CN104200166B - 基于脚本的网站漏洞扫描方法和系统 - Google Patents
基于脚本的网站漏洞扫描方法和系统 Download PDFInfo
- Publication number
- CN104200166B CN104200166B CN201410381334.8A CN201410381334A CN104200166B CN 104200166 B CN104200166 B CN 104200166B CN 201410381334 A CN201410381334 A CN 201410381334A CN 104200166 B CN104200166 B CN 104200166B
- Authority
- CN
- China
- Prior art keywords
- script
- module
- leak
- website
- hole detection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Stored Programmes (AREA)
Abstract
本发明涉及网络应用安全领域,旨在提供基于脚本的网站漏洞扫描法方法和系统。该基于脚本的网站漏洞扫描方法包括步骤:设置要扫描的网站URL,选择网站要检测的安全漏洞类型,启动扫描引擎模块,向需要检测的URL构造并发送HTTP请求,接收HTTP响应并将所有数据保存在扫描引擎模块,根据用户选择的安全漏洞类型,分别执行对应的漏洞检测脚本模块;该网站漏洞扫描系统包括扫描引擎模块和漏洞检测脚本模块。本发明使漏洞的检测逻辑与扫描引擎分离、降低二者的耦合度,漏洞检测的逻辑由漏洞检测脚本实现,扫描引擎实现通用的、不特别针对某一类漏洞的基本功能。
Description
技术领域
本发明是关于网络应用安全领域,特别涉及基于脚本的网站漏洞扫描法方法和系统。
背景技术
随着互联网的发展,各种网络应用层出不穷,在实现了各种功能的同时,也引入了各种安全漏洞,给攻击者提供了方便。针对网站安全需求的不断增长,出现了许多网站漏洞扫描器,扫描器通常会根据用户提供的URL“爬行”整个网站,将网页下载下来,再将网页的内容进行检测、分析以检查网页中是否有漏洞存在。
但是几乎所有扫描器都面临这样的问题:(1)漏洞多种多样,针对不同漏洞的检测方法又各不相同,如何能够合理设计扫描器,能最大限度的支持各种漏洞?(2)互联网是一个高速发展的产业,随时都可能会有新的网站安全漏洞产生出来,如何能够快速的扩展扫描器以支持新的漏洞检测方案?
现有扫描器大多使用静态的配置文件用于描述各个漏洞的检测策略。但是通常的配置文件往往缺乏灵活性,无法快速的扩展,也不便于安全研究人员使用。
发明内容
本发明的主要目的在于克服现有技术中的不足,提供用脚本语言来实现漏洞检测策略的漏洞扫描方法和系统。为解决上述技术问题,本发明的解决方案是:
提供基于脚本的网站漏洞扫描方法,用于对所需检测的网站进行漏洞扫描,具体包括下述步骤:
步骤A:设置要扫描的网站URL,选择网站要检测的安全漏洞类型;
步骤B:启动扫描引擎模块,向需要检测的URL构造并发送HTTP请求,并接收HTTP响应;
步骤C:将步骤B中的HTTP请求和响应的所有数据,保存在扫描引擎模块;
步骤D:根据用户选择的安全漏洞类型,分别执行对应的漏洞检测脚本模块;漏洞检测脚本模块通过API从扫描引擎模块,获取步骤C中保存的HTTP请求和响应的数据,漏洞检测脚本模块能根据获取的数据判断所需检测的网站是否存在漏洞。
在本发明中,步骤D中,漏洞检测脚本模块还能通过API来构造、发送新的HTTP请求,并根据得到的响应进行进一步的漏洞检测。
在本发明中,所述基于脚本的网站漏洞扫描方法能配置每次扫描任务启用哪些漏洞检测脚本,用户在任何时候,可以选择检测所有的漏洞,也可以只选择一部分的漏洞,只有用户选择的漏洞,对应的脚本才会被执行。
提供实现所述的基于脚本的网站漏洞扫描方法的网站漏洞扫描系统,包括扫描引擎模块和漏洞检测脚本模块,所述扫描引擎模块能实现下述功能:
(1)构造和发送HTTP请求,接受HTTP响应;
(2)提供脚本语言的运行时环境;
(3)向脚本程序提供调用接口,允许脚本语言使用引擎提供的功能;
所述功能(1)通过扫描引擎模块内部的HTTP收发包模块实现;扫描引擎模块内部设有HTTP收发包模块,用于模拟浏览器发送、接收HTTP请求;
所述功能(2)通过运行时环境模块(如脚本语言的解释器、编译器)实现;扫描引擎模块内部设有运行时环境模块,是脚本程序运行所依赖的模块;
所述功能(3)中,扫描引擎模块向漏洞检测脚本提供接口,具体接口包括:
接口a:获取需要扫描的目标网页URL,获取目标网页URL的方式包括手工输入、从已有的URL列表或任何存放着URL的数据库导入、通过网络抓包获取、从网站爬虫导入;
接口b:获取页面内容对应的HTML Dom信息,HTML Dom信息包括链接、按钮、表单、表单元素、文本、脚本;
接口c:获取扫描引擎模块的HTTP请求的相关数据,包括Cookie、会话、HTTP头、一次请求所用的时间;
接口d:构造、发送HTTP的请求到被扫描的网站,并接收相应的HTTP响应,能设置HTTP请求的每一部分内容,包括Cookie,HTTP头;
接口e:将发现的漏洞信息上报给扫描引擎模块,并反馈显示(给用户);
所述漏洞检测脚本模块通过扫描引擎模块中的接口实现与扫描引擎模块交互,每个漏洞检测脚本模块用于检测一个类别的漏洞,且不同的漏洞检测脚本模块之间独立执行,检测结果不产生相互影响;
漏洞检测脚本模块分别对所需检测的网站的页面进行漏洞检测,如果检测出漏洞,漏洞检测脚本模块将获得的漏洞信息返回给扫描引擎模块;漏洞信息包括:出现漏洞的URL、漏洞的名称、漏洞的详细描述(比如造成该漏洞的代码所在的位置、针对该漏洞进行攻击的数据包等)、漏洞的修复建议(比如网页代码的修改建议、服务器的配置建议等);
漏洞检测脚本模块进行漏洞检测时,通过将至少一种漏洞检测方法以任意顺序组合来进行页面漏洞检测,具体漏洞检测方法包括:
方法a:依据被检测URL的请求响应码、HTTP头、会话和Cookie、响应内容的文本长度、响应时间长短,判断是否符合漏洞的特征;
方法b:在被检测URL的页面响应内容中,根据漏洞检测逻辑的需要,进行文本查找、通配符或正则表达式匹配的方式,并依据匹配结果判断是否符合漏洞的特征;
方法c:在被检测URL的页面响应内容中,根据漏洞检测逻辑的需要,提取特定的内容,判断是否符合漏洞的特征;特定的内容包括链接、表单、表单元素、按钮、注释、文本、标签、标签属性、脚本、CSS定义;
方法d:提供自定义的字典文件,依次提取字典文件中的内容,用于漏洞检测,内容包括每个字、词、文本行;
方法e:在漏洞检测脚本模块进行漏洞检测过程中,构造至少一个新的HTTP请求包,根据漏洞检测逻辑的需要,将新的HTTP请求包和原始页面的请求包一起,用于响应码、页面长度、HTTP头、页面内容等方面的差异性比对和用于内容的提取和匹配;漏洞检测脚本根据差异性比对或内容匹配的结果,判断是否存在漏洞。
在本发明中,所述漏洞检测脚本模块允许用户根据所需检测的网站,自定义编写的漏洞检测脚本,用于检测用户特定的安全问题。
在本发明中,所述漏洞检测脚本能采用各种脚本语言实现,并运行在所述扫描引擎提供的漏洞检测脚本运行时环境模块中。
在本发明中,所述漏洞检测脚本模块将获得的漏洞信息,通过扫描引擎模块进行存储和输出。
与现有技术相比,本发明的有益效果是:
使漏洞的检测逻辑与扫描引擎分离、降低二者的耦合度,漏洞检测的逻辑由漏洞检测脚本实现,扫描引擎实现通用的、不特别针对某一类漏洞的基本功能。这样的优势在于让整个网站漏洞扫描系统易于扩展,可以非常方便的针对新发现的漏洞编写策略检测脚本。
附图说明
图1为基于脚本的网站漏洞扫描系统的各模块示意图。
具体实施方式
首先需要说明的是,本发明涉及网络应用安全技术,是计算机技术在信息安全技术领域的一种应用。在本发明的实现过程中,会涉及到多个软件功能模块的应用。申请人认为,如在仔细阅读申请文件、准确理解本发明的实现原理和发明目的以后,在结合现有公知技术的情况下,本领域技术人员完全可以运用其掌握的软件编程技能实现本发 明。前述软件功能模块包括但不限于:扫描引擎模块、漏洞检测脚本模块等,凡本发明申请文件提及的均属此范畴,申请人不再一一列举。
下面结合具体实施方式对本发明作进一步详细描述:
基于脚本的网站漏洞扫描系统包括扫描引擎和漏洞检测脚本。扫描引擎,可以是任何形态和语言开发的程序,可以和用户界面在同一个进程中,也可以是独立的后台进程,也可以是能够被编译到其他程序中的动态库、静态库或其他形式的开发包;在开发语言方面,可以是java、C++或其他任何能够实现功能的程序开发语言。
扫描引擎是扫描器运转的核心,它驱动整个系统的运行。扫描引擎用于根据收到的任务,扫描所需检测的网站中的所有页面获取信息,再分别对页面调用具体的漏洞检测脚本进行漏洞检测,并将获取的页面信息传递给具体调用的漏洞检测脚本。扫描引擎能实现下述功能:
功能1,构造和发送HTTP请求,接受HTTP响应;
功能2,提供脚本语言的运行时环境;
功能3,向脚本程序提供调用接口,允许脚本语言使用引擎提供的功能;
所述功能1通过扫描引擎内部的HTTP收发包模块实现,模拟浏览器发送、接收HTTP请求;
所述功能2通过运行时环境模块(如脚本语言的解释器、编译器)实现,该模块是脚本程序运行所依赖的模块,用于调用漏洞检测脚本。脚本是任何可以被解释或编译之后运行的程序开发语言,可以是类似于Javascript、Python、Perl等通用的动态语言,或batch、shell等基于操作系统命令的脚本,也可以是由自己实现的脚本语言或者领域特定语言等;
所述功能3由扫描引擎实现,扫描引擎向漏洞检测脚本提供如下接口:
接口a:获取需要扫描的目标网页URL,获取目标网页URL的方式包括手工输入、从已有的URL列表或任何存放着URL的数据库导入、通过网络抓包获取、从网站爬虫导入等;
接口b:获取页面内容对应的HTML Dom信息,HTML Dom信息包括链接、按钮、表单、表单元素、文本、脚本;
接口c:获取扫描器某一次HTTP请求的相关数据,包括Cookie、会话、HTTP头、一次请求所用的时间等;
接口d:构造、发送HTTP的请求到被扫描的网站,并接收相应的HTTP响应,可以设置HTTP请求的每一部分内容,比如Cookie,HTTP头等;
接口e:将发现的漏洞及相关信息上报给引擎,并最终呈现给用户,漏洞信息包括:出现漏洞的URL、漏洞的名称、漏洞的详细描述(比如造成该漏洞的代码所在的位置、针 对该漏洞进行攻击的数据包等)、漏洞的修复建议(比如网页代码的修改建议、服务器的配置建议等);
所述漏洞检测脚本通过调用上述接口来与引擎交互,每个漏洞检测脚本用于检测一个类别的漏洞,且不同的漏洞检测脚本之间独立执行,检测结果不产生相互影响。如果检测出漏洞,漏洞检测脚本将漏洞信息返回给扫描引擎。
漏洞检测的步骤为:
步骤1,扫描器引擎对需要检测的URL,构造并发送HTTP请求,接收HTTP响应;
步骤2,将上述HTTP请求和响应的所有内容(包括响应码、HTTP头、会话和Cookie、响应内容的文本长度),以及本次HTTP请求所用的时间保存起来(可以是保存在程序的数据库中、文件中,也可以是内存中);
步骤3,分别执行各个漏洞检测脚本(具体启动哪些漏洞检测脚本,由用户设置),检测脚本可以通过前述接口a、b、c从扫描引擎获取HTTP请求和响应的数据。漏洞检测脚本会对获得的数据进行分析,分析的手段和方法针对不同的漏洞特点而有所不同,基本的方法有如下几种:
1)在HTTP响应的数据中查找特定的内容等,需要查找的内容根据具体的漏洞特性和网页结构而定;
2)检查HTTP响应的状态码、HTTP头、会话和Cookie、响应内容的文本长度、响应时间长短等;
3)在HTTP响应内容中,根据具体漏洞的特性,提取特定的内容(包括链接、表单、表单元素、按钮、注释、文本、标签、标签属性、脚本、CSS定义)进行检测;
4)通过前述接口d构造新的HTTP请求并发送,对新产生的HTTP响应进行新一轮的检查,或者比较多次相似的HTTP请求得到的多次响应的差异等;漏洞检测脚本会综合运用上述各方法进行检测。
步骤4,一旦漏洞检测脚本认为当前页面中存在漏洞,就会调用接口e,把漏洞的相关信息上报;
步骤5,当需要执行的漏洞检测脚本都执行完毕之后,针对一个页面的漏洞检测就结束了。
最后,需要注意的是,以上列举的仅是本发明的具体实施例。显然,本发明不限于以上实施例,还可以有很多变形。本领域的普通技术人员能从本发明公开的内容中直接导出或联想到的所有变形,均应认为是本发明的保护范围。
Claims (6)
1.基于脚本的网站漏洞扫描方法,用于对所需检测的网站进行漏洞扫描,其特征在于,具体包括下述步骤:
步骤A:设置要扫描的网站URL,选择网站要检测的安全漏洞类型;
步骤B:启动扫描引擎模块,向需要检测的URL构造并发送HTTP请求,并接收HTTP响应;
步骤C:将步骤B中的HTTP请求和响应的所有数据,保存在扫描引擎模块;
步骤D:根据用户选择的安全漏洞类型,分别执行对应的漏洞检测脚本模块;漏洞检测脚本模块通过API从扫描引擎模块,获取步骤C中保存的HTTP请求和响应的数据,漏洞检测脚本模块能根据获取的数据判断所需检测的网站是否存在漏洞;
上述基于脚本的网站漏洞扫描方法利用网站漏洞扫描系统实现,所述网站漏洞扫描系统包括扫描引擎模块和漏洞检测脚本模块;
所述扫描引擎模块能实现下述功能:
(1)构造和发送HTTP请求,接受HTTP响应;
(2)提供脚本语言的运行时环境;
(3)向脚本程序提供调用接口,允许脚本语言使用引擎提供的功能;
所述功能(1)通过扫描引擎模块内部的HTTP收发包模块实现;扫描引擎模块内部设有HTTP收发包模块,用于模拟浏览器发送、接收HTTP请求;
所述功能(2)通过运行时环境模块实现;扫描引擎模块内部设有运行时环境模块,是脚本程序运行所依赖的模块;
所述功能(3)中,扫描引擎模块向漏洞检测脚本提供接口,具体接口包括:
接口a:获取需要扫描的目标网页URL,获取目标网页URL的方式包括手工输入、从已有的URL列表或任何存放着URL的数据库导入、通过网络抓包获取、从网站爬虫导入;
接口b:获取页面内容对应的HTML Dom信息,HTML Dom信息包括链接、按钮、表单、表单元素、文本、脚本;
接口c:获取扫描引擎模块的HTTP请求的相关数据,包括Cookie、会话、HTTP头、一次请求所用的时间;
接口d:构造、发送HTTP的请求到被扫描的网站,并接收相应的HTTP响应,能设置HTTP请求的每一部分内容,包括Cookie,HTTP头;
接口e:将发现的漏洞信息上报给扫描引擎模块,并反馈显示;
所述漏洞检测脚本模块通过扫描引擎模块中的接口实现与扫描引擎模块交互,每个漏洞检测脚本模块用于检测一个类别的漏洞,且不同的漏洞检测脚本模块之间独立执行,检测结果不产生相互影响;
漏洞检测脚本模块分别对所需检测的网站的页面进行漏洞检测,如果检测出漏洞,漏洞检测脚本模块将获得的漏洞信息返回给扫描引擎模块;漏洞信息包括:出现漏洞的URL、漏洞的名称、漏洞的详细描述、漏洞的修复建议;
漏洞检测脚本模块进行漏洞检测时,通过将至少一种漏洞检测方法以任意顺序组合来进行页面漏洞检测,具体漏洞检测方法包括:
方法a:依据被检测URL的请求响应码、HTTP头、会话和Cookie、响应内容的文本长度、响应时间长短,判断是否符合漏洞的特征;
方法b:在被检测URL的页面响应内容中,根据漏洞检测逻辑的需要,进行文本查找、通配符或正则表达式匹配的方式,并依据匹配结果判断是否符合漏洞的特征;
方法c:在被检测URL的页面响应内容中,根据漏洞检测逻辑的需要,提取特定的内容,判断是否符合漏洞的特征;特定的内容包括链接、表单、表单元素、按钮、注释、文本、标签、标签属性、脚本、CSS定义;
方法d:提供自定义的字典文件,依次提取字典文件中的内容,用于漏洞检测,内容包括每个字、词、文本行;
方法e:在漏洞检测脚本模块进行漏洞检测过程中,构造至少一个新的HTTP请求包,根据漏洞检测逻辑的需要,将新的HTTP请求包和原始页面的请求包一起,用于响应码、页面长度、HTTP头、页面内容方面的差异性比对和用于内容的提取和匹配;漏洞检测脚本根据差异性比对或内容匹配的结果,判断是否存在漏洞。
2.根据权利要求1所述的基于脚本的网站漏洞扫描方法,其特征在于,步骤D中,漏洞检测脚本模块还能通过API来构造、发送新的HTTP请求,并根据得到的响应进行进一步的漏洞检测。
3.根据权利要求1所述的基于脚本的网站漏洞扫描方法,其特征在于,所述基于脚本的网站漏洞扫描方法能配置每次扫描任务启用哪些漏洞检测脚本,用户在任何时候,可以选择检测所有的漏洞,也可以只选择一部分的漏洞,只有用户选择的漏洞,对应的脚本才会被执行。
4.根据权利要求1所述的基于脚本的网站漏洞扫描方法,其特征在于,网站漏洞扫描系统中,所述漏洞检测脚本模块允许用户根据所需检测的网站,自定义编写的漏洞检测脚本,用于检测用户特定的安全问题。
5.根据权利要求1所述的基于脚本的网站漏洞扫描方法,其特征在于,网站漏洞扫描系统中,所述漏洞检测脚本能采用各种脚本语言实现,并运行在所述扫描引擎提供的漏洞检测脚本运行时环境模块中。
6.根据权利要求1所述的基于脚本的网站漏洞扫描方法,其特征在于,网站漏洞扫描系统中,所述漏洞检测脚本模块将获得的漏洞信息,通过扫描引擎模块进行存储和输出。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410381334.8A CN104200166B (zh) | 2014-08-05 | 2014-08-05 | 基于脚本的网站漏洞扫描方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410381334.8A CN104200166B (zh) | 2014-08-05 | 2014-08-05 | 基于脚本的网站漏洞扫描方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104200166A CN104200166A (zh) | 2014-12-10 |
| CN104200166B true CN104200166B (zh) | 2017-05-03 |
Family
ID=52085457
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410381334.8A Active CN104200166B (zh) | 2014-08-05 | 2014-08-05 | 基于脚本的网站漏洞扫描方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104200166B (zh) |
Families Citing this family (28)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105488400A (zh) * | 2014-12-13 | 2016-04-13 | 哈尔滨安天科技股份有限公司 | 一种恶意网页综合检测方法及系统 |
| CN106033512A (zh) * | 2015-03-20 | 2016-10-19 | 中兴通讯股份有限公司 | 一种安全漏洞加固方法及系统 |
| CN106209487B (zh) * | 2015-05-07 | 2019-12-03 | 阿里巴巴集团控股有限公司 | 用于检测网站中网页的安全漏洞的方法及装置 |
| CN105100053A (zh) * | 2015-05-29 | 2015-11-25 | 北京奇虎科技有限公司 | 一种检测网站安全性的方法、装置和云监控系统 |
| CN106548075B (zh) * | 2015-09-22 | 2020-03-27 | 阿里巴巴集团控股有限公司 | 漏洞检测方法和装置 |
| CN105516131B (zh) * | 2015-12-04 | 2019-03-26 | 珠海豹趣科技有限公司 | 一种扫描漏洞的方法、装置及电子设备 |
| CN107026821B (zh) * | 2016-02-01 | 2021-06-01 | 阿里巴巴集团控股有限公司 | 报文的处理方法及装置 |
| CN106230857A (zh) * | 2016-08-30 | 2016-12-14 | 上海新华控制技术(集团)有限公司 | 一种面向工控系统的主动式漏洞检测系统和检测方法 |
| CN107846383A (zh) * | 2016-09-20 | 2018-03-27 | 中国电信股份有限公司 | 伪静态网站安全检查方法和装置 |
| CN106789877A (zh) * | 2016-11-15 | 2017-05-31 | 杭州安恒信息技术有限公司 | 一种基于沙箱的漏洞验证系统 |
| CN107392031A (zh) * | 2017-08-04 | 2017-11-24 | 杭州安恒信息技术有限公司 | 漏洞的扫描方法及装置 |
| CN107528860A (zh) * | 2017-10-12 | 2017-12-29 | 中国科学院计算机网络信息中心 | 网络安全测试方法、系统及存储介质 |
| CN107908959B (zh) * | 2017-11-10 | 2020-02-14 | 北京知道创宇信息技术股份有限公司 | 网站信息检测方法、装置、电子设备及存储介质 |
| CN107832197A (zh) * | 2017-11-28 | 2018-03-23 | 江苏方天电力技术有限公司 | 一种业务应用系统的巡检系统和巡检方法 |
| CN110348210B (zh) * | 2018-04-08 | 2022-12-20 | 腾讯科技(深圳)有限公司 | 安全防护方法及装置 |
| CN110392024A (zh) * | 2018-04-20 | 2019-10-29 | 李娜 | 一种网页检测方法与扫描引擎置 |
| CN111049783A (zh) * | 2018-10-12 | 2020-04-21 | 北京奇虎科技有限公司 | 一种网络攻击的检测方法、装置、设备及存储介质 |
| CN111385249B (zh) * | 2018-12-28 | 2023-07-18 | 中国电力科学研究院有限公司 | 一种脆弱性检测方法 |
| CN110401634A (zh) * | 2019-06-24 | 2019-11-01 | 北京墨云科技有限公司 | 一种Web应用漏洞检测规则引擎实现方法及终端 |
| CN110569032B (zh) * | 2019-09-16 | 2023-03-14 | 郑州昂视信息科技有限公司 | 脚本语言解释器应用标签裁决的方法及装置 |
| CN110708308B (zh) * | 2019-09-29 | 2021-08-17 | 武汉大学 | 一种面向云计算环境的跨站脚本漏洞挖掘方法及系统 |
| CN111027094B (zh) * | 2019-12-04 | 2021-07-02 | 支付宝(杭州)信息技术有限公司 | 针对隐私数据泄漏的风险评估方法及装置 |
| CN111277601B (zh) * | 2020-01-22 | 2023-02-21 | 奇安信科技集团股份有限公司 | 一种网站安全监测方法及系统 |
| CN112165489A (zh) * | 2020-09-28 | 2021-01-01 | 彩讯科技股份有限公司 | 未授权访问漏洞检测方法、系统、服务器和存储介质 |
| CN112738094B (zh) * | 2020-12-29 | 2022-10-25 | 国网山东省电力公司滨州供电公司 | 可扩展的网络安全漏洞监测方法、系统、终端及存储介质 |
| CN112738127B (zh) * | 2021-01-08 | 2023-04-07 | 西安邮电大学 | 基于Web的网站与主机漏洞检测系统及其方法 |
| TWI781839B (zh) * | 2021-12-02 | 2022-10-21 | 中華電信股份有限公司 | 檢查網站的商品結帳漏洞的電子裝置及方法 |
| CN114666145B (zh) * | 2022-03-30 | 2024-04-26 | 成都安恒信息技术有限公司 | 一种基于网络采集的安全预警方法及系统 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1866817A (zh) * | 2006-06-15 | 2006-11-22 | 北京华景中天信息技术有限公司 | 网站安全风险评估方法和系统 |
| US8850587B2 (en) * | 2007-05-04 | 2014-09-30 | Wipro Limited | Network security scanner for enterprise protection |
| CN103065095A (zh) * | 2013-01-29 | 2013-04-24 | 四川大学 | 一种基于指纹识别技术的web漏洞扫描方法和漏洞扫描器 |
| CN103942497B (zh) * | 2013-09-11 | 2017-05-03 | 杭州安恒信息技术有限公司 | 一种取证式网站漏洞扫描方法和系统 |
-
2014
- 2014-08-05 CN CN201410381334.8A patent/CN104200166B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN104200166A (zh) | 2014-12-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104200166B (zh) | 基于脚本的网站漏洞扫描方法和系统 | |
| CN101242279B (zh) | 用于web系统的自动化渗透性测试系统和方法 | |
| CN105868096B (zh) | 用于在浏览器中显示web页面测试结果的方法、装置及设备 | |
| US9262311B1 (en) | Network page test system and methods | |
| CN103297394B (zh) | 网站安全检测方法和装置 | |
| CN108446221A (zh) | 系统测试方法、装置、计算机设备和存储介质 | |
| CN104881608A (zh) | 一种基于模拟浏览器行为的xss漏洞检测方法 | |
| CN102739653B (zh) | 一种针对网址的检测方法及装置 | |
| CN106022135A (zh) | 一种可动态判断xss漏洞的自动化检测系统 | |
| CN104881607A (zh) | 一种基于模拟浏览器行为的xss漏洞检测系统 | |
| CN103065095A (zh) | 一种基于指纹识别技术的web漏洞扫描方法和漏洞扫描器 | |
| CN110392024A (zh) | 一种网页检测方法与扫描引擎置 | |
| CN110460612B (zh) | 安全测试方法、设备、存储介质及装置 | |
| CN106326120B (zh) | 一种应用软件的回归测试方法及装置、电子设备 | |
| CN105430002A (zh) | 漏洞检测方法及装置 | |
| CN106528393A (zh) | 一种WebService的Mock测试的方法及装置 | |
| CN104537305B (zh) | 网站漏洞检测方法和系统 | |
| CN105117340B (zh) | 用于iOS浏览器应用质量评估的URL检测方法和装置 | |
| Ricca et al. | Three open problems in the context of e2e web testing and a vision: Neonate | |
| CN108959067A (zh) | 搜索引擎的测试方法、装置及计算机可读存储介质 | |
| CN106209487B (zh) | 用于检测网站中网页的安全漏洞的方法及装置 | |
| Menegassi et al. | Automated tests for cross‐platform mobile apps in multiple configurations | |
| CN107332805B (zh) | 检测漏洞的方法、装置和系统 | |
| CN105306462B (zh) | 网页链接检测方法及装置 | |
| CN104375935A (zh) | Sql注入攻击的测试方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address |
Address after: Zhejiang Zhongcai Building No. 68 Binjiang District road Hangzhou City, Zhejiang Province, the 310051 and 15 layer Patentee after: Hangzhou Annan information technology Limited by Share Ltd Address before: Hangzhou City, Zhejiang province 310051 Binjiang District and Zhejiang road in the 15 storey building Patentee before: Dbappsecurity Co.,ltd. |
|
| CP03 | Change of name, title or address |