[发明专利]一种注入漏洞检测方法及装置

权利要求书

1.一种注入漏洞检测方法，其特征在于，包括：

确定用于注入漏洞检测的目标请求；

在所述目标请求的Cookie字段中插入第一逻辑类型的字段，得到第一请求，在所述目标请求的所述Cookie字段中插入第二逻辑类型的字段，得到第二请求，所述第一请求为通过在所述目标请求中插入第一逻辑类型的字段确定的请求，所述第二请求由在所述目标请求中插入第二逻辑类型的字段确定；

向服务器发送所述第一请求和所述第二请求，并接收所述服务器针对所述第一请求返回的第一页面内容和针对所述第二请求返回的第二页面内容；

获取所述第一页面内容的第一解析结果和所述第二页面内容的第二解析结果，所述第一解析结果包括N个第一文档对象模型DOM节点，所述第二解析结果包括M个第二DOM节点，所述N和所述M均为大于或等于1的整数；

分别比较所述N个第一DOM节点和所述M个第二DOM节点中文本节点的内容，元素节点的标签名称、标签类型，内容节点的标签名称、标签类型、标签属性、子节点数量、子节点类型，是否相同；

若某个文本节点的内容不相同，则确定所述某个文本节点为所述N个第一DOM节点与所述M个第二DOM节点之间不相同的DOM节点；

若某个元素节点的标签名称和标签类型中任意一个不相同，则确定所述某个元素节点为所述N个第一DOM节点与所述M个第二DOM节点之间不相同的DOM节点；

若某个内容节点的标签名称、标签类型、标签属性、子节点数量和子节点类型中任意一个不相同，则确定所述某个内容节点为所述N个第一DOM节点与所述M个第二DOM节点之间不相同的DOM节点；

若所述N个第一DOM节点与所述M个第二DOM节点之间存在至少一个不相同的DOM节点，则确定所述服务器中存在注入漏洞。

2.根据权利要求1所述的方法，其特征在于，所述根据所述目标请求确定出第一请求和第二请求，包括：

在所述目标请求的统一资源定位符URL的参数字段中插入第一逻辑类型的字段，得到所述第一请求；

在所述目标请求的所述URL的参数字段中插入第二逻辑类型的字段，得到所述第二请求。

3.根据权利要求1-2任一项所述的方法，其特征在于，所述获取所述第一页面内容的第一解析结果和所述第二页面内容的第二解析结果之后，所述方法还包括：

将所述N个第一DOM节点中各个第一DOM节点与所述M个第二DOM节点中各个第二DOM节点进行匹配，确定所述N个第一DOM节点与所述M个第二DOM节点之间是否存在不相同的DOM节点。

4.根据权利要求1-3任一项所述的方法，其特征在于，所述方法还包括：

若所述N个第一DOM节点与所述M个第二DOM节点之间不存在不相同的DOM节点，则输出安全提示信息，所述安全提示信息用于提示所述服务器中不存在所述注入漏洞。