[发明专利]一种HTML网页的漏洞检测方法、装置及电子设备

说明书

技术领域

本发明涉及网络安全技术领域，特别是涉及一种HTML网页的漏洞检测方法、装置及电子设备。

背景技术

HTML(HyperText Markup Language，超级文本标记语言)是标准通用标记语言下的一个应用，它通过标记符号来标记要显示的网页中的各个部分。HTML网页，可以简称为网页，是一个包含HTML标记符的纯文本文件，通过在文本文件中添加标记符，可以告诉浏览器如何显示其中的内容(如：文字如何处理，画面如何安排，图片如何显示等)。

但是随着互联网技术的发展，各种网络安全事件频频发生，针对HTML网页的攻击漏洞也日益增多。一般而言，应用HTML网页的网站，可能或多或少存在下面几个漏洞：SQL注入漏洞、跨站脚本攻击漏洞、登陆后台管理页面、IIS短文件/文件夹漏洞、系统敏感信息泄露等等。为了及时发现HTML网页的漏洞，避免网站受到攻击者的攻击，比如获取用户身份信息、导航到恶意网站、种植木马等攻击，研究一种HTML网页的漏洞检测方法极为重要。

发明内容

本发明实施例的目的在于提供一种HTML网页的漏洞检测方法、装置及电子设备，以实现漏洞检测。具体技术方案如下：

第一方面，本发明实施例提供一种超文本标记语言HTML网页漏洞检测方法，应用于电子设备，所述方法包括：

获取网站的统一资源定位符URL列表；

将所述URL列表中的各个URL分别确定为注入点，并按照以下方式检测每一作为注入点的URL对应的网页是否存在漏洞：

在作为目标注入点的目标URL后增加预设字符；并将增加预设字符后的目标URL作为目标攻击向量，其中，所述目标注入点为：所确定注入点中的一个，所述预设字符由预设符号和预设数字组成；

向浏览器提交所述目标攻击向量；

判断所述浏览器是否跳转至所述目标URL对应的网页；

若为是，则判定所述目标URL对应的网页存在漏洞。

可选的，所述预设字符由一个预设符号和一个预设数字组成。

可选的，所述预设字符为&1。

可选的，所述URL列表中包括隐藏式URL和非隐藏式URL，所述获取网站的统一资源定位符URL列表，包括：

利用预设的爬虫算法爬取所述网站所包含的网页，获得所述网站的非隐藏式URL；

利用预设的浏览器内核算法来模拟浏览器行为，获得所述网站的隐藏式URL。

可选的，所述爬虫算法采用宽度优先遍历策略。

第二方面，本发明实施例提供一种超文本标记语言HTML网页漏洞检测装置，应用于电子设备，所述装置包括：

获取模块，用于获取网站的统一资源定位符URL列表；

检测模块，用于将所述URL列表中的各个URL分别确定为注入点，并按照以下方式检测每一作为注入点的URL对应的网页是否存在漏洞：

在作为目标注入点的目标URL后增加预设字符；并将增加预设字符后的目标URL作为目标攻击向量，其中，所述目标注入点为：所确定注入点中的一个，所述预设字符由预设符号和预设数字组成；

向浏览器提交所述目标攻击向量；

判断所述浏览器是否跳转至所述目标URL对应的网页；

若为是，则判定所述目标URL对应的网页存在漏洞。

可选的，所述预设字符由一个预设符号和一个预设数字组成。

可选的，所述预设字符为&1。

可选的，所述URL列表中包括隐藏式URL和非隐藏式URL，所述获取模块，具体用于：

利用预设的爬虫算法爬取所述网站所包含的网页，获得所述网站的非隐藏式URL；

利用预设的浏览器内核算法来模拟浏览器行为，获得所述网站的隐藏式URL。

可选的，所述爬虫算法采用宽度优先遍历策略。

第三方面，本发明实施例提供一种电子设备，包括处理器、通信接口、存储器和通信总线，其中，处理器，通信接口，存储器通过通信总线完成相互间的通信；

存储器，用于存放计算机程序；

处理器，用于执行存储器上所存放的程序时，实现上述HTML网页漏洞检测方法的步骤。

第四方面，本发明实施例提供一种计算机可读存储介质，所述计算机可读存储介质内存储有计算机程序，所述计算机程序被处理器执行时实现上述HTML网页漏洞检测方法的步骤。

第五方面，本发明实施例提供一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行上述的HTML网页漏洞检测方法。