CN107623695A - Https网页资源安全评估方法和设备 - Google Patents
Https网页资源安全评估方法和设备 Download PDFInfo
- Publication number
- CN107623695A CN107623695A CN201710928122.0A CN201710928122A CN107623695A CN 107623695 A CN107623695 A CN 107623695A CN 201710928122 A CN201710928122 A CN 201710928122A CN 107623695 A CN107623695 A CN 107623695A
- Authority
- CN
- China
- Prior art keywords
- external resource
- current
- domain name
- webpages
- https webpages
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明的目的是提供一种HTTPS网页资源安全评估方法和设备,本发明根据所述当前HTTPS网页及其所引入的外部资源的协议架构类型和域名,得到所述当前HTTPS网页及其所引入的外部资源的安全评估信息,能够实现对网页面作出准确的安全评估。另外,本发明还可以得到当前HTTPS网页及其所引入的外部资源的HTTPS地址的评级信息、使用的SSL证书品牌、SSL证书有效期信息,以列表直观的方式展示,并给出最低评级提示,解决在浏览器查看SSL证书、及品牌信息不便的问题。
Description
技术领域
本发明涉及计算机领域,尤其涉及一种HTTPS网页资源安全评估方法和设备。
背景技术
HTTPS与TLS/SSL协议已经逐渐的成为了互联网的基础设施之一,Google等搜索引擎巨头很早就积极的推动HTTPS的普及。微信小程序也要求必须使用HTTPS协议。Let’sEncrypt更是强力助推了HTTPS的应用与普及。许多著名的商业网站更是很早就进入了全站HTTPS时代,以期保障其用户与自己的通讯的保密和安全。
目前大多数网站,特别是有一定访问量的网站,其网页的页面中都引入了不少外部资源(比如:自己的CDN、第三方JS库、统计追踪代码、子服务脚本),分散在多头这些外部资源分散在多台不同主机上,上面单独配置了SSL证书和SSL/TLS协议及加密套件和相关扩展机制,可能使用了存在SSL漏洞的服务端软件,配置的证书、SSL/TLS协议和密码套件存在缺陷或强度较弱,会导致传输加密机制不再有效甚至会因为使用了有漏洞的SSL软件直接导致服务器内存数据泄露,导致用户的账号密码暴露。
如果网页的页面或引入的外部资源存在安全问题,主要危害有如下几种:
1.攻击者可以拦截和重写,比如通过如下方式:
a)提供免费WiFi供用户使用,在中间进行中间人攻击,利用CCS、OpenSSL PaddingOracle等SSL漏洞对HTTPS敏感加密流量进行破解。
2.直接通过缓冲区溢出漏洞获取机密数据,如2014年爆发的OpenSSL心血漏洞,可以直接获取在受影响的SSL服务器中的内存数据(通常包含明文密码和请求信息)
3.影响网站展现效果和可访问性,例如
a)目前服务器使用SHA1算法的证书Chrome浏览器会给出安全警告;
b)如果使用兼容性不是很好的证书,通常是指那些预埋的根证书没有覆盖主流系统(预埋需要和多家系统厂商谈判,周期较长),会导致证书不被信任,从而导致网站被阻止访问。
发明内容
本发明的一个目的是提供一种HTTPS网页资源安全评估方法和设备,解决现有的无法对网页面作出准确的安全评估的问题。
根据本发明的一个方面,提供了一种HTTPS网页资源安全评估方法,该方法包括:
通过浏览器API获取当前HTTPS网页的协议架构类型和域名;
通过浏览器API获取所述当前HTTPS网页所引入的外部资源的协议架构类型和域名;
根据所述当前HTTPS网页及其所引入的外部资源的协议架构类型和域名,得到所述当前HTTPS网页及其所引入的外部资源的安全评估信息。
进一步的,上述方法中,所述协议架构类型包括HTTP和HTTPS。
进一步的,上述方法中,所述安全评估信息包括当前HTTPS网页及其所引入的外部资源的评级信息、使用的SSL证书品牌、SSL证书有效期信息。
进一步的,上述方法中,通过浏览器API获取当前HTTPS网页的协议架构类型和域名,包括:
通过浏览器API获取当前HTTPS网页的协议架构类型、域名和本地解析的IP;
通过浏览器API获取所述当前HTTPS网页所引入的外部资源的协议架构类型和域名,包括:
通过浏览器API获取所述当前HTTPS网页所引入的外部资源的协议架构类型、域名和本地解析的IP;
根据所述当前HTTPS网页及其所引入的外部资源的协议架构类型和域名,得到所述当前HTTPS网页及其所引入的外部资源的安全评估信息,包括:
根据所述当前HTTPS网页及其所引入的外部资源的协议架构类型、域名和本地解析的IP,得到所述当前HTTPS网页及其所引入的外部资源的安全评估信息。
进一步的,上述方法中,根据所述当前HTTPS网页及其所引入的外部资源的协议架构类型、域名,得到所述当前HTTPS网页及其所引入的外部资源的安全评估信息,包括:
将所述当前HTTPS网页及其所引入的外部资源的协议架构类型、域名放入队列;
使用AJAX异步技术调用在线检查API,所述在线检查API根据从所述队列中依次取出的当前HTTPS网页及其所引入的外部资源的协议架构类型、域名,得到不断增量更新的所述当前HTTPS网页及其所引入的外部资源的安全评估信息。
进一步的,上述方法中,根据所述当前HTTPS网页及其所引入的外部资源的协议架构类型、域名,得到所述当前HTTPS网页及其所引入的外部资源的安全评估信息,包括:
判断缓存中是否有对应于所述当前HTTPS网页及其所引入的外部资源的安全评估信息,
若有,从所述缓存中获取所述当前HTTPS网页及其所引入的外部资源的安全评估信息;
若无,根据所述当前HTTPS网页及其所引入的外部资源的协议架构类型、域名,得到所述当前HTTPS网页及其所引入的外部资源的安全评估信息,并存储入所述缓存。
进一步的,上述方法中,根据所述当前HTTPS网页及其所引入的外部资源的协议架构类型和域名,得到所述当前HTTPS网页及其所引入的外部资源的安全评估信息,包括:
获取所述外部资源的类型;
根据所述当前HTTPS网页及其所引入的外部资源的协议架构类型和域名,得到按所述外部资源的类型分类的所述当前HTTPS网页及其所引入的外部资源的安全评估信息。
进一步的,上述方法中,所述外部资源的类型包括JavaScript脚本、HTML表单、CSS样式、图片。
根据本发明的另一方面,还提供了一种HTTPS网页资源安全评估设备,该设备包括:
第一获取模块,用于通过浏览器API获取当前HTTPS网页的协议架构类型和域名;
第二获取模块,用于通过浏览器API获取所述当前HTTPS网页所引入的外部资源的协议架构类型和域名;
评估模块,用于根据所述当前HTTPS网页及其所引入的外部资源的协议架构类型和域名,得到所述当前HTTPS网页及其所引入的外部资源的安全评估信息。
进一步的,上述设备中,所述协议架构类型包括HTTP和HTTPS。
进一步的,上述设备中,所述安全评估信息包括当前HTTPS网页及其所引入的外部资源的评级信息、使用的SSL证书品牌、SSL证书有效期信息。
进一步的,上述设备中,所述第一获取模块,用于通过浏览器API获取当前HTTPS网页的协议架构类型、域名和本地解析的IP;
所述第而获取模块,用于通过浏览器API获取所述当前HTTPS网页所引入的外部资源的协议架构类型、域名和本地解析的IP;
所述评估模块,用于根据所述当前HTTPS网页及其所引入的外部资源的协议架构类型、域名和本地解析的IP,得到所述当前HTTPS网页及其所引入的外部资源的安全评估信息。
进一步的,上述设备中,所述评估模块,用于将所述当前HTTPS网页及其所引入的外部资源的协议架构类型、域名放入队列;使用AJAX异步技术调用在线检查API,所述在线检查API根据从所述队列中依次取出的当前HTTPS网页及其所引入的外部资源的协议架构类型、域名,得到不断增量更新的所述当前HTTPS网页及其所引入的外部资源的安全评估信息。
进一步的,上述设备中,所述评估模块,用于判断缓存中是否有对应于所述当前HTTPS网页及其所引入的外部资源的安全评估信息,若有,从所述缓存中获取所述当前HTTPS网页及其所引入的外部资源的安全评估信息;若无,根据所述当前HTTPS网页及其所引入的外部资源的协议架构类型、域名,得到所述当前HTTPS网页及其所引入的外部资源的安全评估信息,并存储入所述缓存。
进一步的,上述设备中,所述评估模块,用于获取所述外部资源的类型;根据所述当前HTTPS网页及其所引入的外部资源的协议架构类型和域名,得到按所述外部资源的类型分类的所述当前HTTPS网页及其所引入的外部资源的安全评估信息。
进一步的,上述设备中,所述外部资源的类型包括JavaScript脚本、HTML表单、CSS样式、图片。
根据本发明的另一面,还提供一种基于计算的设备,包括:
处理器;以及
被安排成存储计算机可执行指令的存储器,所述可执行指令在被执行时使所述处理器:
通过浏览器API获取当前HTTPS网页的协议架构类型和域名;
通过浏览器API获取所述当前HTTPS网页所引入的外部资源的协议架构类型和域名;
根据所述当前HTTPS网页及其所引入的外部资源的协议架构类型和域名,得到所述当前HTTPS网页及其所引入的外部资源的安全评估信息。
根据本发明的另一面,还提供一种计算机可读存储介质,其上存储有计算机可执行指令,其中,该计算机可执行指令被处理器执行时使得该处理器:
通过浏览器API获取当前HTTPS网页的协议架构类型和域名;
通过浏览器API获取所述当前HTTPS网页所引入的外部资源的协议架构类型和域名;
根据所述当前HTTPS网页及其所引入的外部资源的协议架构类型和域名,得到所述当前HTTPS网页及其所引入的外部资源的安全评估信息。
与现有技术相比,本发明根据所述当前HTTPS网页及其所引入的外部资源的协议架构类型和域名,得到所述当前HTTPS网页及其所引入的外部资源的安全评估信息,能够实现对网页面作出准确的安全评估。另外,本发明还可以得到当前HTTPS网页及其所引入的外部资源的HTTPS地址的评级信息、使用的SSL证书品牌、SSL证书有效期信息,以列表直观的方式展示,并给出最低评级提示,解决在浏览器查看SSL证书、及品牌信息不便的问题。
附图说明
通过阅读参照以下附图所作的对非限制性实施例所作的详细描述,本发明的其它特征、目的和优点将会变得更明显:
图1示出根据本发明一实施例的流程图;
图2示出本发明另一实施例的流程图。
附图中相同或相似的附图标记代表相同或相似的部件。
具体实施方式
下面结合附图对本发明作进一步详细描述。
在本申请一个典型的配置中,终端、服务网络的设备和可信方均包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flashRAM)。内存是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括非暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
如图1所示,本发明提供一种HTTPS网页资源安全评估方法,包括:
步骤S11,通过浏览器API获取当前HTTPS网页的协议架构类型和域名;
步骤S12,通过浏览器API获取所述当前HTTPS网页所引入的外部资源的协议架构类型和域名;
步骤S13,根据所述当前HTTPS网页及其所引入的外部资源的协议架构类型和域名,得到所述当前HTTPS网页及其所引入的外部资源的安全评估信息。
在此,所述协议架构类型包括HTTP和HTTPS。
本实施例根据所述当前HTTPS网页及其所引入的外部资源的协议架构类型和域名,得到所述当前HTTPS网页及其所引入的外部资源的安全评估信息,能够实现对网页面作出准确的安全评估。
本发明对HTTPS网页资源安全评估方法一实施例中,所述安全评估信息包括当前HTTPS网页及其所引入的外部资源的评级信息、使用的SSL证书品牌、SSL证书有效期信息。
在此,本发明可以基于浏览器插件的方式分析当前HTTPS网页及其所引入的外部资源所引入的HTTPS资源的服务端SSL配置安全性,并给出评级。例如,可以得到当前HTTPS网页及其所引入的外部资源的HTTPS地址的评级信息、使用的SSL证书品牌、SSL证书有效期信息,以列表直观的方式展示,并给出最低评级提示,解决在浏览器查看SSL证书、及品牌信息不便的问题,特别是查看页面引用的外部资源的SSL证书和Chrome浏览器57版本开始地址栏无法查看SSL证书的情况。
本发明对HTTPS网页资源安全评估方法一实施例中,步骤S11,通过浏览器API获取当前HTTPS网页的协议架构类型和域名,包括:
通过浏览器API获取当前HTTPS网页的协议架构类型、域名和本地解析的IP;
步骤S12,通过浏览器API获取所述当前HTTPS网页所引入的外部资源的协议架构类型和域名,包括:
通过浏览器API获取所述当前HTTPS网页所引入的外部资源的协议架构类型、域名和本地解析的IP;
步骤S13,根据所述当前HTTPS网页及其所引入的外部资源的协议架构类型和域名,得到所述当前HTTPS网页及其所引入的外部资源的安全评估信息,包括:
根据所述当前HTTPS网页及其所引入的外部资源的协议架构类型、域名和本地解析的IP,得到所述当前HTTPS网页及其所引入的外部资源的安全评估信息。
在此,本实施例通过根据所述当前HTTPS网页及其所引入的外部资源的协议架构类型、域名和本地解析的IP,得到所述当前HTTPS网页及其所引入的外部资源的安全评估信息,能够进一步保证对网页面作出准确的安全评估。
另外,对于存在于规则列表中的国外域名,不提取本地解析的IP作为检查目标,只对域名和协议架构类型进行安全检查。
本发明对HTTPS网页资源安全评估方法一实施例中,步骤S13,根据所述当前HTTPS网页及其所引入的外部资源的协议架构类型、域名,得到所述当前HTTPS网页及其所引入的外部资源的安全评估信息,包括:
将所述当前HTTPS网页及其所引入的外部资源的协议架构类型、域名放入队列;
使用AJAX异步技术调用在线检查API,所述在线检查API根据从所述队列中依次取出的当前HTTPS网页及其所引入的外部资源的协议架构类型、域名,得到不断增量更新的所述当前HTTPS网页及其所引入的外部资源的安全评估信息。
在此,可以使用AJAX异步技术调用在线检查API如MySSL,通过队列的机制实现平滑安全评估请求、缓解检测压力。
本发明对HTTPS网页资源安全评估方法一实施例中,步骤S13,根据所述当前HTTPS网页及其所引入的外部资源的协议架构类型、域名,得到所述当前HTTPS网页及其所引入的外部资源的安全评估信息,包括:
判断缓存中是否有对应于所述当前HTTPS网页及其所引入的外部资源的安全评估信息,
若有,从所述缓存中获取所述当前HTTPS网页及其所引入的外部资源的安全评估信息;
若无,根据所述当前HTTPS网页及其所引入的外部资源的协议架构类型、域名,得到所述当前HTTPS网页及其所引入的外部资源的安全评估信息,并存储入所述缓存。
在此,本实施例可以通过Redis实现并发锁,实现连续打开多页面并发请求相同当前HTTPS网页及其所引入的外部资源的安全检测的缓存机制,对于已经得到所述当前HTTPS网页及其所引入的外部资源的安全评估信息,可以从缓存中直接获取,避免重复计算。
本发明对HTTPS网页资源安全评估方法一实施例中,步骤S13,根据所述当前HTTPS网页及其所引入的外部资源的协议架构类型和域名,得到所述当前HTTPS网页及其所引入的外部资源的安全评估信息,包括:
获取所述外部资源的类型;
根据所述当前HTTPS网页及其所引入的外部资源的协议架构类型和域名,得到按所述外部资源的类型分类的所述当前HTTPS网页及其所引入的外部资源的安全评估信息。
在此,现有的全站HTTPS因为历史原因或者开发人员疏忽会引入不安全的HTTP外链,本实施例通过插件可以按外部资源的类型分级(JavaScript脚本、HTML表单、CSS样式、图片)列出所涉及的当前HTTPS网页及其所引入的外部资源的安全评估信息,便于对当前HTTPS网页及其所引入的外部资源进行识别、改造。
本发明对HTTPS网页资源安全评估方法一实施例中,所述外部资源的类型包括JavaScript脚本、HTML表单、CSS样式、图片。
在此,因为JavaScript脚本、HTML表单如果通过不安全HTTP协议会威胁到用户当前页面内容、和输入密码的安全,比较重要,所以需要与其它所述外部资源的类型相区别。
如图2所示,本发明对HTTPS网页资源安全评估方法一实施例中,包括:
插件用户进行网站访问;
自动获取当前访问页面所有外部资源域名;
从所述外部资源域名中过滤出HTTP和HTTPS,并得到对应的本地解析的IP;
匹配出需要走加速代理的外部资源域名;
通过队列机制进行异步调用MySSL API对所述匹配出的外部资源域名进行安全性查询;
得到所述匹配出的外部资源域名的安全性评级、使用的证书品牌、有效期等信息,以列表方式直观显示,给出最低评级提示。
根据本发明的另一面,还提供一种HTTPS网页资源安全评估设备,该设备包括:
第一获取模块,用于通过浏览器API获取当前HTTPS网页的协议架构类型和域名;
第二获取模块,用于通过浏览器API获取所述当前HTTPS网页所引入的外部资源的协议架构类型和域名;
评估模块,用于根据所述当前HTTPS网页及其所引入的外部资源的协议架构类型和域名,得到所述当前HTTPS网页及其所引入的外部资源的安全评估信息。
在此,所述协议架构类型包括HTTP和HTTPS。
本实施例根据所述当前HTTPS网页及其所引入的外部资源的协议架构类型和域名,得到所述当前HTTPS网页及其所引入的外部资源的安全评估信息,能够实现对网页面作出准确的安全评估。
本发明的HTTPS网页资源安全评估设备一实施例中,,所述安全评估信息包括当前HTTPS网页及其所引入的外部资源的评级信息、使用的SSL证书品牌、SSL证书有效期信息。
在此,本发明可以基于浏览器插件的方式分析当前HTTPS网页及其所引入的外部资源所引入的HTTPS资源的服务端SSL配置安全性,并给出评级。例如,可以得到当前HTTPS网页及其所引入的外部资源的HTTPS地址的评级信息、使用的SSL证书品牌、SSL证书有效期信息,以列表直观的方式展示,并给出最低评级提示,解决在浏览器查看SSL证书、及品牌信息不便的问题,特别是查看页面引用的外部资源的SSL证书和Chrome浏览器57版本开始地址栏无法查看SSL证书的情况。
本发明的HTTPS网页资源安全评估设备一实施例中,所述第一获取模块,用于通过浏览器API获取当前HTTPS网页的协议架构类型、域名和本地解析的IP;
所述第而获取模块,用于通过浏览器API获取所述当前HTTPS网页所引入的外部资源的协议架构类型、域名和本地解析的IP;
所述评估模块,用于根据所述当前HTTPS网页及其所引入的外部资源的协议架构类型、域名和本地解析的IP,得到所述当前HTTPS网页及其所引入的外部资源的安全评估信息。
在此,本实施例通过根据所述当前HTTPS网页及其所引入的外部资源的协议架构类型、域名和本地解析的IP,得到所述当前HTTPS网页及其所引入的外部资源的安全评估信息,能够进一步保证对网页面作出准确的安全评估。
另外,对于存在于规则列表中的国外域名,不提取本地解析的IP作为检查目标,只对域名和协议架构类型进行安全检查。
本发明的HTTPS网页资源安全评估设备一实施例中,所述评估模块,用于将所述当前HTTPS网页及其所引入的外部资源的协议架构类型、域名放入队列;使用AJAX异步技术调用在线检查API,所述在线检查API根据从所述队列中依次取出的当前HTTPS网页及其所引入的外部资源的协议架构类型、域名,得到不断增量更新的所述当前HTTPS网页及其所引入的外部资源的安全评估信息。
在此,可以使用AJAX异步技术调用在线检查API如MySSL,通过队列的机制实现平滑安全评估请求、缓解检测压力。
本发明的HTTPS网页资源安全评估设备一实施例中,所述评估模块,用于判断缓存中是否有对应于所述当前HTTPS网页及其所引入的外部资源的安全评估信息,若有,从所述缓存中获取所述当前HTTPS网页及其所引入的外部资源的安全评估信息;若无,根据所述当前HTTPS网页及其所引入的外部资源的协议架构类型、域名,得到所述当前HTTPS网页及其所引入的外部资源的安全评估信息,并存储入所述缓存。
在此,本实施例可以通过Redis实现并发锁,实现连续打开多页面并发请求相同当前HTTPS网页及其所引入的外部资源的安全检测的缓存机制,对于已经得到所述当前HTTPS网页及其所引入的外部资源的安全评估信息,可以从缓存中直接获取,避免重复计算。
本发明的HTTPS网页资源安全评估设备一实施例中,所述评估模块,用于获取所述外部资源的类型;根据所述当前HTTPS网页及其所引入的外部资源的协议架构类型和域名,得到按所述外部资源的类型分类的所述当前HTTPS网页及其所引入的外部资源的安全评估信息。
在此,现有的全站HTTPS因为历史原因或者开发人员疏忽会引入不安全的HTTP外链,本实施例通过插件可以按外部资源的类型分级(JavaScript脚本、HTML表单、CSS样式、图片)列出所涉及的当前HTTPS网页及其所引入的外部资源的安全评估信息,便于对当前HTTPS网页及其所引入的外部资源进行识别、改造。
本发明的HTTPS网页资源安全评估设备一实施例中,所述外部资源的类型包括JavaScript脚本、HTML表单、CSS样式、图片。
在此,因为JavaScript脚本、HTML表单如果通过不安全HTTP协议会威胁到用户当前页面内容、和输入密码的安全,比较重要,所以需要与其它所述外部资源的类型相区别。
根据本发明的另一面,还提供一种基于计算的设备,包括:
处理器;以及
被安排成存储计算机可执行指令的存储器,所述可执行指令在被执行时使所述处理器:
通过浏览器API获取当前HTTPS网页的协议架构类型和域名;
通过浏览器API获取所述当前HTTPS网页所引入的外部资源的协议架构类型和域名;
根据所述当前HTTPS网页及其所引入的外部资源的协议架构类型和域名,得到所述当前HTTPS网页及其所引入的外部资源的安全评估信息。
根据本发明的另一面,还提供一种计算机可读存储介质,其上存储有计算机可执行指令,其中,该计算机可执行指令被处理器执行时使得该处理器:
通过浏览器API获取当前HTTPS网页的协议架构类型和域名;
通过浏览器API获取所述当前HTTPS网页所引入的外部资源的协议架构类型和域名;
根据所述当前HTTPS网页及其所引入的外部资源的协议架构类型和域名,得到所述当前HTTPS网页及其所引入的外部资源的安全评估信息。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
需要注意的是,本发明可在软件和/或软件与硬件的组合体中被实施,例如,可采用专用集成电路(ASIC)、通用目的计算机或任何其他类似硬件设备来实现。在一个实施例中,本发明的软件程序可以通过处理器执行以实现上文所述步骤或功能。同样地,本发明的软件程序(包括相关的数据结构)可以被存储到计算机可读记录介质中,例如,RAM存储器,磁或光驱动器或软磁盘及类似设备。另外,本发明的一些步骤或功能可采用硬件来实现,例如,作为与处理器配合从而执行各个步骤或功能的电路。
另外,本发明的一部分可被应用为计算机程序产品,例如计算机程序指令,当其被计算机执行时,通过该计算机的操作,可以调用或提供根据本发明的方法和/或技术方案。而调用本发明的方法的程序指令,可能被存储在固定的或可移动的记录介质中,和/或通过广播或其他信号承载媒体中的数据流而被传输,和/或被存储在根据所述程序指令运行的计算机设备的工作存储器中。在此,根据本发明的一个实施例包括一个装置,该装置包括用于存储计算机程序指令的存储器和用于执行程序指令的处理器,其中,当该计算机程序指令被该处理器执行时,触发该装置运行基于前述根据本发明的多个实施例的方法和/或技术方案。
对于本领域技术人员而言,显然本发明不限于上述示范性实施例的细节,而且在不背离本发明的精神或基本特征的情况下,能够以其他的具体形式实现本发明。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本发明的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本发明内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。此外,显然“包括”一词不排除其他单元或步骤,单数不排除复数。装置权利要求中陈述的多个单元或装置也可以由一个单元或装置通过软件或者硬件来实现。第一,第二等词语用来表示名称,而并不表示任何特定的顺序。
Claims (18)
1.一种HTTPS网页资源安全评估方法,其中,该方法包括:
通过浏览器API获取当前HTTPS网页的协议架构类型和域名;
通过浏览器API获取所述当前HTTPS网页所引入的外部资源的协议架构类型和域名;
根据所述当前HTTPS网页及其所引入的外部资源的协议架构类型和域名,得到所述当前HTTPS网页及其所引入的外部资源的安全评估信息。
2.根据权利要求1所述的方法,其中,所述协议架构类型包括HTTP和HTTPS。
3.根据权利要求1所述的方法,其中,所述安全评估信息包括当前HTTPS网页及其所引入的外部资源的评级信息、使用的SSL证书品牌、SSL证书有效期信息。
4.根据权利要求1所述的方法,其中,通过浏览器API获取当前HTTPS网页的协议架构类型和域名,包括:
通过浏览器API获取当前HTTPS网页的协议架构类型、域名和本地解析的IP;
通过浏览器API获取所述当前HTTPS网页所引入的外部资源的协议架构类型和域名,包括:
通过浏览器API获取所述当前HTTPS网页所引入的外部资源的协议架构类型、域名和本地解析的IP;
根据所述当前HTTPS网页及其所引入的外部资源的协议架构类型和域名,得到所述当前HTTPS网页及其所引入的外部资源的安全评估信息,包括:
根据所述当前HTTPS网页及其所引入的外部资源的协议架构类型、域名和本地解析的IP,得到所述当前HTTPS网页及其所引入的外部资源的安全评估信息。
5.根据权利要求1至4任一项所述的方法,其中,根据所述当前HTTPS网页及其所引入的外部资源的协议架构类型、域名,得到所述当前HTTPS网页及其所引入的外部资源的安全评估信息,包括:
将所述当前HTTPS网页及其所引入的外部资源的协议架构类型、域名放入队列;
使用AJAX异步技术调用在线检查API,所述在线检查API根据从所述队列中依次取出的当前HTTPS网页及其所引入的外部资源的协议架构类型、域名,得到不断增量更新的所述当前HTTPS网页及其所引入的外部资源的安全评估信息。
6.根据权利要求1至4任一项所述的方法,其中,根据所述当前HTTPS网页及其所引入的外部资源的协议架构类型、域名,得到所述当前HTTPS网页及其所引入的外部资源的安全评估信息,包括:
判断缓存中是否有对应于所述当前HTTPS网页及其所引入的外部资源的安全评估信息,
若有,从所述缓存中获取所述当前HTTPS网页及其所引入的外部资源的安全评估信息;
若无,根据所述当前HTTPS网页及其所引入的外部资源的协议架构类型、域名,得到所述当前HTTPS网页及其所引入的外部资源的安全评估信息,并存储入所述缓存。
7.根据权利要求1至4任一项所述的方法,其中,根据所述当前HTTPS网页及其所引入的外部资源的协议架构类型和域名,得到所述当前HTTPS网页及其所引入的外部资源的安全评估信息,包括:
获取所述外部资源的类型;
根据所述当前HTTPS网页及其所引入的外部资源的协议架构类型和域名,得到按所述外部资源的类型分类的所述当前HTTPS网页及其所引入的外部资源的安全评估信息。
8.根据权利要求7所述的方法,其中,所述外部资源的类型包括JavaScript脚本、HTML表单、CSS样式、图片。
9.一种HTTPS网页资源安全评估设备,其中,该设备包括:
第一获取模块,用于通过浏览器API获取当前HTTPS网页的协议架构类型和域名;
第二获取模块,用于通过浏览器API获取所述当前HTTPS网页所引入的外部资源的协议架构类型和域名;
评估模块,用于根据所述当前HTTPS网页及其所引入的外部资源的协议架构类型和域名,得到所述当前HTTPS网页及其所引入的外部资源的安全评估信息。
10.根据权利要求8所述的设备,其中,所述协议架构类型包括HTTP和HTTPS。
11.根据权利要求8所述的设备,其中,所述安全评估信息包括当前HTTPS网页及其所引入的外部资源的评级信息、使用的SSL证书品牌、SSL证书有效期信息。
12.根据权利要求8所述的设备,其中,所述第一获取模块,用于通过浏览器API获取当前HTTPS网页的协议架构类型、域名和本地解析的IP;
所述第而获取模块,用于通过浏览器API获取所述当前HTTPS网页所引入的外部资源的协议架构类型、域名和本地解析的IP;
所述评估模块,用于根据所述当前HTTPS网页及其所引入的外部资源的协议架构类型、域名和本地解析的IP,得到所述当前HTTPS网页及其所引入的外部资源的安全评估信息。
13.根据权利要求9至12任一项所述的设备,其中,所述评估模块,用于将所述当前HTTPS网页及其所引入的外部资源的协议架构类型、域名放入队列;使用AJAX异步技术调用在线检查API,所述在线检查API根据从所述队列中依次取出的当前HTTPS网页及其所引入的外部资源的协议架构类型、域名,得到不断增量更新的所述当前HTTPS网页及其所引入的外部资源的安全评估信息。
14.根据权利要求9至12任一项所述的设备,其中,所述评估模块,用于判断缓存中是否有对应于所述当前HTTPS网页及其所引入的外部资源的安全评估信息,若有,从所述缓存中获取所述当前HTTPS网页及其所引入的外部资源的安全评估信息;若无,根据所述当前HTTPS网页及其所引入的外部资源的协议架构类型、域名,得到所述当前HTTPS网页及其所引入的外部资源的安全评估信息,并存储入所述缓存。
15.根据权利要求9至12任一项所述的设备,其中,所述评估模块,用于获取所述外部资源的类型;根据所述当前HTTPS网页及其所引入的外部资源的协议架构类型和域名,得到按所述外部资源的类型分类的所述当前HTTPS网页及其所引入的外部资源的安全评估信息。
16.根据权利要求15所述的设备,其中,所述外部资源的类型包括JavaScript脚本、HTML表单、CSS样式、图片。
17.一种基于计算的设备,其中,包括:
处理器;以及
被安排成存储计算机可执行指令的存储器,所述可执行指令在被执行时使所述处理器:
通过浏览器API获取当前HTTPS网页的协议架构类型和域名;
通过浏览器API获取所述当前HTTPS网页所引入的外部资源的协议架构类型和域名;
根据所述当前HTTPS网页及其所引入的外部资源的协议架构类型和域名,得到所述当前HTTPS网页及其所引入的外部资源的安全评估信息。
18.一种计算机可读存储介质,其上存储有计算机可执行指令,其中,该计算机可执行指令被处理器执行时使得该处理器:
通过浏览器API获取当前HTTPS网页的协议架构类型和域名;
通过浏览器API获取所述当前HTTPS网页所引入的外部资源的协议架构类型和域名;
根据所述当前HTTPS网页及其所引入的外部资源的协议架构类型和域名,得到所述当前HTTPS网页及其所引入的外部资源的安全评估信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710928122.0A CN107623695A (zh) | 2017-09-30 | 2017-09-30 | Https网页资源安全评估方法和设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710928122.0A CN107623695A (zh) | 2017-09-30 | 2017-09-30 | Https网页资源安全评估方法和设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107623695A true CN107623695A (zh) | 2018-01-23 |
Family
ID=61091319
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710928122.0A Pending CN107623695A (zh) | 2017-09-30 | 2017-09-30 | Https网页资源安全评估方法和设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107623695A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109614162A (zh) * | 2018-11-15 | 2019-04-12 | 福建天泉教育科技有限公司 | 基于组件开发模式下的前端加载优化方法、存储介质 |
| CN110445802A (zh) * | 2019-08-16 | 2019-11-12 | 国家计算机网络与信息安全管理中心 | 基于数字证书的威胁发现模型构建技术 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101500000A (zh) * | 2008-01-30 | 2009-08-05 | 珠海金山软件股份有限公司 | 互联网网站的安全评估方法及其装置 |
| CN103685189A (zh) * | 2012-09-17 | 2014-03-26 | 百度在线网络技术(北京)有限公司 | 网站安全评估方法及系统 |
| US20140137228A1 (en) * | 2012-11-15 | 2014-05-15 | Qualys, Inc. | Web application vulnerability scanning |
| CN105978894A (zh) * | 2016-06-27 | 2016-09-28 | 上海柯力士信息安全技术有限公司 | 基于安犬漏洞扫描云平台的网络安全监测管理系统 |
-
2017
- 2017-09-30 CN CN201710928122.0A patent/CN107623695A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101500000A (zh) * | 2008-01-30 | 2009-08-05 | 珠海金山软件股份有限公司 | 互联网网站的安全评估方法及其装置 |
| CN103685189A (zh) * | 2012-09-17 | 2014-03-26 | 百度在线网络技术(北京)有限公司 | 网站安全评估方法及系统 |
| US20140137228A1 (en) * | 2012-11-15 | 2014-05-15 | Qualys, Inc. | Web application vulnerability scanning |
| CN105978894A (zh) * | 2016-06-27 | 2016-09-28 | 上海柯力士信息安全技术有限公司 | 基于安犬漏洞扫描云平台的网络安全监测管理系统 |
Non-Patent Citations (1)
| Title |
|---|
| MYSSL: "MySSL的Chorme插件下载安装教程", 《URL:HTTPS://BLOG.MYSSL.COM/DOWNLOAD-MYSSL-CHROME-EXTENSION/》 * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109614162A (zh) * | 2018-11-15 | 2019-04-12 | 福建天泉教育科技有限公司 | 基于组件开发模式下的前端加载优化方法、存储介质 |
| CN109614162B (zh) * | 2018-11-15 | 2023-10-10 | 福建天泉教育科技有限公司 | 基于组件开发模式下的前端加载优化方法、存储介质 |
| CN110445802A (zh) * | 2019-08-16 | 2019-11-12 | 国家计算机网络与信息安全管理中心 | 基于数字证书的威胁发现模型构建技术 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Li et al. | Trackadvisor: Taking back browsing privacy from third-party trackers | |
| ES2679286T3 (es) | Distinguir usuarios válidos de robots, OCR y solucionadores de terceras partes cuando se presenta CAPTCHA | |
| US9858440B1 (en) | Encoding of sensitive data | |
| US9747441B2 (en) | Preventing phishing attacks | |
| US10891393B2 (en) | System and method for enterprise privacy information compliance | |
| CN106789939B (zh) | 一种钓鱼网站检测方法和装置 | |
| US20180084003A1 (en) | Method and system for injecting javascript into a web page | |
| CN102739653B (zh) | 一种针对网址的检测方法及装置 | |
| Sanchez-Rola et al. | The web is watching you: A comprehensive review of web-tracking techniques and countermeasures | |
| US9489526B1 (en) | Pre-analyzing served content | |
| CN105493470A (zh) | 动态应用安全验证 | |
| US20150319189A1 (en) | Protecting websites from cross-site scripting | |
| CN107547524A (zh) | 一种网页检测方法、装置和设备 | |
| US20200366696A1 (en) | Webpage integrity monitoring | |
| Urban et al. | Towards understanding privacy implications of adware and potentially unwanted programs | |
| Chatzimpyrros et al. | You shall not register! detecting privacy leaks across registration forms | |
| CN104135467A (zh) | 识别恶意网站的方法及装置 | |
| Lawrence et al. | D-miner: A framework for mining, searching, visualizing, and alerting on darknet events | |
| CN107623695A (zh) | Https网页资源安全评估方法和设备 | |
| CN107103243A (zh) | 漏洞的检测方法及装置 | |
| CN104717226A (zh) | 一种针对网址的检测方法及装置 | |
| CN113162937A (zh) | 应用安全自动化检测方法、系统、电子设备及存储介质 | |
| Senol et al. | The Double Edged Sword: Identifying Authentication Pages and their Fingerprinting Behavior | |
| Varshney et al. | Detecting spying and fraud browser extensions: Short paper | |
| Cvitić et al. | Defining cross-site scripting attack resilience guidelines based on BeEF framework simulation |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180123 |