[发明专利]页面安全检测方法、装置及设备

说明书

技术领域

本申请涉及检测技术领域，尤其涉及页面安全检测方法、装置及设备。

背景技术

web应用逐渐深入与普及，大量的重要信息存储于其中，同时由于web应用系统具有多样性和开放性的特点，导致web应用系统极易成为入侵者攻击的对象。由于web应用系统的重要性及其所面临的安全威胁的严峻形势，为了提高web应用系统的安全性，可以采用白盒检测或黑盒检测方法挖掘web前端漏洞和敏感信息。

白盒检测通过检查软件内部的逻辑结果，在软件系统中设置多个检查点，在对软件进行逻辑路径遍历的过程中，检查程序在每个监测点的状态是否与预期状态一致，进而判断软件系统是否存在缺陷。可见，利用白盒检测需要对页面中待测函数/对象的代码进行解析，当代码较复杂时无法有效寻找漏洞或敏感信息。黑盒检测是一种基于测试用例的测试，通过测试用例对软件程序接口进行测试，检查程序功能是否正常，程序是否能正确地接收输入数据并产生正确的输出信息，同时能保持外部信息的完整性。可见，依赖于测试用例的检测很难测试全面，挖掘web前端漏洞或敏感信息的能力差。

发明内容

本申请提供页面安全检测方法、装置及设备，以解决现有技术中挖掘web前端漏洞或敏感信息的能力差的问题。

根据本申请实施例的第一方面，提供一种页面安全检测方法，所述方法 包括：

在加载页面之前，向待加载页面注入预设的基于Hook的安全检测框架，所述安全检测框架包括对待测体进行重写和检测的脚本；

通过所述安全检测框架对待加载页面中的待测体进行重写；

通过重写后的待测体获取通过重写后的待测体监测待测体在运行时的调用信息；

利用所述安全检测框架基于所述调用信息判断所述待测体是否安全。

根据本申请实施例的第二方面，提供一种页面安全检测装置，所述装置包括：

框架注入模块，用于在加载页面之前，向待加载页面注入预设的基于Hook的安全检测框架，所述安全检测框架包括对待测体进行重写和检测的脚本；

重写模块，用于通过所述安全检测框架对待加载页面中的待测体进行重写；

信息监测模块，用于通过重写后的待测体监测待测体在运行时的调用信息；

安全判断模块，用于利用所述安全检测框架基于所述调用信息判断所述待测体是否安全。

根据本申请实施例的第三方面，提供一种计算机设备，包括：

处理器；用于存储所述处理器可执行指令的存储器；

其中，所述处理器被配置为：

在加载页面之前，向待加载页面注入预设的基于Hook的安全检测框架，所述安全检测框架包括对待测体进行重写和检测的脚本；

通过所述安全检测框架对待加载页面中的待测体进行重写；

通过重写后的待测体获取通过重写后的待测体监测待测体在运行时的调用信息；

利用所述安全检测框架基于所述调用信息判断所述待测体是否安全。

应用本申请实施例页面安全检测方法、装置及设备时，通过向待加载页面注入基于Hook的安全检测框架，利用安全检测框架重写待加载页面中的待测体，并通过重写后的待测体监测待测体在运行时的调用信息，并根据调用信息判断待测体是否安全，从而实现通过Hook实现代码运行时的安全检测，从而提高挖掘web前端漏洞和敏感信息的能力。

应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本公开。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本申请的实施例，并与说明书一起用于解释本公开的原理。

图1为本申请页面安全检测方法的一个实施例流程图。

图2为本申请页面安全检测装置所在计算机设备的一种硬件结构图。

图3为本申请页面安全检测装置的一个实施例框图。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本公开相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本公开的一些方面相一致的装置和方法的例子。