[发明专利]一种网页服务器响应头安全配置检测方法及装置

说明书

本发明公开了一种网页服务器响应头安全配置检测方法，包括以下步骤：扫描被测试网页服务器的配置文件，与响应头安全配置识别库进行比对，输出安全隐患；扫描被测试网页服务器的配置文件优化项，与HTTP响应头安全配置库进行比对，输出安全配置建议；配置完成后进行URL遍历和完整的请求响应测试，判断被测试网页服务器是否正确响应。还提供了一种检测装置，本发明给出更全面的信息提示和修改建议、并配有每种配置所能支持的浏览器版本。对于修改安全配置而引入未识别的功能bug的问题，通过配置完成后的URL遍历和完整的请求响应测试，可以及时快速的定位问题，最大程度的减少测试人员所面临的压力。

技术领域

本发明涉及服务器测试技术领域，尤其是一种网页服务器响应头安全配置检测方法及装置。

背景技术

传统的检测方式，以开发者的调研和经验作为控制web端响应头质量的一个主要输入。而在测试时，主要以基本功能测试为主，安全方面则黑盒安全测试为主，对webserver(Web Server中文名称叫网页服务器或web服务器。WEB服务器也称为WWW(WORLDWIDE WEB)服务器，主要功能是提供网上信息浏览服务。常用的web server包括apache、tomcat、lighttpd、nginx等)的响应头字段没有明确和硬性的要求。因此最终研发出的web服务带有非常大的安全隐患。这成为我们在进行安全测评工作时不可避免的点。

其次，在研发人员针对某一安全漏洞进行修复时，若未考虑整个系统的完整性，而只针对部分内容进行调整，极易造成因解决漏洞而引入新bug的情况。帮助研发人员识别和定位可能引入的bug，也是安全测评工作面临的挑战。

发明内容

本发明的目的是提供一种网页服务器响应头安全配置检测方法及装置，及时快速的定位问题，最大程度的减少测试人员所面临的压力。

为实现上述目的，本发明采用下述技术方案：

本发明第一方面提供了一种网页服务器响应头安全配置检测方法，包括以下步骤：

扫描被测试网页服务器的配置文件，与响应头安全配置识别库进行比对，输出安全隐患；

扫描被测试网页服务器的配置文件优化项，与HTTP响应头安全配置库进行比对，输出安全配置建议；

配置完成后进行URL遍历和完整的请求响应测试，判断被测试网页服务器是否正确响应。

结合第一方面，在第一方面第一种可能的实现方式中，所述响应头安全配置识别库和HTTP响应头安全配置库在测试过程中，当校验模块遇到包括但不限于新的未定义的字段和/或字段相关信息不完备在内的异常情形时，通过日志记录异常情形，并将异常情形内容增加到对应数据库中。

结合第一方面，在第一方面第二种可能的实现方式中，所述输出安全隐患，具体包括：

输出包括但不限于危险被利用的字段、不完备的内容和未配置的项。

结合第一方面，在第一方面第三种可能的实现方式中，所述输出安全配置建议，具体包括：

输出包括但不限于安全字段增加建议、适配后支持的浏览器版本信息。

结合第一方面，在第一方面第四种可能的实现方式中，所述配置完成后进行URL遍历和完整的请求响应测试，判断被测试网页服务器是否正确响应，具体包括：

收集页面和后台用到的所有URL记录为url.log，作为输入内容；

分别选择一个低版本浏览器和一个高版本浏览器发送所有的GET、POST/PUT、DELETE请求，通过检验识别各个请求的相应值来判断被测试网页服务器是否正确返回。

本发明第二方面提供了一种网页服务器响应头安全配置检测装置，包括：