CN106548075B - 漏洞检测方法和装置 - Google Patents
漏洞检测方法和装置 Download PDFInfo
- Publication number
- CN106548075B CN106548075B CN201510607908.3A CN201510607908A CN106548075B CN 106548075 B CN106548075 B CN 106548075B CN 201510607908 A CN201510607908 A CN 201510607908A CN 106548075 B CN106548075 B CN 106548075B
- Authority
- CN
- China
- Prior art keywords
- url
- urls
- vulnerability
- result corresponding
- website
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本申请提出一种漏洞检测方法和装置,该漏洞检测方法包括:接收并保存网站的登录信息;向所述网站中的统一资源定位符URL对应的服务器发送访问请求,所述访问请求包括所述网站的登录信息;接收所述服务器发送的所述URL对应的返回结果;根据所述URL对应的返回结果检测所述URL是否存在漏洞。本申请根据URL对应的返回结果检测URL是否存在漏洞,可以实现有效地对URL是否存在水平权限漏洞进行大批量的自动化检测,实现成本较低,并且可以节省大量的人力成本。
Description
技术领域
本申请涉及互联网技术领域,尤其涉及一种漏洞检测方法和装置。
背景技术
水平权限漏洞一般出现在一个用户对象关联多个其他对象(订单和/或地址等)、并且要实现对关联对象的增加、读取、更新和删除操作(Create Retrieve Update Delete;以下简称:CRUD)的时候。开发者一般***权限漏洞。
由于这类关联对象的操作都和业务相关,且接口独立,所以很难实现通用的预防或解决方案,现有技术中也没有提供一种容易实现且能够有效地对水平权限漏洞进行检测的技术方案。
发明内容
本申请的目的旨在至少在一定程度上解决相关技术中的技术问题之一。
为此,本申请的第一个目的在于提出一种漏洞检测方法。该方法根据统一资源定位符(Uniform Resource Locator;以下简称:URL)对应的返回结果检测URL是否存在漏洞,可以实现有效地对URL是否存在水平权限漏洞进行大批量的自动化检测,实现成本较低,并且可以节省大量的人力成本。
本申请的第二个目的在于提出一种漏洞检测装置。
为了实现上述目的,本申请第一方面实施例的漏洞检测方法,包括:接收并保存网站的登录信息;向所述网站中的统一资源定位符URL对应的服务器发送访问请求,所述访问请求包括所述网站的登录信息;接收所述服务器发送的所述URL对应的返回结果;根据所述URL对应的返回结果检测所述URL是否存在漏洞。
本申请实施例的漏洞检测方法中,接收并保存网站的登录信息之后,向上述网站中的URL对应的服务器发送访问请求,上述访问请求中携带上述网站的登录信息;然后接收上述服务器发送的上述URL对应的返回结果,根据上述URL对应的返回结果检测上述URL是否存在漏洞,从而可以实现根据URL对应的返回结果检测URL是否存在漏洞,进而可以实现有效地对URL是否存在水平权限漏洞进行大批量的自动化检测,实现成本较低,并且可以节省大量的人力成本。
为了实现上述目的,本申请第二方面实施例的漏洞检测装置,包括:接收模块,用于接收网站的登录信息;保存模块,用于保存所述接收模块接收的网站的登录信息;发送模块,用于向所述网站中的统一资源定位符URL对应的服务器发送访问请求,所述访问请求包括所述保存模块保存的网站的登录信息;所述接收模块,还用于接收所述服务器发送的所述URL对应的返回结果;检测模块,用于根据所述接收模块接收的所述URL对应的返回结果检测所述URL是否存在漏洞。
本申请实施例的漏洞检测装置中,接收模块接收网站的登录信息,保存模块保存接收模块接收的登录信息,然后发送模块向上述网站中的URL对应的服务器发送访问请求,上述访问请求中携带上述网站的登录信息;然后接收模块接收上述服务器发送的上述URL对应的返回结果,检测模块根据上述URL对应的返回结果检测上述URL是否存在漏洞,从而可以实现根据URL对应的返回结果检测URL是否存在漏洞,进而可以实现有效地对URL是否存在水平权限漏洞进行大批量的自动化检测,实现成本较低,并且可以节省大量的人力成本。
本申请附加的方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本申请的实践了解到。
附图说明
本申请上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解,其中:
图1为本申请漏洞检测方法一个实施例的流程图;
图2为本申请漏洞检测方法另一个实施例的流程图;
图3为本申请漏洞检测装置一个实施例的结构示意图;
图4为本申请漏洞检测装置另一个实施例的结构示意图。
具体实施方式
下面详细描述本申请的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,仅用于解释本申请,而不能理解为对本申请的限制。相反,本申请的实施例包括落入所附加权利要求书的精神和内涵范围内的所有变化、修改和等同物。
图1为本申请漏洞检测方法一个实施例的流程图,如图1所示,该漏洞检测方法可以包括:
步骤101,接收并保存网站的登录信息。
本实施例中,在通过浏览器登录网站之后,浏览器可以接收到网站的登录信息,然后浏览器可以保存上述网站的登录信息。
步骤102,向上述网站中的URL对应的服务器发送访问请求。
其中,上述访问请求包括上述网站的登录信息。
本实施例中,浏览器中安装的浏览器插件,可以访问上述网站中的URL对应的服务器,在向上述URL对应的服务器发送的访问请求中携带上述网站的登录信息,这样,在接收到上述访问请求之后,上述服务器会认为已经登录上述网站并返回上述URL对应的返回结果。
步骤103,接收上述服务器发送的上述URL对应的返回结果。
步骤104,根据上述URL对应的返回结果检测上述URL是否存在漏洞。
本实施例中,上述浏览器插件接收上述服务器发送的上述URL对应的返回结果之后,可以根据上述URL对应的返回结果检测上述URL是否存在漏洞。
具体地,一种实现方式中,根据上述URL对应的返回结果检测上述URL是否存在漏洞可以为:如果上述URL对应的返回结果中包括设定的关键字,则确定上述URL不存在水平权限漏洞;如果上述URL对应的返回结果中不包括设定的关键字,则确定上述URL存在水平权限漏洞的风险。
其中,上述设定的关键字可以包括:“您无权”、“不属于您”或者“状态错误”等,当然本实施例并不仅限于此,上述设定的关键字还可以根据实际需要进行添加,本实施例对上述设定的关键字不作限定。
进一步地,步骤104之后,可以将步骤104的检测结果传送给一个进行结果统计的应用,以供工作人员查看统计结果。具体地,在确定上述URL存在水平权限漏洞的风险之后,可以人工对上述URL是否确实存在水平权限漏洞进行确认,由于可以确定出不存在水平权限漏洞的URL,因此需要人工排查的URL的数量明显减少,比如有10000个URL需要进行检测,通过本申请提供的漏洞检测方法进行自动检测之后,只需人工排查1000个URL或更少,节省了大量的人力成本。
另一种实现方式中,根据上述URL对应的返回结果检测上述URL是否存在漏洞包括:如果上述URL对应的返回结果中包括设定的信息,则确定上述URL存在劫持漏洞风险;如果上述URL对应的返回结果中不包括设定的信息,则确定上述URL不存在劫持漏洞。
其中,上述设定的信息可以为敏感信息,上述敏感信息可以利用正则表达式校验出来,本实施例对上述设定的信息的具体内容不作限定。上述劫持漏洞可以为jsonp劫持漏洞。
进一步地,步骤104之后,可以将步骤104的检测结果传送给一个进行结果统计的应用,以供工作人员查看统计结果。具体地,在确定上述URL存在jsonp劫持漏洞风险之后,可以人工对上述URL是否确实存在jsonp劫持漏洞进行确认,由于可以确定出不存在jsonp劫持漏洞的URL,因此需要人工排查的URL的数量明显减少,节省了大量的人力成本。
再一种实现方式中,上述访问请求中还可以包括设定的字符,则根据上述URL对应的返回结果检测上述URL是否存在漏洞可以为:如果上述URL对应的返回结果中上述设定的字符已经被转义,则确定上述URL不存在反射型跨站脚本攻击(Cross Site Scripting;以下简称:XSS)漏洞;如果上述URL对应的返回结果中上述设定的字符未被转义,则确定上述URL存在反射型XSS漏洞风险。
其中,上述设定的字符可以为“<<”。具体来说,可以通过浏览器插件在发送给服务器的访问请求中携带“<<”这一字符,然后查看服务器返回的URL对应的返回结果中,“<<”是否被转义成“<<”,如果已经被转义,则可以确定上述URL不存在反射型XSS漏洞;而如果未被转义,则可以确定上述URL存在反射型XSS漏洞风险。
进一步地,步骤104之后,可以将步骤104的检测结果传送给一个进行结果统计的应用,以供工作人员查看统计结果。具体地,在确定上述URL存在反射型XSS漏洞风险之后,可以人工对上述URL是否确实存在反射型XSS漏洞进行确认,由于可以确定出不存在反射型XSS漏洞的URL,因此需要人工排查的URL的数量明显减少,节省了大量的人力成本。
图2为本申请漏洞检测方法另一个实施例的流程图,如图2所示,步骤102可以包括:
步骤201,将上述网站中的URL生成超文本标记语言(Hypertext MarkupLanguage;以下简称:HTML)文件。
步骤202,打开上述HTML文件。
本实施例中,在浏览器接收网站的登录信息之后,可以将上述网站中的大批量的URL生成HTML文件,然后在浏览器中打开上述HTML文件。
步骤203,读取上述HTML文件中的URL,并向上述URL对应的服务器发送访问请求。
具体地,可以手动触发上述浏览器中安装的浏览器插件,读取上述HTML文件中的大批量的URL,然后向上述URL对应的服务器发送访问请求,并在上述访问请求中携带上述网站的登录信息,这样,在接收到上述访问请求之后,上述服务器会认为已经登录上述网站并返回上述URL对应的返回结果。
其中,浏览器插件读取上述HTML文件中的大批量的URL,然后向上述URL对应的服务器发送访问请求可以为:浏览器插件顺序读取上述HTML文件中的URL,然后顺序向上述URL对应的服务器发送访问请求,例如:浏览器插件可以每隔500毫秒读取一个URL,然后向该URL对应的服务器发送访问请求。
或者,浏览器插件可以并行读取上述HTML文件中的至少两个URL,然后同时向上述至少两个URL对应的服务器发送访问请求,例如:浏览器插件可以并行读取上述HTML文件中的5个URL,然后同时向上述5个URL对应的服务器发送访问请求,这样可以明显提升处理速度,减少漏洞检测所需的时间。
上述漏洞检测方法中,接收并保存网站的登录信息之后,向上述网站中的URL对应的服务器发送访问请求,上述访问请求中携带上述网站的登录信息;然后接收上述服务器发送的上述URL对应的返回结果,根据上述URL对应的返回结果检测上述URL是否存在漏洞,从而可以实现根据URL对应的返回结果检测URL是否存在漏洞,进而可以实现有效地对URL是否存在水平权限漏洞进行大批量的自动化检测,实现成本较低,并且可以节省大量的人力成本。
图3为本申请漏洞检测装置一个实施例的结构示意图,本实施例中的漏洞检测装置可以作为浏览器,或浏览器的一部分(例如:作为浏览器中安装的浏览器插件),实现本申请图1所示实施例的流程,如图3所示,上述漏洞检测装置可以包括:接收模块31、保存模块32、发送模块33和检测模块34;
其中,接收模块31,用于接收网站的登录信息;
保存模块32,用于保存接收模块31接收的网站的登录信息。
本实施例中,在通过浏览器登录网站之后,接收模块31可以接收到网站的登录信息,然后保存模块32可以保存上述网站的登录信息。
发送模块33,用于向上述网站中的URL对应的服务器发送访问请求,上述访问请求包括保存模块32保存的网站的登录信息;本实施例中,发送模块33通过浏览器中安装的浏览器插件,可以访问上述网站中的URL对应的服务器,发送模块33在向上述URL对应的服务器发送的访问请求中携带上述网站的登录信息,这样,在接收到上述访问请求之后,上述服务器会认为已经登录上述网站并返回上述URL对应的返回结果。
接收模块31,还用于接收上述服务器发送的上述URL对应的返回结果。
检测模块34,用于根据接收模块31接收的上述URL对应的返回结果检测上述URL是否存在漏洞。
本实施例中,接收模块31接收上述服务器发送的上述URL对应的返回结果之后,检测模块34可以根据上述URL对应的返回结果检测上述URL是否存在漏洞。
具体地,一种实现方式中,检测模块34,具体用于当上述URL对应的返回结果中包括设定的关键字时,确定上述URL不存在水平权限漏洞;当上述URL对应的返回结果中不包括设定的关键字时,确定上述URL存在水平权限漏洞的风险。
其中,上述设定的关键字可以包括:“您无权”、“不属于您”或者“状态错误”等,当然本实施例并不仅限于此,上述设定的关键字还可以根据实际需要进行添加,本实施例对上述设定的关键字不作限定。
进一步地,可以将检测模块34获得的检测结果传送给一个进行结果统计的应用,以供工作人员查看统计结果。具体地,在检测模块34确定上述URL存在水平权限漏洞的风险之后,可以人工对上述URL是否确实存在水平权限漏洞进行确认,由于可以确定出不存在水平权限漏洞的URL,因此需要人工排查的URL的数量明显减少,比如有10000个URL需要进行检测,通过本申请提供的漏洞检测方法进行自动检测之后,只需人工排查1000个URL或更少,节省了大量的人力成本。
另一种实现方式中,检测模块34,具体用于当上述URL对应的返回结果中包括设定的信息时,确定上述URL存在劫持漏洞风险;当上述URL对应的返回结果中不包括设定的信息时,确定上述URL不存在劫持漏洞。
其中,上述设定的信息可以为敏感信息,上述敏感信息可以利用正则表达式校验出来,本实施例对上述设定的信息的具体内容不作限定。上述劫持漏洞可以为jsonp劫持漏洞。
进一步地,可以将检测模块34获得的检测结果传送给一个进行结果统计的应用,以供工作人员查看统计结果。具体地,在检测模块34确定上述URL存在jsonp劫持漏洞风险之后,可以人工对上述URL是否确实存在jsonp劫持漏洞进行确认,由于可以确定出不存在jsonp劫持漏洞的URL,因此需要人工排查的URL的数量明显减少,节省了大量的人力成本。
再一种实现方式中,发送模块33发送的访问请求还可以包括设定的字符;则,检测模块34,具体用于当上述URL对应的返回结果中上述设定的字符已经被转义时,确定上述URL不存在反射型XSS漏洞;当上述URL对应的返回结果中上述设定的字符未被转义时,确定上述URL存在反射型XSS漏洞风险。
其中,上述设定的字符可以为“<<”。具体来说,可以通过浏览器插件在发送给服务器的访问请求中携带“<<”这一字符,然后查看服务器返回的URL对应的返回结果中,“<<”是否被转义成“<<”,如果已经被转义,则可以确定上述URL不存在反射型XSS漏洞;而如果未被转义,则可以确定上述URL存在反射型XSS漏洞风险。
进一步地,可以将检测模块34获得的检测结果传送给一个进行结果统计的应用,以供工作人员查看统计结果。具体地,在检测模块34确定上述URL存在反射型XSS漏洞风险之后,可以人工对上述URL是否确实存在反射型XSS漏洞进行确认,由于可以确定出不存在反射型XSS漏洞的URL,因此需要人工排查的URL的数量明显减少,节省了大量的人力成本。
图4为本申请漏洞检测装置另一个实施例的结构示意图,与图3所示的漏洞检测装置相比,不同之处在于,图4所示的漏洞检测装置中,发送模块33可以包括:生成子模块331、打开子模块332、读取子模块333和请求发送子模块334;
其中,生成子模块331,用于在保存模块32保存网站的登录信息之后,将上述网站中的URL生成HTML文件。
打开子模块332,用于打开生成子模块331生成的HTML文件;本实施例中,在保存模块32保存网站的登录信息之后,生成子模块331可以将上述网站中的大批量的URL生成HTML文件,然后打开子模块332在浏览器中打开上述HTML文件。
读取子模块333,用于读取打开子模块332打开的HTML文件中的URL。
请求发送子模块334,用于向读取子模块333读取的URL对应的服务器发送访问请求。
具体地,读取子模块333可以通过上述浏览器中安装的浏览器插件,读取上述HTML文件中的大批量的URL,然后请求发送子模块334向上述读取子模块333读取的URL对应的服务器发送访问请求,并在上述访问请求中携带上述网站的登录信息,这样,在接收到上述访问请求之后,上述服务器会认为已经登录上述网站并返回上述URL对应的返回结果。
其中,读取子模块333读取上述HTML文件中的大批量的URL,然后请求发送子模块334向上述读取子模块333读取的URL对应的服务器发送访问请求可以为:读取子模块333顺序读取上述HTML文件中的URL,然后请求发送子模块334顺序向读取子模块333读取的URL对应的服务器发送访问请求,例如:读取子模块333可以每隔500毫秒读取一个URL,然后请求发送子模块334向该读取子模块333读取的URL对应的服务器发送访问请求。
或者,读取子模块333可以并行读取上述HTML文件中的至少两个URL,然后请求发送子模块334同时向读取子模块333读取的上述至少两个URL对应的服务器发送访问请求,例如:读取子模块333可以并行读取上述HTML文件中的5个URL,然后请求发送子模块334同时向读取子模块333读取的上述5个URL对应的服务器发送访问请求,这样可以明显提升处理速度,减少漏洞检测所需的时间。
上述漏洞检测装置中,接收模块31接收网站的登录信息,保存模块32保存接收模块31接收的登录信息,发送模块33向上述网站中的URL对应的服务器发送访问请求,上述访问请求中携带上述网站的登录信息;然后接收模块31接收上述服务器发送的上述URL对应的返回结果,检测模块34根据上述URL对应的返回结果检测上述URL是否存在漏洞,从而可以实现根据URL对应的返回结果检测URL是否存在漏洞,进而可以实现有效地对URL是否存在水平权限漏洞进行大批量的自动化检测,实现成本较低,并且可以节省大量的人力成本。
需要说明的是,在本申请的描述中,术语“第一”、“第二”等仅用于描述目的,而不能理解为指示或暗示相对重要性。此外,在本申请的描述中,除非另有说明,“多个”的含义是两个或两个以上。
流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为,表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分,并且本申请的优选实施方式的范围包括另外的实现,其中可以不按所示出或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本申请的实施例所属技术领域的技术人员所理解。
应当理解,本申请的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行***执行的软件或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(Programmable Gate Array;以下简称:PGA),现场可编程门阵列(Field ProgrammableGate Array;以下简称:FPGA)等。
本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,该程序在执行时,包括方法实施例的步骤之一或其组合。
此外,本申请各个实施例中的各功能模块可以集成在一个处理模块中,也可以是各个模块单独物理存在,也可以两个或两个以上模块集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。
上述提到的存储介质可以是只读存储器,磁盘或光盘等。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本申请的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
尽管上面已经示出和描述了本申请的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本申请的限制,本领域的普通技术人员在本申请的范围内可以对上述实施例进行变化、修改、替换和变型。
Claims (8)
1.一种漏洞检测方法,其特征在于,包括:
接收并保存网站的登录信息;
向所述网站中的统一资源定位符URL对应的服务器发送访问请求,所述访问请求包括所述网站的登录信息;
接收所述服务器发送的所述URL对应的返回结果;
根据所述URL对应的返回结果检测所述URL是否存在漏洞;
其中,向所述网站中的统一资源定位符URL对应的服务器发送访问请求,包括:
在接收并保存网站的登录信息之后,将所述网站中的大批量的URL生成超文本标记语言文件;打开所述超文本标记语言文件;读取所述超文本标记语言文件中的大批量的URL,并向所述大批量的URL对应的服务器发送访问请求;
其中,读取所述超文本标记语言文件中的大批量的URL,向所述大批量的URL对应的服务器发送访问请求,包括:
顺序逐个读取所述超文本标记语言文件中的大批量的URL,然后顺序向读取的URL对应的服务器发送访问请求,直至读取完所述超文本标记语言文件中的大批量的URL中的所有URL;或者,
并行读取所述超文本标记语言文件中的大批量的URL中的预设个数的URL,然后同时向所述预设个数的URL中各URL对应的服务器发送访问请求,直至读取完所述超文本标记语言文件中的大批量的URL中的所有URL,其中,所述预设个数为大于1的整数。
2.根据权利要求1所述的方法,其特征在于,所述根据所述URL对应的返回结果检测所述URL是否存在漏洞包括:
如果所述URL对应的返回结果中包括设定的关键字,则确定所述URL不存在水平权限漏洞;
如果所述URL对应的返回结果中不包括设定的关键字,则确定所述URL存在水平权限漏洞的风险。
3.根据权利要求1所述的方法,其特征在于,所述根据所述URL对应的返回结果检测所述URL是否存在漏洞包括:
如果所述URL对应的返回结果中包括设定的信息,则确定所述URL存在劫持漏洞风险;
如果所述URL对应的返回结果中不包括设定的信息,则确定所述URL不存在劫持漏洞。
4.根据权利要求1所述的方法,其特征在于,所述访问请求还包括设定的字符,所述根据所述URL对应的返回结果检测所述URL是否存在漏洞包括:
如果所述URL对应的返回结果中所述设定的字符已经被转义,则确定所述URL不存在反射型跨站脚本攻击漏洞;
如果所述URL对应的返回结果中所述设定的字符未被转义,则确定所述URL存在反射型跨站脚本攻击漏洞风险。
5.一种漏洞检测装置,其特征在于,包括:
接收模块,用于接收网站的登录信息;
保存模块,用于保存所述接收模块接收的网站的登录信息;
发送模块,用于向所述网站中的统一资源定位符URL对应的服务器发送访问请求,所述访问请求包括所述保存模块保存的网站的登录信息;
所述接收模块,还用于接收所述服务器发送的所述URL对应的返回结果;
检测模块,用于根据所述接收模块接收的所述URL对应的返回结果检测所述URL是否存在漏洞;
其中,所述发送模块具体用于:在接收并保存网站的登录信息之后,将所述网站中的大批量的URL生成超文本标记语言文件;打开所述超文本标记语言文件;读取所述超文本标记语言文件中的大批量的URL,并向所述大批量的URL对应的服务器发送访问请求;
其中,读取所述超文本标记语言文件中的大批量的URL,向所述大批量的URL对应的服务器发送访问请求,包括:
顺序逐个读取所述超文本标记语言文件中的大批量的URL,然后顺序向读取的URL对应的服务器发送访问请求,直至读取完所述超文本标记语言文件中的大批量的URL中的所有URL;或者,
并行读取所述超文本标记语言文件中的大批量的URL中的预设个数的URL,然后同时向所述预设个数的URL中各URL对应的服务器发送访问请求,直至读取完所述超文本标记语言文件中的大批量的URL中的所有URL,其中,所述预设个数为大于1的整数。
6.根据权利要求5所述的装置,其特征在于,
所述检测模块,具体用于当所述URL对应的返回结果中包括设定的关键字时,确定所述URL不存在水平权限漏洞;当所述URL对应的返回结果中不包括设定的关键字时,确定所述URL存在水平权限漏洞的风险。
7.根据权利要求5所述的装置,其特征在于,
所述检测模块,具体用于当所述URL对应的返回结果中包括设定的信息时,确定所述URL存在劫持漏洞风险;当所述URL对应的返回结果中不包括设定的信息时,确定所述URL不存在劫持漏洞。
8.根据权利要求5所述的装置,其特征在于,所述发送模块发送的访问请求还包括设定的字符;
所述检测模块,具体用于当所述URL对应的返回结果中所述设定的字符已经被转义时,确定所述URL不存在反射型跨站脚本攻击漏洞;当所述URL对应的返回结果中所述设定的字符未被转义时,确定所述URL存在反射型跨站脚本攻击漏洞风险。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510607908.3A CN106548075B (zh) | 2015-09-22 | 2015-09-22 | 漏洞检测方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510607908.3A CN106548075B (zh) | 2015-09-22 | 2015-09-22 | 漏洞检测方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106548075A CN106548075A (zh) | 2017-03-29 |
| CN106548075B true CN106548075B (zh) | 2020-03-27 |
Family
ID=58364359
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510607908.3A Active CN106548075B (zh) | 2015-09-22 | 2015-09-22 | 漏洞检测方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106548075B (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107347076B (zh) * | 2017-08-23 | 2020-01-17 | 杭州安恒信息技术股份有限公司 | Ssrf漏洞的检测方法及装置 |
| CN109583210A (zh) * | 2017-09-29 | 2019-04-05 | 阿里巴巴集团控股有限公司 | 一种水平权限漏洞的识别方法、装置及其设备 |
| CN108810025A (zh) * | 2018-07-19 | 2018-11-13 | 平安科技(深圳)有限公司 | 一种暗网的安全性评估方法、服务器及计算机可读介质 |
| CN109165512A (zh) * | 2018-08-16 | 2019-01-08 | 北京梆梆安全科技有限公司 | 一种应用程序的意图协议url漏洞检测方法及装置 |
| CN109446819B (zh) * | 2018-10-30 | 2020-12-22 | 北京知道创宇信息技术股份有限公司 | 越权漏洞检测方法及装置 |
| CN109726559A (zh) * | 2018-12-18 | 2019-05-07 | 西安四叶草信息技术有限公司 | 漏洞检测方法及设备 |
| CN110324311B (zh) * | 2019-05-21 | 2022-05-17 | 平安科技(深圳)有限公司 | 漏洞检测的方法、装置、计算机设备和存储介质 |
| CN111740992B (zh) * | 2020-06-19 | 2022-08-30 | 北京字节跳动网络技术有限公司 | 网站安全漏洞检测方法、装置、介质及电子设备 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104200166A (zh) * | 2014-08-05 | 2014-12-10 | 杭州安恒信息技术有限公司 | 基于脚本的网站漏洞扫描方法和*** |
| US8949990B1 (en) * | 2007-12-21 | 2015-02-03 | Trend Micro Inc. | Script-based XSS vulnerability detection |
| CN104537305A (zh) * | 2014-12-31 | 2015-04-22 | 北京奇虎科技有限公司 | 网站漏洞检测方法和*** |
| CN104573520A (zh) * | 2013-10-09 | 2015-04-29 | 腾讯科技(深圳)有限公司 | 检测常驻式跨站脚本漏洞的方法和装置 |
| CN104618177A (zh) * | 2014-12-29 | 2015-05-13 | 北京奇虎科技有限公司 | 网站漏洞审核方法及装置 |
| CN104753730A (zh) * | 2013-12-30 | 2015-07-01 | 腾讯科技(深圳)有限公司 | 一种漏洞检测的方法及装置 |
| CN104767747A (zh) * | 2015-03-30 | 2015-07-08 | 微梦创科网络科技(中国)有限公司 | 点击劫持安全检测方法和装置 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8756698B2 (en) * | 2012-08-10 | 2014-06-17 | Nopsec Inc. | Method and system for managing computer system vulnerabilities |
| CN104519070B (zh) * | 2014-12-31 | 2018-03-13 | 北京奇安信科技有限公司 | 网站权限漏洞检测方法和*** |
-
2015
- 2015-09-22 CN CN201510607908.3A patent/CN106548075B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8949990B1 (en) * | 2007-12-21 | 2015-02-03 | Trend Micro Inc. | Script-based XSS vulnerability detection |
| CN104573520A (zh) * | 2013-10-09 | 2015-04-29 | 腾讯科技(深圳)有限公司 | 检测常驻式跨站脚本漏洞的方法和装置 |
| CN104753730A (zh) * | 2013-12-30 | 2015-07-01 | 腾讯科技(深圳)有限公司 | 一种漏洞检测的方法及装置 |
| CN104200166A (zh) * | 2014-08-05 | 2014-12-10 | 杭州安恒信息技术有限公司 | 基于脚本的网站漏洞扫描方法和*** |
| CN104618177A (zh) * | 2014-12-29 | 2015-05-13 | 北京奇虎科技有限公司 | 网站漏洞审核方法及装置 |
| CN104537305A (zh) * | 2014-12-31 | 2015-04-22 | 北京奇虎科技有限公司 | 网站漏洞检测方法和*** |
| CN104767747A (zh) * | 2015-03-30 | 2015-07-08 | 微梦创科网络科技(中国)有限公司 | 点击劫持安全检测方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106548075A (zh) | 2017-03-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106548075B (zh) | 漏洞检测方法和装置 | |
| US20210058354A1 (en) | Determining Authenticity of Reported User Action in Cybersecurity Risk Assessment | |
| Gupta et al. | XSS-secure as a service for the platforms of online social network-based multimedia web applications in cloud | |
| Franken et al. | Who Left Open the Cookie Jar? A Comprehensive Evaluation of {Third-Party} Cookie Policies | |
| US10728274B2 (en) | Method and system for injecting javascript into a web page | |
| US8572750B2 (en) | Web application exploit mitigation in an information technology environment | |
| US9223977B2 (en) | Detection of DOM-based cross-site scripting vulnerabilities | |
| CN111400722B (zh) | 扫描小程序的方法、装置、计算机设备和存储介质 | |
| KR101672791B1 (ko) | 모바일 웹 애플리케이션 환경에서의 취약점 탐지 방법 및 시스템 | |
| Shahriar et al. | Client-side detection of cross-site request forgery attacks | |
| US20160036849A1 (en) | Method, Apparatus and System for Detecting and Disabling Computer Disruptive Technologies | |
| US8646088B2 (en) | Runtime enforcement of security checks | |
| CN108989355B (zh) | 一种漏洞检测方法和装置 | |
| CN112703496B (zh) | 关于恶意浏览器插件对应用用户的基于内容策略的通知 | |
| US20110321168A1 (en) | Thwarting cross-site request forgery (csrf) and clickjacking attacks | |
| CN109672658B (zh) | Json劫持漏洞的检测方法、装置、设备及存储介质 | |
| CN103986731A (zh) | 通过图片匹配来检测钓鱼网页的方法及装置 | |
| CN111177727A (zh) | 漏洞检测方法及装置 | |
| CN110851838A (zh) | 一种基于互联网的云测试***及安全测试方法 | |
| US10474810B2 (en) | Controlling access to web resources | |
| US11303670B1 (en) | Pre-filtering detection of an injected script on a webpage accessed by a computing device | |
| KR101781780B1 (ko) | 다중 서버, 다중 브라우저 기반의 고속 악성 웹 사이트 탐지 시스템 및 방법 | |
| US20230376587A1 (en) | Online command injection attacks identification | |
| KR20150133370A (ko) | 웹서비스 접속제어 시스템 및 방법 | |
| US20190347407A1 (en) | Detecting client-side exploits in web applications |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |