接和/或网站表单中每个冒号之前的数据识别为参数并记录其位置。
2.根据权利要求1所述网站漏洞检测方法,其特征在于,所述根据所述位置为所述参数添加测试字符串形成测试请求包括:
根据需要检测的漏洞类型从数据库中提取相应的测试字符串。
3.根据权利要求1所述网站漏洞检测方法,其特征在于,所述识别所述网站链接和/或网站表单中参数的位置还包括:
识别所述参数的类型,
则所述根据所述位置为所述参数添加测试字符串形成测试请求包括:
根据所述类型从数据库中提取相应的测试字符串;
在每个参数中分别添加与其类型相关联的测试字符串,以形成测试请求。
4.根据权利要求1至3中任一项所述网站漏洞检测方法,其特征在于,所述获取待检测的网站中的网站链接和/或网站表单包括:
判断所述网站链接和/或网站表单是否为json文本格式,
其中,若判定所述网站链接和/或网站表单为json文本格式,则所述对所述网站链接和/或网站表单进行解析包括:
调用预设解析引擎对所述网站链接和/或网站表单进行解析。
5.一种网站漏洞检测***,其特征在于,包括:
获取单元,用于获取待检测网站中的网站链接和/或网站表单,其中,所述网站链接和/或网站表单为json文本格式;
解析单元,用于对所述网站链接和/或网站表单进行解析,以识别所述网站链接和/或网站表单中参数的位置;
添加单元,用于根据所述位置为所述参数添加测试字符串形成测试请求;
检测单元,用于根据所述测试请求检测所述网站是否存在漏洞;
其中,所述解析单元包括:
结构识别子单元,用于识别所述网站链接和/或网站表单的结构,
位置识别子单元,用于根据所述结构识别所述网站链接和/或网站表单中参数的位置,具体包括:将json文本格式的所述网站链接和/或网站表单中与左大括号相邻的数据识别为参数并记录其位置,将每个逗号之后的数据识别为参数并记录其位置,或者,将json文本格式的所述网站链接和/或网站表单中每个冒号之前的数据识别为参数并记录其位置。
6.根据权利要求5所述网站漏洞检测***,其特征在于,所述添加单元包括:
提取子单元,用于根据需要检测的漏洞类型从数据库中提取相应的测试字符串。
7.根据权利要求5所述网站漏洞检测***,其特征在于,所述解析单元包括:
类型识别子单元,用于识别所述参数的类型,
所述添加单元包括:
提取子单元,用于根据所述类型从数据库中提取相应的测试字符串;
请求形成子单元,用于在每个参数中分别添加与其类型相关联的测试字符串,以形成测试请求。
8.根据权利要求5至7中任一项所述网站漏洞检测***,其特征在于,所述获取单元包括:
格式判断子单元,用于判断所述网站链接和/或网站表单是否为json文本格式;
所述解析单元包括:
调用子单元,在所述网站链接和/或网站表单为json文本格式时,调用预设解析引擎对所述网站链接和/或网站表单进行解析。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410854475.7A CN104537305B (zh) | 2014-12-31 | 2014-12-31 | 网站漏洞检测方法和*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410854475.7A CN104537305B (zh) | 2014-12-31 | 2014-12-31 | 网站漏洞检测方法和*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104537305A CN104537305A (zh) | 2015-04-22 |
| CN104537305B true CN104537305B (zh) | 2017-12-15 |
Family
ID=52852827
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410854475.7A Active CN104537305B (zh) | 2014-12-31 | 2014-12-31 | 网站漏洞检测方法和*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104537305B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106548075B (zh) * | 2015-09-22 | 2020-03-27 | 阿里巴巴集团控股有限公司 | 漏洞检测方法和装置 |
| CN106101082A (zh) * | 2016-05-31 | 2016-11-09 | 乐视控股(北京)有限公司 | 权限漏洞检测方法及装置 |
| CN108011898B (zh) * | 2018-01-30 | 2020-11-20 | 深圳壹账通智能科技有限公司 | 漏洞检测方法、装置、计算机设备和存储介质 |
| CN110309658B (zh) * | 2019-06-27 | 2021-02-05 | 暨南大学 | 一种基于强化学习的不安全xss防御***识别方法 |
| CN111901310A (zh) * | 2020-07-06 | 2020-11-06 | 北京达佳互联信息技术有限公司 | 一种网站安全测试方法、装置、电子设备及存储介质 |
| CN116861439B (zh) * | 2023-06-21 | 2024-04-12 | 三峡高科信息技术有限责任公司 | 一种组件化方式实现业务***防sql注入的方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101964025A (zh) * | 2009-07-23 | 2011-02-02 | 中联绿盟信息技术(北京)有限公司 | Xss检测方法和设备 |
| CN102508674A (zh) * | 2011-12-02 | 2012-06-20 | 方正国际软件有限公司 | 基于json进行对象化参数传递的方法及*** |
| CN102819710A (zh) * | 2012-08-22 | 2012-12-12 | 西北工业大学 | 基于渗透测试的跨站点脚本漏洞检测方法 |
| CN103095681A (zh) * | 2012-12-03 | 2013-05-08 | 微梦创科网络科技(中国)有限公司 | 一种检测漏洞的方法及装置 |
| CN103414538A (zh) * | 2013-08-05 | 2013-11-27 | 国云科技股份有限公司 | 一种分布式环境下网络数据通信的数据包分拣方法 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9003501B2 (en) * | 2010-12-07 | 2015-04-07 | Mcafee, Inc. | Method and system for protecting against unknown malicious activities by detecting a heap spray attack on an electronic device |
| CN104125197B (zh) * | 2013-04-24 | 2017-08-08 | 阿里巴巴集团控股有限公司 | 一种安全基线***及其实现安全检查的方法 |
-
2014
- 2014-12-31 CN CN201410854475.7A patent/CN104537305B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101964025A (zh) * | 2009-07-23 | 2011-02-02 | 中联绿盟信息技术(北京)有限公司 | Xss检测方法和设备 |
| CN102508674A (zh) * | 2011-12-02 | 2012-06-20 | 方正国际软件有限公司 | 基于json进行对象化参数传递的方法及*** |
| CN102819710A (zh) * | 2012-08-22 | 2012-12-12 | 西北工业大学 | 基于渗透测试的跨站点脚本漏洞检测方法 |
| CN103095681A (zh) * | 2012-12-03 | 2013-05-08 | 微梦创科网络科技(中国)有限公司 | 一种检测漏洞的方法及装置 |
| CN103414538A (zh) * | 2013-08-05 | 2013-11-27 | 国云科技股份有限公司 | 一种分布式环境下网络数据通信的数据包分拣方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104537305A (zh) | 2015-04-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104537305B (zh) | 网站漏洞检测方法和*** | |
| CN104200166B (zh) | 基于脚本的网站漏洞扫描方法和*** | |
| US10620945B2 (en) | API specification generation | |
| US11601462B2 (en) | Systems and methods of intelligent and directed dynamic application security testing | |
| CN109361643B (zh) | 一种恶意样本的深度溯源方法 | |
| US9529662B1 (en) | Dynamic rule-based automatic crash dump analyzer | |
| CN104881603B (zh) | 网页重定向漏洞检测方法及装置 | |
| US10546132B2 (en) | String property labels for static analysis | |
| CN107341399B (zh) | 评估代码文件安全性的方法及装置 | |
| CN104298921B (zh) | 动画源文件安全漏洞检查方法及装置 | |
| CN104881608A (zh) | 一种基于模拟浏览器行为的xss漏洞检测方法 | |
| CN103297394B (zh) | 网站安全检测方法和装置 | |
| CN104539605B (zh) | 网站xss漏洞检测方法和设备 | |
| US10331441B2 (en) | Source code mapping through context specific key word indexes and fingerprinting | |
| US20220198025A1 (en) | Web Attack Simulator | |
| Barua et al. | Server side detection of content sniffing attacks | |
| CN103559444A (zh) | 一种sql注入检测方法及装置 | |
| CN103077254B (zh) | 网页获取方法和装置 | |
| CN104881607A (zh) | 一种基于模拟浏览器行为的xss漏洞检测*** | |
| CN112989348B (zh) | 攻击检测方法、模型训练方法、装置、服务器及存储介质 | |
| CN104519070A (zh) | 网站权限漏洞检测方法和*** | |
| CN104036003B (zh) | 搜索结果整合方法和装置 | |
| CN108632219A (zh) | 一种网站漏洞检测方法、检测服务器及*** | |
| US8489631B2 (en) | Distributing a query | |
| CN103812906B (zh) | 一种网址推荐方法、装置和通信*** |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C41 | Transfer of patent application or patent right or utility model | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20161128 Address after: 100015 Chaoyang District Road, Jiuxianqiao, No. 10, building No. 3, floor 15, floor 17, 1701-26, Applicant after: BEIJING QIANXIN TECHNOLOGY Co.,Ltd. Address before: 100088 Beijing city Xicheng District xinjiekouwai Street 28, block D room 112 (Desheng Park) Applicant before: BEIJING QIHOO TECHNOLOGY Co.,Ltd. Applicant before: Qizhi software (Beijing) Co.,Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address | ||
| CP03 | Change of name, title or address |
Address after: Room 332, 3 / F, Building 102, 28 xinjiekouwei street, Xicheng District, Beijing 100088 Patentee after: QAX Technology Group Inc. Address before: 100015 15, 17 floor 1701-26, 3 building, 10 Jiuxianqiao Road, Chaoyang District, Beijing. Patentee before: BEIJING QIANXIN TECHNOLOGY Co.,Ltd. |
|
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20201231 Address after: 100044 2nd floor, building 1, yard 26, Xizhimenwai South Road, Xicheng District, Beijing Patentee after: LEGENDSEC INFORMATION TECHNOLOGY (BEIJING) Inc. Patentee after: QAX Technology Group Inc. Address before: Room 332, 3 / F, Building 102, 28 xinjiekouwei street, Xicheng District, Beijing 100088 Patentee before: QAX Technology Group Inc. |
|
| CP01 | Change in the name or title of a patent holder | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 100044 2nd floor, building 1, yard 26, Xizhimenwai South Road, Xicheng District, Beijing Patentee after: Qianxin Wangshen information technology (Beijing) Co.,Ltd. Patentee after: QAX Technology Group Inc. Address before: 100044 2nd floor, building 1, yard 26, Xizhimenwai South Road, Xicheng District, Beijing Patentee before: LEGENDSEC INFORMATION TECHNOLOGY (BEIJING) Inc. Patentee before: QAX Technology Group Inc. |