[发明专利]检测漏洞的方法及装置

说明书

本发明公开了一种检测漏洞的方法及装置，属于网络技术领域。该方法包括：向服务器发送第一字符数据，第一字符数据包括代码执行时的可选字符；当接收到服务器返回的第一响应数据时，如果第一响应数据中不包括第一字符数据，确定不存在漏洞；如果第一响应数据中包括第一字符数据，确定第一字符数据在第一响应数据中的位置；基于位置继续进行漏洞检测；其中，在不同位置上继续进行漏洞检测时所发送的字符数据不同。本发明通过当接收到的第一响应数据中不包括第一字符数据时，确定服务器不存在漏洞；当接收到第一响应数据中包括第一字符数据时，基于第一字符数据在第一响应数据中的位置针对性地继续检测，避免发生漏报，使检测漏洞的方式更加可靠准确。

技术领域

本发明涉及网络技术领域，特别涉及一种检测漏洞的方法及装置。

背景技术

随着网络技术的发展，网络在不断地丰富用户的生活。然而，网络中也存在着漏洞，例如，广为人知的XSS(Cross Site Scripting，跨站脚本攻击)漏洞。XSS漏洞是指允许恶意用户将恶意程序注入到服务器所提供的网站中的漏洞，可能导致访问该服务器的用户的私人数据被窃取、非法转账或强制用户发送电子邮件等网络安全问题，因此，漏洞检测技术备受业界关注。

在检测XSS漏洞时，通常会准备大量用于测试的字符数据，每个字符数据均不同，如，“ABCDE…”，“script”，扫描器可以依次向服务器发送这些字符数据，在发送一个字符数据后，扫描器可以接收到服务器针对本次发送的字符数据返回的响应数据，如果某一响应数据中包括了本次发送的字符数据，说明服务器很可能允许注入恶意程序，则确定服务器存在XSS漏洞，否则确定不存在XSS漏洞。

在实现本发明的过程中，发明人发现现有技术至少存在以下问题：

上述漏洞检测过程仅依据响应数据中是否包括所发送的字符数据，确定逻辑过于简单，由于产生漏洞的情况有多种，盲目地发送大量字符数据很难命中被检测的服务器的漏洞，进而导致漏报该服务器的漏洞，准确性和可靠性差。

发明内容

为了解决现有技术的问题，本发明实施例提供了一种检测漏洞的方法及装置。所述技术方案如下：

一方面，提供了一种检测漏洞的方法，所述方法包括：

向服务器发送第一字符数据，所述第一字符数据包括代码执行时的可选字符；

当接收到所述服务器返回的第一响应数据时，如果所述第一响应数据中不包括所述第一字符数据，确定不存在漏洞；

如果所述第一响应数据中包括所述第一字符数据，确定所述第一字符数据在所述第一响应数据中的位置；

基于所述位置继续进行漏洞检测；

其中，在不同位置上继续进行漏洞检测时所发送的字符数据不同。

另一方面，提供了一种检测漏洞的装置，所述装置包括：

发送模块，用于向服务器发送第一字符数据，所述第一字符数据包括代码执行时的可选字符；

确定模块，用于当接收到所述服务器返回的第一响应数据时，如果所述第一响应数据中不包括所述第一字符数据，确定不存在漏洞；

确定模块，用于如果所述第一响应数据中包括所述第一字符数据，确定所述第一字符数据在所述第一响应数据中的位置；

检测模块，用于基于所述位置继续进行漏洞检测；

其中，在不同位置上继续进行漏洞检测时所发送的字符数据不同。