[发明专利]一种HTML网页的漏洞检测方法、装置及电子设备在审
申请号: | 201710742547.2 | 申请日: | 2017-08-25 |
公开(公告)号: | CN107506649A | 公开(公告)日: | 2017-12-22 |
发明(设计)人: | 沈文策 | 申请(专利权)人: | 福建中金在线信息科技有限公司 |
主分类号: | G06F21/57 | 分类号: | G06F21/57;G06F17/30 |
代理公司: | 北京柏杉松知识产权代理事务所(普通合伙)11413 | 代理人: | 马敬,项京 |
地址: | 350001 福建省福州市仓山区林浦路与潘墩路交*** | 国省代码: | 福建;35 |
权利要求书: | 查看更多 | 说明书: | 查看更多 |
摘要: | |||
搜索关键词: | 一种 html 网页 漏洞 检测 方法 装置 电子设备 | ||
技术领域
本发明涉及网络安全技术领域,特别是涉及一种HTML网页的漏洞检测方法、装置及电子设备。
背景技术
HTML(HyperText Markup Language,超级文本标记语言)是标准通用标记语言下的一个应用,它通过标记符号来标记要显示的网页中的各个部分。HTML网页,可以简称为网页,是一个包含HTML标记符的纯文本文件,通过在文本文件中添加标记符,可以告诉浏览器如何显示其中的内容(如:文字如何处理,画面如何安排,图片如何显示等)。
但是随着互联网技术的发展,各种网络安全事件频频发生,针对HTML网页的攻击漏洞也日益增多。一般而言,应用HTML网页的网站,可能或多或少存在下面几个漏洞:SQL注入漏洞、跨站脚本攻击漏洞、登陆后台管理页面、IIS短文件/文件夹漏洞、系统敏感信息泄露等等。为了及时发现HTML网页的漏洞,避免网站受到攻击者的攻击,比如获取用户身份信息、导航到恶意网站、种植木马等攻击,研究一种HTML网页的漏洞检测方法极为重要。
发明内容
本发明实施例的目的在于提供一种HTML网页的漏洞检测方法、装置及电子设备,以实现漏洞检测。具体技术方案如下:
第一方面,本发明实施例提供一种超文本标记语言HTML网页漏洞检测方法,应用于电子设备,所述方法包括:
获取网站的统一资源定位符URL列表;
将所述URL列表中的各个URL分别确定为注入点,并按照以下方式检测每一作为注入点的URL对应的网页是否存在漏洞:
在作为目标注入点的目标URL后增加预设字符;并将增加预设字符后的目标URL作为目标攻击向量,其中,所述目标注入点为:所确定注入点中的一个,所述预设字符由预设符号和预设数字组成;
向浏览器提交所述目标攻击向量;
判断所述浏览器是否跳转至所述目标URL对应的网页;
若为是,则判定所述目标URL对应的网页存在漏洞。
可选的,所述预设字符由一个预设符号和一个预设数字组成。
可选的,所述预设字符为&1。
可选的,所述URL列表中包括隐藏式URL和非隐藏式URL,所述获取网站的统一资源定位符URL列表,包括:
利用预设的爬虫算法爬取所述网站所包含的网页,获得所述网站的非隐藏式URL;
利用预设的浏览器内核算法来模拟浏览器行为,获得所述网站的隐藏式URL。
可选的,所述爬虫算法采用宽度优先遍历策略。
第二方面,本发明实施例提供一种超文本标记语言HTML网页漏洞检测装置,应用于电子设备,所述装置包括:
获取模块,用于获取网站的统一资源定位符URL列表;
检测模块,用于将所述URL列表中的各个URL分别确定为注入点,并按照以下方式检测每一作为注入点的URL对应的网页是否存在漏洞:
在作为目标注入点的目标URL后增加预设字符;并将增加预设字符后的目标URL作为目标攻击向量,其中,所述目标注入点为:所确定注入点中的一个,所述预设字符由预设符号和预设数字组成;
向浏览器提交所述目标攻击向量;
判断所述浏览器是否跳转至所述目标URL对应的网页;
若为是,则判定所述目标URL对应的网页存在漏洞。
可选的,所述预设字符由一个预设符号和一个预设数字组成。
可选的,所述预设字符为&1。
可选的,所述URL列表中包括隐藏式URL和非隐藏式URL,所述获取模块,具体用于:
利用预设的爬虫算法爬取所述网站所包含的网页,获得所述网站的非隐藏式URL;
利用预设的浏览器内核算法来模拟浏览器行为,获得所述网站的隐藏式URL。
可选的,所述爬虫算法采用宽度优先遍历策略。
第三方面,本发明实施例提供一种电子设备,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现上述HTML网页漏洞检测方法的步骤。
第四方面,本发明实施例提供一种计算机可读存储介质,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现上述HTML网页漏洞检测方法的步骤。
第五方面,本发明实施例提供一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述的HTML网页漏洞检测方法。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于福建中金在线信息科技有限公司,未经福建中金在线信息科技有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201710742547.2/2.html,转载请声明来源钻瓜专利网。
- 上一篇:查找应用漏洞的方法、装置和系统
- 下一篇:一种代码加密方法及系统