[发明专利]一种HTML网页的漏洞检测方法、装置及电子设备在审

专利信息
申请号: 201710742547.2 申请日: 2017-08-25
公开(公告)号: CN107506649A 公开(公告)日: 2017-12-22
发明(设计)人: 沈文策 申请(专利权)人: 福建中金在线信息科技有限公司
主分类号: G06F21/57 分类号: G06F21/57;G06F17/30
代理公司: 北京柏杉松知识产权代理事务所(普通合伙)11413 代理人: 马敬,项京
地址: 350001 福建省福州市仓山区林浦路与潘墩路交*** 国省代码: 福建;35
权利要求书: 查看更多 说明书: 查看更多
摘要:
搜索关键词: 一种 html 网页 漏洞 检测 方法 装置 电子设备
【说明书】:

技术领域

发明涉及网络安全技术领域,特别是涉及一种HTML网页的漏洞检测方法、装置及电子设备。

背景技术

HTML(HyperText Markup Language,超级文本标记语言)是标准通用标记语言下的一个应用,它通过标记符号来标记要显示的网页中的各个部分。HTML网页,可以简称为网页,是一个包含HTML标记符的纯文本文件,通过在文本文件中添加标记符,可以告诉浏览器如何显示其中的内容(如:文字如何处理,画面如何安排,图片如何显示等)。

但是随着互联网技术的发展,各种网络安全事件频频发生,针对HTML网页的攻击漏洞也日益增多。一般而言,应用HTML网页的网站,可能或多或少存在下面几个漏洞:SQL注入漏洞、跨站脚本攻击漏洞、登陆后台管理页面、IIS短文件/文件夹漏洞、系统敏感信息泄露等等。为了及时发现HTML网页的漏洞,避免网站受到攻击者的攻击,比如获取用户身份信息、导航到恶意网站、种植木马等攻击,研究一种HTML网页的漏洞检测方法极为重要。

发明内容

本发明实施例的目的在于提供一种HTML网页的漏洞检测方法、装置及电子设备,以实现漏洞检测。具体技术方案如下:

第一方面,本发明实施例提供一种超文本标记语言HTML网页漏洞检测方法,应用于电子设备,所述方法包括:

获取网站的统一资源定位符URL列表;

将所述URL列表中的各个URL分别确定为注入点,并按照以下方式检测每一作为注入点的URL对应的网页是否存在漏洞:

在作为目标注入点的目标URL后增加预设字符;并将增加预设字符后的目标URL作为目标攻击向量,其中,所述目标注入点为:所确定注入点中的一个,所述预设字符由预设符号和预设数字组成;

向浏览器提交所述目标攻击向量;

判断所述浏览器是否跳转至所述目标URL对应的网页;

若为是,则判定所述目标URL对应的网页存在漏洞。

可选的,所述预设字符由一个预设符号和一个预设数字组成。

可选的,所述预设字符为&1。

可选的,所述URL列表中包括隐藏式URL和非隐藏式URL,所述获取网站的统一资源定位符URL列表,包括:

利用预设的爬虫算法爬取所述网站所包含的网页,获得所述网站的非隐藏式URL;

利用预设的浏览器内核算法来模拟浏览器行为,获得所述网站的隐藏式URL。

可选的,所述爬虫算法采用宽度优先遍历策略。

第二方面,本发明实施例提供一种超文本标记语言HTML网页漏洞检测装置,应用于电子设备,所述装置包括:

获取模块,用于获取网站的统一资源定位符URL列表;

检测模块,用于将所述URL列表中的各个URL分别确定为注入点,并按照以下方式检测每一作为注入点的URL对应的网页是否存在漏洞:

在作为目标注入点的目标URL后增加预设字符;并将增加预设字符后的目标URL作为目标攻击向量,其中,所述目标注入点为:所确定注入点中的一个,所述预设字符由预设符号和预设数字组成;

向浏览器提交所述目标攻击向量;

判断所述浏览器是否跳转至所述目标URL对应的网页;

若为是,则判定所述目标URL对应的网页存在漏洞。

可选的,所述预设字符由一个预设符号和一个预设数字组成。

可选的,所述预设字符为&1。

可选的,所述URL列表中包括隐藏式URL和非隐藏式URL,所述获取模块,具体用于:

利用预设的爬虫算法爬取所述网站所包含的网页,获得所述网站的非隐藏式URL;

利用预设的浏览器内核算法来模拟浏览器行为,获得所述网站的隐藏式URL。

可选的,所述爬虫算法采用宽度优先遍历策略。

第三方面,本发明实施例提供一种电子设备,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;

存储器,用于存放计算机程序;

处理器,用于执行存储器上所存放的程序时,实现上述HTML网页漏洞检测方法的步骤。

第四方面,本发明实施例提供一种计算机可读存储介质,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现上述HTML网页漏洞检测方法的步骤。

第五方面,本发明实施例提供一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述的HTML网页漏洞检测方法。

下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。

该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于福建中金在线信息科技有限公司,未经福建中金在线信息科技有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服

本文链接:http://www.vipzhuanli.com/pat/books/201710742547.2/2.html,转载请声明来源钻瓜专利网。

×

专利文献下载

说明:

1、专利原文基于中国国家知识产权局专利说明书;

2、支持发明专利 、实用新型专利、外观设计专利(升级中);

3、专利数据每周两次同步更新,支持Adobe PDF格式;

4、内容包括专利技术的结构示意图流程工艺图技术构造图

5、已全新升级为极速版,下载速度显著提升!欢迎使用!

请您登陆后,进行下载,点击【登陆】 【注册】

关于我们 寻求报道 投稿须知 广告合作 版权声明 网站地图 友情链接 企业标识 联系我们

钻瓜专利网在线咨询

周一至周五 9:00-18:00

咨询在线客服咨询在线客服
tel code back_top