CN104484609A - 网站漏洞检测方法和系统 - Google Patents
网站漏洞检测方法和系统 Download PDFInfo
- Publication number
- CN104484609A CN104484609A CN201410816152.9A CN201410816152A CN104484609A CN 104484609 A CN104484609 A CN 104484609A CN 201410816152 A CN201410816152 A CN 201410816152A CN 104484609 A CN104484609 A CN 104484609A
- Authority
- CN
- China
- Prior art keywords
- web site
- link
- parameter
- website
- site url
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/95—Retrieval from the web
- G06F16/955—Retrieval from the web using information identifiers, e.g. uniform resource locators [URL]
- G06F16/9566—URL specific, e.g. using aliases, detecting broken or misspelled links
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Computing Systems (AREA)
- Data Mining & Analysis (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明涉及一种网站漏洞检测方法和系统,上述方法包括:获取待检测网站链接;判断网站链接是否为重写连接;若网站链接为重写链接,根据预存的链接重写格式,识别网站链接中的参数的位置;根据参数的位置在网站链接的参数中添加测试字符串形成测试链接;根据测试链接检测网站是否存在漏洞。通过本发明的技术方案,能够快速且准确地识别出重写链接中的参数,以便根据重写链接构造测试链接,从而实现对重写URL所在网站的漏洞检测。
Description
技术领域
本发明涉及网络安全技术领域,具体而言,涉及一种网站漏洞检测方法和一种网站漏洞检测系统。
背景技术
网站管理中,重写URL是非常有用的一个功能,通过重写网站的URL可以提高搜索引擎阅读和索引网站的能力,而且在改变了网站结构后,无需要求用户修改他们关于该网站的书签,无需其他网站修改它们的友情链接,通过重写URL还可以提高你的网站的安全性,通常会使得网站更加便于使用和更专业。简而言之,重写URL主要有以下三个功能:
缩短url,隐藏实际路径提高安全性;
易于用户记忆和键入;
易于被搜索引擎收录;
具体来说,URL重写就是首先获得一个进入的URL请求然后把它重新写成网站可以处理的另一个URL的过程。举个例子来说,如果通过浏览器进来的URL是“UserProfile.aspx?ID=1”那么它可以被重写成“UserProfile/1.aspx”,这样的URL,这样的网址可以更好的被网站所阅读。
虽然对URL进行重写存在诸多优点,但是,针对重写URL,由于重写方式的多样性,导致重写后格式的多样性,进而导致识别其中参数的位置存在诸多困难,由于难以识别重写URL中参数的位置,导致难以根据重写URL构造测试链接,对重写URL所在网站进行漏洞检测。
发明内容
本发明所要解决的技术问题是,如何快速且准确地识别出重写链接中的参数,以便根据重写链接构造测试链接,从而实现对重写URL所在网站的漏洞检测。
为此目的,本发明提出了一种网站漏洞检测方法,包括:
获取待检测网站链接;
判断所述网站链接是否为重写连接;
若所述网站链接为重写链接,根据预存的链接重写格式,识别所述网站链接中的参数的位置;
根据所述参数的位置在所述参数中添加测试字符串形成测试链接;
根据所述测试链接检测所述网站是否存在漏洞。
优选地,所述判断所述网站链接是否为重写连接包括:
获取所述网站链接的对应网页的内容以及对应的状态代码;
获取与所述网站链接相对应的错误网址所指向的错误网页的内容以及对应的状态代码;
根据所述错误网页的内容与所述对应网页的内容之间的区别、或者所述错误网页对应的状态代码、或者所述错误网页对应的状态代码与所述待检测网站对应的状态代码之间的区别,判断所述网站链接是否为重写连接。
优选地,在所述获取待检测网站链接之前还包括:
在检测到对网站链接的重写操作时,识别重写操作的重写方式;
根据所述重写方式生成重写格式;
记录并存储生成的重写格式。
优选地,所述在所述网站链接的所述参数中添加测试字符串形成测试链接包括:
根据接收到的指令确定测试链接请求方法;
根据所述请求方法从数据库提取相应的测试字符串。
优选地,所述识别所述网站链接中的参数包括:
识别所述参数的类型,
则所述在所述网站链接的所述参数中添加测试字符串形成测试链接包括:
根据所述类型从数据库提取相应的测试字符串;
在每个参数中分别添加与其类型相关联的测试字符串,以形成测试链接。
本发明还提出了一种网站漏洞检测系统,包括:
获取单元,用于获取待检测网站链接;
判断单元,用于判断所述网站链接是否为重写连接;
参数识别单元,用于在所述网站链接为重写链接情况下,根据预存的链接重写格式,识别所述网站链接中的参数的位置;
添加单元,用于根据所述参数的位置在所述网站链接的所述参数中添加测试字符串形成测试链接;
检测单元,用于根据所述测试链接检测所述网站是否存在漏洞。
优选地,所述判断单元包括:
代码获取子单元,用于获取所述网站链接的对应网页的内容以及对应的状态代码,以及获取与所述网站链接相对应的错误网址所指向的错误网页的内容以及对应的状态代码;
区别判断子单元,用于根据所述错误网页的内容与所述对应网页的内容之间的区别、或者所述错误网页对应的状态代码、或者所述错误网页对应的状态代码与所述待检测网站对应的状态代码之间的区别,判断所述网站链接是否为重写连接。
优选地,还包括:
操作识别单元,用于在检测到对网站链接的重写操作时,识别重写操作的重写方式;
格式生成单元,用于根据所述重写方式生成重写格式;
存储单元,用于记录并存储生成的重写格式。
优选地,所述添加单元包括:
请求确定子单元,用于根据接收到的指令确定测试链接请求方法;
提取子单元,用于根据所述请求方法从数据库提取相应的测试字符串。
优选地,所述参数识别单元包括:
类型识别子单元,用于识别所述参数的类型,
所述添加单元包括:
提取子单元,用于根据所述类型从数据库提取相应的测试字符串;
链接形成子单元,在每个参数中分别添加与其类型相关联的测试字符串,以形成测试链接。
根据以上技术方案,至少能够实现:
1、准确且快速地识别重写链接中参数的位置,从而根据位置准确地为重写链接添加测试字符串以构成测试链接,进而对重写URL对应的网站进行漏洞检测;
2、每当检测到重写操作时,都可以记录相应的重写格式,从而广泛且全面地存储重写格式,进而在将重写连接与重写格式进行匹配时,能够准确地查询到与重写链接相匹配的重写格式;
3、通过为链接中具有不同属性的参数添加相应的测试字符串形成测试链接,可以更具有针对性地构造每个测试链接,根据每个不同的测试链接分别对网站进行检测,能够提高对网站漏洞更加全面地检测,提高网站漏洞检测结果的准确度。
附图说明
通过参考附图会更加清楚的理解本发明的特征和优点,附图是示意性的而不应理解为对本发明进行任何限制,在附图中:
图1示出了根据本发明一个实施例的网站漏洞检测方法的示意流程图;
图2示出了根据本发明又一个实施例的网站漏洞检测方法的示意流程图;
图3示出了根据本发明一个实施例的判断网站链接是否为重写链接的示意流程图;
图4示出了根据本发明一个实施例的网站漏洞检测系统的示意流程图。
具体实施方式
下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,仅用于解释本发明,而不能解释为对本发明的限制。
本技术领域技术人员可以理解,除非特意声明,这里使用的单数形式“一”、“一个”、“所述”和“该”也可包括复数形式。应该进一步理解的是,本发明的说明书中使用的措辞“包括”是指存在所述特征、整数、步骤、操作、元件和/或组件,但是并不排除存在或添加一个或多个其他特征、整数、步骤、操作、元件、组件和/或它们的组。应该理解,当我们称元件被“连接”或“耦接”到另一元件时,它可以直接连接或耦接到其他元件,或者也可以存在中间元件。此外,这里使用的“连接”或“耦接”可以包括无线连接或无线耦接。这里使用的措辞“和/或”包括一个或更多个相关联的列出项的全部或任一单元和全部组合。
本技术领域技术人员可以理解,除非另外定义,这里使用的所有术语(包括技术术语和科学术语),具有与本发明所属领域中的普通技术人员的一般理解相同的意义。还应该理解的是,诸如通用字典中定义的那些术语,应该被理解为具有与现有技术的上下文中的意义一致的意义,并且除非像这里一样被特定定义,否则不会用理想化或过于正式的含义来解释。
本技术领域技术人员可以理解,这里所使用的“终端”、“终端设备”既包括无线信号接收器的设备,其仅具备无发射能力的无线信号接收器的设备,又包括接收和发射硬件的设备,其具有能够在双向通信链路上,执行双向通信的接收和发射硬件的设备。这种设备可以包括:蜂窝或其他通信设备,其具有单线路显示器或多线路显示器或没有多线路显示器的蜂窝或其他通信设备;PCS(PersonalCommunications Service,个人通信系统),其可以组合语音、数据处理、传真和/或数据通信能力;PDA(Personal Digital Assistant,个人数字助理),其可以包括射频接收器、寻呼机、互联网/内联网访问、网络浏览器、记事本、日历和/或GPS(Global Positioning System,全球定位系统)接收器;常规膝上型和/或掌上型计算机或其他设备,其具有和/或包括射频接收器的常规膝上型和/或掌上型计算机或其他设备。这里所使用的“终端”、“终端设备”可以是便携式、可运输、安装在交通工具(航空、海运和/或陆地)中的,或者适合于和/或配置为在本地运行,和/或以分布形式,运行在地球和/或空间的任何其他位置运行。这里所使用的“终端”、“终端设备”还可以是通信终端、上网终端、音乐/视频播放终端,例如可以是PDA、MID(Mobile InternetDevice,移动互联网设备)和/或具有音乐/视频播放功能的移动电话,也可以是智能电视、机顶盒等设备。
本技术领域技术人员可以理解,这里所使用的服务器、云端、远端网络设备等概念,具有等同效果,其包括但不限于计算机、网络主机、单个网络服务器、多个网络服务器集或多个服务器构成的云。在此,云由基于云计算(Cloud Computing)的大量计算机或网络服务器构成,其中,云计算是分布式计算的一种,由一群松散耦合的计算机集组成的一个超级虚拟计算机。本发明的实施例中,远端网络设备、终端设备与WNS服务器之间可通过任何通信方式实现通信,包括但不限于,基于3GPP、LTE、WIMAX的移动通信、基于TCP/IP、UDP协议的计算机网络通信以及基于蓝牙、红外传输标准的近距无线传输方式。
本领域技术人员应当理解,本发明所称的“应用”、“应用程序”、“应用软件”以及类似表述的概念,是业内技术人员所公知的相同概念,是指由一系列计算机指令及相关数据资源有机构造的适于电子运行的计算机软件。除非特别指定,这种命名本身不受编程语言种类、级别,也不受其赖以运行的操作系统或平台所限制。理所当然地,此类概念也不受任何形式的终端所限制。
根据本发明的实施例,网站链接例如可以是URL(UniformResourceLocator,统一资源定位符),下文中的具体实施例中,主要以URL为例进行描述,但网址并不仅限于URL,而是可以包括任何标识网站链接的方式。
如图1所示,根据本发明的一个实施例,提出了一种网站漏洞检测方法,包括:
S1,获取待检测网站链接;
获取操作可以由用户通过图形用户界面完成,图形用户界面中除了包括可供用户指定的待检测的网站,还可以为用户提供具体网站中待检测的链接,使得用户可以根据需要选择相应的网站,以及具体的链接,从而具有针对性地开始检测。
S2,判断网站链接是否为重写连接;
非重写URL的格式一般是固定的,确定其中参数的位置,只需根据固定的格式判断,而重写URL由于重写方式的多样性,导致其格式的不确定性。
S3,若网站链接为重写链接,根据预存的链接重写格式,识别网站链接中的参数的位置;
当判定链接为重写URL,即可从数据库中调用预存的链接重写格式,例如通过正则表达式重写的格式,或通过Httpcontext类的RewriterUrl()进行重写的格式,或通过自定义的Http Mode进行重写的格式,虽然重写URL格式存在不确定性,但是格式仍属于所有重写方式重写后的URL的格式,而数据库中则存储有每种重写方式重写后的URL的格式,所以通过将重写URL的格式与预存的链接重写格式进行匹配,可以确定重写URL对应的重写格式,进而查询该重写格式中参数的位置,即可确定重写URL中参数的位置。
S4,根据参数的位置在参数中添加测试字符串形成测试链接;
测试链接可以根据具体需要测试的漏洞进行添加,例如测试SQL注入漏洞或XSS漏洞,可以分别从数据库中提取相对应的测试字符串,添加到重写URL的参数中,例如重写URL为
www.123.cn/vul/view/?id=10
其中的参数为id,参数的值为10,参数位于格式中的末尾,那么可以为其添加测试字符串<Script>alert(42873)</Script>,从而形成测试链接
www.123.cn/vul/view/?id=10<Script>alert(42873)</Script>
以进行测试。当然,该测试链接链接以及测试字符串仅是根据本发明一个实施例的示意,办发明也可以对其他形式的链接添加其他形式的测试字符串。
S5,根据测试链接检测网站是否存在漏洞。
通过准确且快速地识别重写链接中参数的位置,能够根据位置准确地为重写链接添加测试字符串以构成测试链接,进而对重写URL对应的网站进行漏洞检测。
如图2所示,本发明所公开的检测方法,除了可以对重写URL对应的网站进行漏洞检测,还可以为非重写URL对应的网站进行漏洞检测。
具体地,可以在判定网站链接不是重写链接时,进入步骤S6,即直接识别其中参数的位置,然后根据参数的位置在链接的参数中添加测试字符串形成测试链接,进而对网站漏洞进行检测。
如图3所示,优选地,判断网站链接是否为重写连接(S2)包括:
S21,获取网站链接的对应网页的内容以及对应的状态代码;
优选地,可以访问待检测网站一次或多次,并且保存每次访问的内容以及对应的状态代码。例如,在访问待检测网站多次的情况下,可以将多次访问的内容保存为
html ok1,html ok2、…、html okn,
将这些次访问结果的状态代码保存为
http_status_ok1、http_status_ok2、…、http_status_okn,
S22,获取与网站链接相对应的错误网址所指向的错误网页的内容以及对应的状态代码;
根据本发明的实施例,与待检测网站的网址相对应的错误网址是与待检测网站的网址相对应的、实际不存在的网址,例如,如果待检测网站的网址是
/site/content/1/,
则错误网址则可以是
/site/content/1/neverexistpageo,
可选地,同样,可以访问错误网页一次或多次,并且保存每次访问的内容以及对应的状态代码。例如,在访问错误网页多次的情况下,可以将多次访问的内容保存为
htmlerr1、html err2、…、html errn,
将这些次访问结果的状态代码保存为
http_status_err1、http_status_err2、…、http_status_errno,
S23,根据错误网页的内容与对应网页的内容之间的区别、或者错误网页对应的状态代码、或者错误网页对应的状态代码与待检测网站对应的状态代码之间的区别,判断网站链接是否为重写连接。
第一,可以根据错误网页对应的状态代码来判断网址链接是否为网址重写的网页。例如,根据本发明的实施例,如果访问错误URL的访问结果的状态代码指示该错误URL不可访问,例如状态代码为
404:“服务器找不到请求的网页”,
则可以判断出网址链接不是网址重写的网页,即非网址重写的网页。
第二,可以根据错误网页对应的状态代码与网址链接对应的状态代码之间的区别来判断网址链接是否为网址重写的网页。
例如,根据本发明的实施例,如果访问错误URL的访问结果的状态代码为200(“服务器己成功处理了请求勺”),而访问对应的正常URL的访问结果的状态代码为302(“服务器目前从不同位置的网页响应请求,但请求者应继续使用原有位置来进行以后的请求”),则可以判断网址链接是网址重写的网页。
第三,可以根据错误网页的内容与网址链接的内容之间的区别来判断网址链接是否为网址重写的网页。
所示,首先比较错误网页的内容与网址链接的内容。之后,在错误网页的内容与网址链接的内容相同的情况下,将网址链接判断为网址重写的网页。而在错误网页的内容与网址链接的内容不同的情况下,则从错误网页与网址链接相比特有的内容中获取错误关键字,并且根据错误关键字来判断网址链接。
优选地,在获取待检测网站链接之前还包括:
在检测到对网站链接的重写操作时,识别重写操作的重写方式;
根据重写方式生成重写格式;
记录并存储生成的重写格式。
每当检测到重写操作时,都可以记录相应的重写格式,从而广泛且全面地存储重写格式,进而在将重写连接与重写格式进行匹配时,能够准确地查询到与重写链接相匹配的重写格式。
优选地,在网站链接的参数中添加测试字符串形成测试链接包括:
根据接收到的指令确定测试链接请求方法;
根据请求方法从数据库提取相应的测试字符串。
优选地,识别网站链接中的参数包括:
识别参数的类型,
则在网站链接的参数中添加测试字符串形成测试链接包括:
根据类型从数据库提取相应的测试字符串;
在每个参数中分别添加与其类型相关联的测试字符串,以形成测试链接。
通过为链接中具有不同属性的参数添加相应的测试字符串形成测试链接,可以更具有针对性地构造每个测试链接,根据每个不同的测试链接分别对网站进行检测,能够提高对网站漏洞更加全面地检测,提高网站漏洞检测结果的准确度。
如图4所示,本发明还提出了一种网站漏洞检测系统10,包括:
获取单元11,用于获取待检测网站链接;
判断单元12,用于判断网站链接是否为重写连接;
参数识别单元13,用于在网站链接为重写链接情况下,根据预存的链接重写格式,识别网站链接中的参数的位置;
添加单元14,用于根据参数的位置在网站链接的参数中添加测试字符串形成测试链接;
检测单元15,用于根据测试链接检测网站是否存在漏洞。
优选地,判断单元12包括:
代码获取子单元121,用于获取网站链接的对应网页的内容以及对应的状态代码,以及获取与网站链接相对应的错误网址所指向的错误网页的内容以及对应的状态代码;
区别判断子单元122,用于根据错误网页的内容与对应网页的内容之间的区别、或者错误网页对应的状态代码、或者错误网页对应的状态代码与待检测网站对应的状态代码之间的区别,判断网站链接是否为重写连接。
优选地,还包括:
操作识别单元16,用于在检测到对网站链接的重写操作时,识别重写操作的重写方式;
格式生成单元17,用于根据重写方式生成重写格式;
存储单元,用于记录并存储生成的重写格式。
优选地,添加单元14包括:
请求确定子单元141,用于根据接收到的指令确定测试链接请求方法;
提取子单元142,用于根据请求方法从数据库提取相应的测试字符串。
优选地,参数识别单元13包括:
类型识别子单元131,用于识别参数的类型,
添加单元14包括:
提取子单元142,用于根据类型从数据库提取相应的测试字符串;
链接形成子单元143,在每个参数中分别添加与其类型相关联的测试字符串,以形成测试链接。
综上所述,本发明根据预存的重写格式识别重写链接中参数的位置,能够准确且快速地识别重写链接中参数的位置,从而根据位置准确地为重写链接添加测试字符串以构成测试链接,进而对重写URL对应的网站进行漏洞检测。
应当注意,在此提供的算法和公式不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示例一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本发明并帮助理解本发明各个方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法和装置解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如权利要求书所反映,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的网站安全检测设备中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
以上所述仅是本发明的部分实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (10)
1.一种网站漏洞检测方法,其特征在于,包括:
获取待检测网站链接;
判断所述网站链接是否为重写连接;
若所述网站链接为重写链接,根据预存的链接重写格式,识别所述网站链接中的参数的位置;
根据所述参数的位置在所述参数中添加测试字符串形成测试链接;
根据所述测试链接检测所述网站是否存在漏洞。
2.根据权利要求1所述网站漏洞检测方法,其特征在于,所述判断所述网站链接是否为重写连接包括:
获取所述网站链接的对应网页的内容以及对应的状态代码;
获取与所述网站链接相对应的错误网址所指向的错误网页的内容以及对应的状态代码;
根据所述错误网页的内容与所述对应网页的内容之间的区别、或者所述错误网页对应的状态代码、或者所述错误网页对应的状态代码与所述待检测网站对应的状态代码之间的区别,判断所述网站链接是否为重写连接。
3.根据权利要求1和2中任一项所述网站漏洞检测方法,其特征在于,在所述获取待检测网站链接之前还包括:
在检测到对网站链接的重写操作时,识别重写操作的重写方式;
根据所述重写方式生成重写格式;
记录并存储生成的重写格式。
4.根据权利要求1至3中任一项所述网站漏洞检测方法,其特征在于,所述在所述网站链接的所述参数中添加测试字符串形成测试链接包括:
根据接收到的指令确定测试链接请求方法;
根据所述请求方法从数据库提取相应的测试字符串。
5.根据权利要求1至3中任一项所述网站漏洞检测方法,其特征在于,所述识别所述网站链接中的参数包括:
识别所述参数的类型,
则所述在所述网站链接的所述参数中添加测试字符串形成测试链接包括:
根据所述类型从数据库提取相应的测试字符串;
在每个参数中分别添加与其类型相关联的测试字符串,以形成测试链接。
6.一种网站漏洞检测系统,其特征在于,包括:
获取单元,用于获取待检测网站链接;
判断单元,用于判断所述网站链接是否为重写连接;
参数识别单元,用于在所述网站链接为重写链接情况下,根据预存的链接重写格式,识别所述网站链接中的参数的位置;
添加单元,用于根据所述参数的位置在所述网站链接的所述参数中添加测试字符串形成测试链接;
检测单元,用于根据所述测试链接检测所述网站是否存在漏洞。
7.根据权利要求6所述网站漏洞检测系统,其特征在于,所述判断单元包括:
代码获取子单元,用于获取所述网站链接的对应网页的内容以及对应的状态代码,以及获取与所述网站链接相对应的错误网址所指向的错误网页的内容以及对应的状态代码;
区别判断子单元,用于根据所述错误网页的内容与所述对应网页的内容之间的区别、或者所述错误网页对应的状态代码、或者所述错误网页对应的状态代码与所述待检测网站对应的状态代码之间的区别,判断所述网站链接是否为重写连接。
8.根据权利要求6和7中任一项所述网站漏洞检测系统,其特征在于,还包括:
操作识别单元,用于在检测到对网站链接的重写操作时,识别重写操作的重写方式;
格式生成单元,用于根据所述重写方式生成重写格式;
存储单元,用于记录并存储生成的重写格式。
9.根据权利要求6至8中任一项所述网站漏洞检测系统,其特征在于,所述添加单元包括:
请求确定子单元,用于根据接收到的指令确定测试链接请求方法;
提取子单元,用于根据所述请求方法从数据库提取相应的测试字符串。
10.根据权利要求6至8中任一项所述网站漏洞检测系统,其特征在于,所述参数识别单元包括:
类型识别子单元,用于识别所述参数的类型,
所述添加单元包括:
提取子单元,用于根据所述类型从数据库提取相应的测试字符串;
链接形成子单元,在每个参数中分别添加与其类型相关联的测试字符串,以形成测试链接。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410816152.9A CN104484609A (zh) | 2014-12-23 | 2014-12-23 | 网站漏洞检测方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410816152.9A CN104484609A (zh) | 2014-12-23 | 2014-12-23 | 网站漏洞检测方法和系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104484609A true CN104484609A (zh) | 2015-04-01 |
Family
ID=52759150
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410816152.9A Pending CN104484609A (zh) | 2014-12-23 | 2014-12-23 | 网站漏洞检测方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104484609A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107846383A (zh) * | 2016-09-20 | 2018-03-27 | 中国电信股份有限公司 | 伪静态网站安全检查方法和装置 |
| CN108667766A (zh) * | 2017-03-28 | 2018-10-16 | 腾讯科技(深圳)有限公司 | 文件探测方法及文件探测装置 |
| CN110309658A (zh) * | 2019-06-27 | 2019-10-08 | 暨南大学 | 一种基于强化学习的不安全xss防御系统识别方法 |
| CN110532779A (zh) * | 2019-07-19 | 2019-12-03 | 中移(杭州)信息技术有限公司 | 一种漏洞检测的方法、装置、终端及存储介质 |
| CN111191159A (zh) * | 2019-12-31 | 2020-05-22 | 上海应用技术大学 | 基于信誉度评价的短链接分享方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102917053A (zh) * | 2012-10-18 | 2013-02-06 | 北京奇虎科技有限公司 | 一种用于判断网页网址重写的方法、设备和系统 |
| CN103095681A (zh) * | 2012-12-03 | 2013-05-08 | 微梦创科网络科技(中国)有限公司 | 一种检测漏洞的方法及装置 |
| CN103176790A (zh) * | 2011-12-26 | 2013-06-26 | 阿里巴巴集团控股有限公司 | 应用发布方法和系统 |
| CN103248627A (zh) * | 2013-05-06 | 2013-08-14 | 北京奇虎科技有限公司 | 实现访问网站资源的方法、正向代理服务器和系统 |
| CN103685237A (zh) * | 2013-11-22 | 2014-03-26 | 北京奇虎科技有限公司 | 提高网站漏洞扫描速度的方法及装置 |
-
2014
- 2014-12-23 CN CN201410816152.9A patent/CN104484609A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103176790A (zh) * | 2011-12-26 | 2013-06-26 | 阿里巴巴集团控股有限公司 | 应用发布方法和系统 |
| CN102917053A (zh) * | 2012-10-18 | 2013-02-06 | 北京奇虎科技有限公司 | 一种用于判断网页网址重写的方法、设备和系统 |
| CN103095681A (zh) * | 2012-12-03 | 2013-05-08 | 微梦创科网络科技(中国)有限公司 | 一种检测漏洞的方法及装置 |
| CN103248627A (zh) * | 2013-05-06 | 2013-08-14 | 北京奇虎科技有限公司 | 实现访问网站资源的方法、正向代理服务器和系统 |
| CN103685237A (zh) * | 2013-11-22 | 2014-03-26 | 北京奇虎科技有限公司 | 提高网站漏洞扫描速度的方法及装置 |
Non-Patent Citations (1)
| Title |
|---|
| 陆余良 等: "Web安全测试中URL参数重写检测框架", 《计算机工程》 * |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107846383A (zh) * | 2016-09-20 | 2018-03-27 | 中国电信股份有限公司 | 伪静态网站安全检查方法和装置 |
| CN108667766A (zh) * | 2017-03-28 | 2018-10-16 | 腾讯科技(深圳)有限公司 | 文件探测方法及文件探测装置 |
| CN108667766B (zh) * | 2017-03-28 | 2020-08-14 | 腾讯科技(深圳)有限公司 | 文件探测方法及文件探测装置 |
| CN110309658A (zh) * | 2019-06-27 | 2019-10-08 | 暨南大学 | 一种基于强化学习的不安全xss防御系统识别方法 |
| CN110309658B (zh) * | 2019-06-27 | 2021-02-05 | 暨南大学 | 一种基于强化学习的不安全xss防御系统识别方法 |
| CN110532779A (zh) * | 2019-07-19 | 2019-12-03 | 中移(杭州)信息技术有限公司 | 一种漏洞检测的方法、装置、终端及存储介质 |
| CN110532779B (zh) * | 2019-07-19 | 2021-07-16 | 中移(杭州)信息技术有限公司 | 一种漏洞检测的方法、装置、终端及存储介质 |
| CN111191159A (zh) * | 2019-12-31 | 2020-05-22 | 上海应用技术大学 | 基于信誉度评价的短链接分享方法 |
| CN111191159B (zh) * | 2019-12-31 | 2020-11-24 | 上海应用技术大学 | 基于信誉度评价的短链接分享方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104484609A (zh) | 网站漏洞检测方法和系统 | |
| CN104519070B (zh) | 网站权限漏洞检测方法和系统 | |
| CN103562923B (zh) | 应用程序安全测试 | |
| CN102156832B (zh) | 一种Firefox扩展的安全缺陷检测方法 | |
| CN104881608A (zh) | 一种基于模拟浏览器行为的xss漏洞检测方法 | |
| CN104298921B (zh) | 动画源文件安全漏洞检查方法及装置 | |
| CN102970282B (zh) | 网站安全检测系统 | |
| CN103546590A (zh) | 一种dns服务器的选择方法与装置 | |
| CN104539605B (zh) | 网站xss漏洞检测方法和设备 | |
| CN103001946B (zh) | 网站安全检测方法和设备 | |
| CN104881607A (zh) | 一种基于模拟浏览器行为的xss漏洞检测系统 | |
| CN104579830B (zh) | 服务监控方法及装置 | |
| CN113342639B (zh) | 小程序安全风险评估方法和电子设备 | |
| CN104537305B (zh) | 网站漏洞检测方法和系统 | |
| CN104580203A (zh) | 网站恶意程序检测方法及装置 | |
| US20140317489A1 (en) | Device-independent validation of website elements | |
| CN107171894A (zh) | 终端设备、分布式云端检测系统以及样本检测的方法 | |
| CN104462985A (zh) | bat漏洞的检测方法以及装置 | |
| CN108667766A (zh) | 文件探测方法及文件探测装置 | |
| CN110532779A (zh) | 一种漏洞检测的方法、装置、终端及存储介质 | |
| CN106201865A (zh) | 一种应用程序编程接口api测试方法、装置及终端设备 | |
| CN104375935A (zh) | Sql注入攻击的测试方法和装置 | |
| CN102662838A (zh) | 一种浏览器中Flash的调试方法及系统 | |
| CN102917053B (zh) | 一种用于判断网页网址重写的方法、设备和系统 | |
| CN106657422A (zh) | 爬取网站页面的方法、装置及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C41 | Transfer of patent application or patent right or utility model | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20161206 Address after: 100015 Chaoyang District Road, Jiuxianqiao, No. 10, building No. 3, floor 15, floor 17, 1701-26, Applicant after: BEIJING QI'ANXIN SCIENCE & TECHNOLOGY CO., LTD. Address before: 100088 Beijing city Xicheng District xinjiekouwai Street 28, block D room 112 (Desheng Park) Applicant before: Beijing Qihu Technology Co., Ltd. Applicant before: Qizhi Software (Beijing) Co., Ltd. |
|
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20150401 |
|
| RJ01 | Rejection of invention patent application after publication |