網(wǎng)頁漏洞檢測(cè)方法和裝置的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及計(jì)算機(jī)領(lǐng)域,具體而言,涉及一種網(wǎng)頁漏洞檢測(cè)方法和裝置。
【背景技術(shù)】
[0002]目前,網(wǎng)頁Web漏洞通常是指網(wǎng)站程序上的漏洞,可能是由于代碼編寫者在編寫代碼時(shí)考慮不周全等原因而造成的漏洞,常見的Web漏洞有Sql注入、Xss漏洞、上傳漏洞等。如果網(wǎng)站存在Web漏洞并被黑客攻擊者利用,攻擊者可以輕易控制整個(gè)網(wǎng)站,并可進(jìn)一步提權(quán)獲取網(wǎng)站服務(wù)器權(quán)限,控制整個(gè)服務(wù)器。
[0003]而目前所采用的漏洞檢測(cè)方式是:對(duì)于某種漏洞通過漏洞掃描器在各個(gè)端口逐個(gè)掃描。采用這種漏洞檢測(cè)的方式,因針對(duì)不同的漏洞均需開發(fā)一套有針對(duì)性的檢測(cè)算法,所以會(huì)導(dǎo)致檢測(cè)的效率大大降低,不利于保護(hù)用戶終端,使得用戶終端在此期間很容易遭到攻擊。
[0004]針對(duì)上述的問題,目前尚未提出有效的解決方案。
【發(fā)明內(nèi)容】
[0005]本發(fā)明實(shí)施例提供了一種網(wǎng)頁漏洞檢測(cè)方法和裝置,以至少解決現(xiàn)有技術(shù)中針對(duì)不同的網(wǎng)頁漏洞均需單獨(dú)開發(fā)相應(yīng)的檢測(cè)算法所導(dǎo)致的網(wǎng)頁漏洞的檢測(cè)效率較低的技術(shù)問題。
[0006]根據(jù)本發(fā)明實(shí)施例的一個(gè)方面,提供了一種網(wǎng)頁漏洞檢測(cè)方法,包括:接收對(duì)待檢測(cè)目標(biāo)網(wǎng)頁執(zhí)行漏洞檢測(cè)的漏洞檢測(cè)任務(wù),其中,上述漏洞檢測(cè)任務(wù)至少用于指示所要檢測(cè)的漏洞;根據(jù)上述漏洞檢測(cè)任務(wù)獲取與上述漏洞對(duì)應(yīng)的配置文件,其中,上述配置文件中包括用于從待檢測(cè)網(wǎng)頁中匹配出上述待檢測(cè)目標(biāo)網(wǎng)頁的匹配條件與用于對(duì)上述待檢測(cè)目標(biāo)網(wǎng)頁進(jìn)行漏洞檢測(cè)的測(cè)試用例的指示信息;使用上述配置文件檢測(cè)上述待檢測(cè)目標(biāo)網(wǎng)頁是否存在上述配置文件所指示的上述漏洞。
[0007]根據(jù)本發(fā)明實(shí)施例的另一方面,還提供了一種網(wǎng)頁漏洞檢測(cè)裝置,包括:接收單元,用于接收對(duì)待檢測(cè)目標(biāo)網(wǎng)頁執(zhí)行漏洞檢測(cè)的漏洞檢測(cè)任務(wù),其中,上述漏洞檢測(cè)任務(wù)至少用于指示所要檢測(cè)的漏洞;獲取單元,用于根據(jù)上述漏洞檢測(cè)任務(wù)獲取與上述漏洞對(duì)應(yīng)的配置文件,其中,上述配置文件中包括用于從待檢測(cè)網(wǎng)頁中匹配出上述待檢測(cè)目標(biāo)網(wǎng)頁的匹配條件與用于對(duì)上述待檢測(cè)目標(biāo)網(wǎng)頁進(jìn)行漏洞檢測(cè)的測(cè)試用例的指示信息;檢測(cè)單元,用于使用上述配置文件檢測(cè)上述待檢測(cè)目標(biāo)網(wǎng)頁是否存在上述配置文件所指示的上述漏洞。
[0008]在本發(fā)明實(shí)施例中,通過根據(jù)接收到的所要檢測(cè)的待檢測(cè)目標(biāo)網(wǎng)頁的漏洞檢測(cè)任務(wù),獲取與上述漏洞相對(duì)應(yīng)的配置文件,其中,上述配置文件至少包括針對(duì)不同的漏洞所設(shè)置的匹配條件以及測(cè)試用例,通過對(duì)上述配置文件中匹配條件以及測(cè)試用例所對(duì)應(yīng)的變量參數(shù)的增加或修改,實(shí)現(xiàn)了在無需重新開發(fā)一套復(fù)雜的檢測(cè)算法的情況下,就可實(shí)現(xiàn)對(duì)不同的網(wǎng)頁漏洞進(jìn)行檢測(cè),達(dá)到了節(jié)省漏洞檢測(cè)的時(shí)間成本的目的,從而實(shí)現(xiàn)了提高漏洞檢測(cè)的檢測(cè)效率的技術(shù)效果,進(jìn)而解決了現(xiàn)有技術(shù)中針對(duì)不同的網(wǎng)頁漏洞均需單獨(dú)開發(fā)相應(yīng)的檢測(cè)算法所導(dǎo)致的網(wǎng)頁漏洞的檢測(cè)效率較低的技術(shù)問題。
【附圖說明】
[0009]此處所說明的附圖用來提供對(duì)本發(fā)明的進(jìn)一步理解,構(gòu)成本申請(qǐng)的一部分,本發(fā)明的示意性實(shí)施例及其說明用于解釋本發(fā)明,并不構(gòu)成對(duì)本發(fā)明的不當(dāng)限定。在附圖中:
[0010]圖1是根據(jù)本發(fā)明實(shí)施例的一種可選的網(wǎng)頁漏洞檢測(cè)方法的流程示意圖;
[0011]圖2是根據(jù)本發(fā)明實(shí)施例的一種可選的應(yīng)用網(wǎng)頁漏洞檢測(cè)方法的硬件場(chǎng)景示意圖;
[0012]圖3是根據(jù)本發(fā)明實(shí)施例的一種可選的網(wǎng)頁漏洞檢測(cè)方法的交互示意圖;
[0013]圖4是根據(jù)本發(fā)明實(shí)施例的一種可選的網(wǎng)頁漏洞檢測(cè)方法中的配置文件的示意圖;
[0014]圖5是根據(jù)本發(fā)明實(shí)施例的另一種可選的網(wǎng)頁漏洞檢測(cè)方法的流程示意圖;
[0015]圖6是根據(jù)本發(fā)明實(shí)施例的又一種可選的網(wǎng)頁漏洞檢測(cè)方法的流程示意圖;
[0016]圖7是根據(jù)本發(fā)明實(shí)施例的一種可選的網(wǎng)頁漏洞檢測(cè)裝置的結(jié)構(gòu)示意圖;
[0017]圖8是根據(jù)本發(fā)明實(shí)施例的另一種可選的網(wǎng)頁漏洞檢測(cè)裝置的結(jié)構(gòu)示意圖;以及,
[0018]圖9是根據(jù)本發(fā)明實(shí)施例的一種可選的應(yīng)用網(wǎng)頁漏洞檢測(cè)方法的控制服務(wù)器的結(jié)構(gòu)示意圖。
【具體實(shí)施方式】
[0019]為了使本技術(shù)領(lǐng)域的人員更好地理解本發(fā)明方案,下面將結(jié)合本發(fā)明實(shí)施例中的附圖,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述,顯然,所描述的實(shí)施例僅僅是本發(fā)明一部分的實(shí)施例,而不是全部的實(shí)施例?;诒景l(fā)明中的實(shí)施例,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例,都應(yīng)當(dāng)屬于本發(fā)明保護(hù)的范圍。
[0020]需要說明的是,本發(fā)明的說明書和權(quán)利要求書及上述附圖中的術(shù)語“第一”、“第二”等是用于區(qū)別類似的對(duì)象,而不必用于描述特定的順序或先后次序。應(yīng)該理解這樣使用的數(shù)據(jù)在適當(dāng)情況下可以互換,以便這里描述的本發(fā)明的實(shí)施例能夠以除了在這里圖示或描述的那些以外的順序?qū)嵤4送?,術(shù)語“包括”和“具有”以及他們的任何變形,意圖在于覆蓋不排他的包含,例如,包含了一系列步驟或單元的過程、方法、系統(tǒng)、產(chǎn)品或設(shè)備不必限于清楚地列出的那些步驟或單元,而是可包括沒有清楚地列出的或?qū)τ谶@些過程、方法、產(chǎn)品或設(shè)備固有的其它步驟或單元。
[0021]實(shí)施例1
[0022]根據(jù)本發(fā)明實(shí)施例,提供了一種網(wǎng)頁漏洞檢測(cè)方法,如圖1所示,該方法包括:
[0023]S102,接收對(duì)待檢測(cè)目標(biāo)網(wǎng)頁執(zhí)行漏洞檢測(cè)的漏洞檢測(cè)任務(wù),其中,漏洞檢測(cè)任務(wù)至少用于指示所要檢測(cè)的漏洞;
[0024]S104,根據(jù)漏洞檢測(cè)任務(wù)獲取與漏洞對(duì)應(yīng)的配置文件,其中,配置文件中包括用于從待檢測(cè)網(wǎng)頁中匹配出待檢測(cè)目標(biāo)網(wǎng)頁的匹配條件與用于對(duì)待檢測(cè)目標(biāo)網(wǎng)頁進(jìn)行漏洞檢測(cè)的測(cè)試用例的指示信息;
[0025]S106,使用配置文件檢測(cè)待檢測(cè)目標(biāo)網(wǎng)頁是否存在配置文件所指示的漏洞。
[0026]可選地,在本實(shí)施例中,上述網(wǎng)頁漏洞檢測(cè)方法可以應(yīng)用于如圖2所示的控制服務(wù)器202和多個(gè)網(wǎng)站服務(wù)器204所構(gòu)成的硬件環(huán)境中。如圖2所示,控制服務(wù)器202通過網(wǎng)絡(luò)與多個(gè)網(wǎng)站服務(wù)器204進(jìn)行連接,上述網(wǎng)絡(luò)包括但不限于:廣域網(wǎng)、城域網(wǎng)或局域網(wǎng)??刂品?wù)器202利用配置文件對(duì)待檢測(cè)目標(biāo)網(wǎng)頁所在的任意一個(gè)網(wǎng)站服務(wù)器204進(jìn)行漏洞檢測(cè),其中,上述待檢測(cè)目標(biāo)網(wǎng)頁為從待檢測(cè)網(wǎng)頁中篩選出的與上述配置文件相匹配的用于進(jìn)行漏洞檢測(cè)的網(wǎng)頁。
[0027]可選地,針對(duì)不同的網(wǎng)頁漏洞可以有不同的配置模板,根據(jù)相同或不同的配置模板為不同的漏洞檢測(cè)任務(wù)生成不同的配置文件,其中,上述配置模板包括與上述配置文件中的匹配條件和測(cè)試用例對(duì)應(yīng)的變量參數(shù),不同的配置模板的變量參數(shù)不同,根據(jù)相同的配置模板生成的不同的配置文件中的變量參數(shù)的取值不同。進(jìn)而實(shí)現(xiàn)利用配置模板對(duì)不同的網(wǎng)頁漏洞進(jìn)行漏洞檢測(cè),以達(dá)到提高網(wǎng)頁漏洞的檢測(cè)效率的目的。上述舉例只是一種示例,本實(shí)施例對(duì)此不做任何限定。
[0028]可選地,在本實(shí)施例中,上述漏洞檢測(cè)任務(wù)可以包括但不限于指示所要檢測(cè)的漏洞、指示所要檢測(cè)的待檢測(cè)目標(biāo)網(wǎng)頁,其中用于指示上述待檢測(cè)目標(biāo)網(wǎng)頁的信息可以至少包括上述待檢測(cè)網(wǎng)頁的類型、待檢測(cè)目標(biāo)網(wǎng)頁的后綴。
[0029]可選地,在本實(shí)施例中,上述配置文件中還包括以下至少之一:配置文件的描述信息、配置文件的編號(hào)、配置文件所指示的漏洞的風(fēng)險(xiǎn)等級(jí)、配置條件、測(cè)試用例,其中,上述配置條件包括但不限于:預(yù)定類型、預(yù)定后綴,其中,上述預(yù)定類型用于匹配待檢測(cè)網(wǎng)頁的地址的類型,預(yù)定后綴用于匹配類型為預(yù)定類型的地址的后綴;上述測(cè)試用例的指示信息至少包括:測(cè)試用例的地址、測(cè)試用例的輸入方式、測(cè)試用例所指示的漏洞的描述信息、測(cè)試用例所指示的正則表達(dá)式。
[0030]可選地,在本實(shí)施例中,上述匹配條件用于對(duì)上述待檢測(cè)網(wǎng)頁進(jìn)行篩選,得到存在所要檢測(cè)的漏洞的待檢測(cè)目標(biāo)網(wǎng)頁,其中,上述匹配條件中的預(yù)定類型可以包括但不限于:用于匹配待檢測(cè)網(wǎng)頁的地址的類型,例如,上述類型可以為CG1、靜態(tài)頁面、目錄。例如,CGI為用戶對(duì)變量輸入一定參數(shù)的網(wǎng)頁,例如,a.php ? user = bingo。上述匹配條件中的預(yù)定后綴可以但不限于用于匹配類型為預(yù)定類型的地址的后綴,例如,structs漏洞只檢測(cè).act1n或.do為后綴的CGI。
[0031]具體結(jié)合以下示例,如圖4所示為上述配置文件的一種示意圖,其中,“rulename”表示配置文件的描述信息。一個(gè)配置文件可以由多個(gè)變量參數(shù)組成;“CVeid”是該配置文件的唯一編號(hào),以便于對(duì)上述配置文件管理,level”表示每種漏洞的風(fēng)險(xiǎn)等級(jí);配置條件中的“URL類型”、“URL后綴”為指示本實(shí)施例所要檢測(cè)的漏洞的預(yù)定類型以及預(yù)定后綴,例如,上述配置文件所要檢測(cè)的漏洞是structs漏洞,則上述“URL類型”將設(shè)置為CGI,“URL后綴”將設(shè)置為.act1n或.do,則在使用上述配置文件進(jìn)行檢測(cè)時(shí),可以通過對(duì)上述配置文件所指示的指示信息進(jìn)行匹配,進(jìn)而判斷待檢測(cè)網(wǎng)頁中是否存在上述配置文件所指示的漏洞。通過使用上述配置文件對(duì)待檢測(cè)網(wǎng)頁中的漏洞進(jìn)行檢測(cè),檢測(cè)上述待檢測(cè)網(wǎng)頁中是否存在圖4所示的配置文件所指示的漏洞。
[0032]可選地,在本實(shí)施例中,上述測(cè)試用例用于對(duì)待檢測(cè)目標(biāo)網(wǎng)頁中所存在的漏洞進(jìn)行進(jìn)一步檢測(cè)。例如,上述測(cè)試用例的輸入地址為參數(shù)A,輸入方式為“替換”,則將依次遍歷上述待檢測(cè)目標(biāo)網(wǎng)頁的參數(shù)A,并將上述參數(shù)A的取值替換為測(cè)試用例取值itest,以實(shí)現(xiàn)對(duì)上述待檢測(cè)目標(biāo)網(wǎng)頁進(jìn)行漏洞檢測(cè)。
[0033]例如,結(jié)合上述圖2所示的硬件場(chǎng)景,控制服務(wù)器202與其中一臺(tái)網(wǎng)站服務(wù)器204之間的交互流程可以如圖3所示:
[0034]S302,向控制服務(wù)器202輸入待檢測(cè)目標(biāo)網(wǎng)頁
[0035]S304,控制服務(wù)器202向上述網(wǎng)站服務(wù)器204發(fā)送配置文件中的指示信息所指示的測(cè)試用例;
[0036]S306,網(wǎng)站服務(wù)器204響應(yīng)于測(cè)試用例向控制服務(wù)器202反饋測(cè)試結(jié)果;