CN109033838A - 网站安全检测方法和装置 - Google Patents
网站安全检测方法和装置 Download PDFInfo
- Publication number
- CN109033838A CN109033838A CN201810851917.0A CN201810851917A CN109033838A CN 109033838 A CN109033838 A CN 109033838A CN 201810851917 A CN201810851917 A CN 201810851917A CN 109033838 A CN109033838 A CN 109033838A
- Authority
- CN
- China
- Prior art keywords
- data
- station system
- url
- web
- hypertext transfer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Computing Systems (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供网站安全检测方法和装置,其中,方法包括:通过网络爬虫触发对网站系统的可扩展超文本传输请求,所述网络爬虫通过模拟目标方式获取所述网站系统的数据,所述目标方式为浏览器通过超文本传输协议HTTP请求获取所述网站系统的数据的方式;截取所述可扩展超文本传输请求以及所述可扩展超文本传输请求对应的返回数据,以获取所述可扩展超文本传输请求对应的交互流量数据,所述交互流量数据包括所述可扩展超文本传输请求和所述返回数据;根据所述交互流量数据对所述网站系统进行安全检测。本发明的技术方案,可以获取到异步加载和传输的流量数据,从而实现对网站的全面检测。
Description
技术领域
本发明涉及计算机领域,尤其涉及网站安全检测方法和装置。
背景技术
爬虫技术是指从一个或若干个初始网页的统一定位资源符(uniform resourcelocation,URL)开始,根据一定的网页分析算法过滤与爬取目的无关的资源,保留有用的资源,然后从保留的资源中获取有用的链接,将其放入等待抓取的URL队列,不断从当前页面上抽取新的URL放入队列,并根据一定的搜索策略从队列中选择下一步要抓取的网页URL,并重复抓取的过程,直到达到设置的停止条件则停止爬取。爬虫技术可以帮助用户自动地获取网页中的资源(如图片、文字、URL等)。
在目前的爬虫技术中,主要是通过传参方法或模拟浏览器的方法爬取网页中的资源,对于采用异步传输和加载(如ajax技术)的动态网页来说,由于网页中的某些内容在不停地刷新,通过传参的方式无法获取到这些动态的内容,由于有些信息最后并不会呈现在网页上,通过模拟浏览器的方法无法获取到这些最终未显示在网页上的内容,通过上述这两种方法抓取的资源不够全面;而在目前对网站的安全检测中,需要对网站中所有的URL都进行检测,而由于目前的爬虫技术无法获取到一些URL,则无法对网站进行全面的检测。
发明内容
本发明实施例提供网站安全检测方法和装置,解决因为无法获取到异步加载的URL而无法对网站进行全面的检测的问题。
第一方面,提供一种网站安全检测方法,包括:
通过网络爬虫触发对网站系统的可扩展超文本传输请求(extensible markuplanguage hyper text transfer protocol request,XMLHttpRequest),所述网络爬虫通过模拟目标方式获取所述网站系统的数据,所述目标方式为浏览器通过超文本传输协议(hyper text transfer protocol,HTTP)请求获取所述网站系统的数据的方式;
截取所述可扩展超文本传输请求以及所述可扩展超文本传输请求对应的返回数据,以获取所述可扩展超文本传输请求对应的交互流量数据,所述交互流量数据包括所述可扩展超文本传输请求和所述返回数据;
根据所述交互流量数据对所述网站系统进行安全检测。
本发明实施例中,网络爬虫以模拟浏览器的方式获取网站系统的数据,通过网络爬虫触发对网站系统的XMLHttpRequest并且截取XMLHttpRequest对应的返回数据可以获取到网站系统的所有网页数据,网络爬虫的XMLHttpRequest对象提供了对超文本传输协议的完全访问,包括向服务器发出post请求、head请求以及get请求的能力,因此,截取XMLHttpRequest可以获取到异步加载和传输的请求,这些请求中携带的数据为未呈现在网页上的数据,根据网页数据和未显示在网页上的数据对网站进行安全检测可以实现对网站的全面检测。
结合第一方面,在一种可能的实现方式中,所述根据所述交互流量数据对所述网站系统进行安全检测包括:从所述交互流量数据中获取URL;
根据目标漏洞对应的攻击载荷以及所述URL对所述网站系统进行安全检测。由于浏览器与网站系统之间的交互一般伴随着一个或多个URL的传输,这些URL对应的页面逻辑是可能存在漏洞的地方,通过根据目标漏洞对应的攻击载荷以及URL对网站系统进行安全检测,可以对网站系统中与URL有关的漏洞进行检测。
结合第一方面,在一种可能的实现方式中,所述根据目标漏洞对应的攻击载荷以及所述URL对所述网站系统进行安全检测包括:根据所述目标漏洞对应的攻击载荷对所述URL进行改写得到安全测试URL;向所述网站系统对应的后台服务器提交所述安全测试URL;根据所述后台服务器返回的第一返回数据确定所述网站系统是否存在所述目标漏洞,所述第一返回数据为所述安全测试URL对应的返回数据。通过URL进行改写并向后台服务器提交改写后的URL,可以检测出网站系统是否存在如SQL注入攻击漏洞等通过改写URL进行检测的漏洞。
结合第一方面,在一种可能的实现方式中,所述根据目标漏洞对应的攻击载荷以及所述URL对所述网站系统进行安全检测包括:在所述URL中确定存在参数的第一URL;将所述第一URL中的参数修改为所述目标漏洞对应的攻击载荷;向所述网站系统对应的后台服务器提交修改参数后的第一URL;根据所述后台服务器返回的第二返回数据确定所述网站系统是否存在所述目标漏洞,所述第二返回数据为所述修改参数后的第一URL对应的返回数据。通过将存在参数的URL中的参数改写为目标漏洞对应的攻击载荷,可以检测出网站系统是否存在反射型XXS漏洞等通过恶意代码实现恶意目的的漏洞。
结合第一方面,在一种可能的实现方式中,所述根据所述交互流量数据对所述网站系统进行安全检测包括:从所述交互流量数据中获取post请求对应的数据;根据目标漏洞对应的攻击载荷以及所述post请求对应的数据对所述网站系统进行安全检测。通过根据目标漏洞对应的攻击载荷以及URL对网站系统进行安全检测,可以对网站系统中与post请求有关的漏洞进行检测。
结合第一方面,在一种可能的实现方式中,所述根据目标漏洞对应的攻击载荷以及所述post请求对应的数据对所述网站系统进行安全检测包括:在所述post请求对应的数据中添加所述目标漏洞对应的攻击载荷;向所述网站系统对应的后台服务器提交将添加所述目标漏洞对应的攻击载荷后的post请求;根据所述后台服务器返回的第三返回数据确定所述网站系统是否存在所述目标漏洞,所述第三返回数据为添加所述目标漏洞对应的攻击载荷后的post请求对应的返回数据。通过在post请求中添加目标漏洞对应的攻击载荷并提交将添加目标漏洞对应的攻击载荷后的post请求,可以检测出网站系统是否存在弱口令漏洞等目标漏洞。
结合第一方面,在一种可能的实现方式中,所述截取所述可扩展超文本传输请求对应以及所述可扩展超文本传输请求对应的返回数据包括:备份所述网络爬虫的可扩展超文本传输请求对象下的所有方法和所有属性;通过方法重写覆盖所述可扩展超文本传输请求对象得到所述可扩展超文本传输请求对象对应的可扩展超文本传输请求对象代理;通过所述可扩展超文本传输请求对象代理截取所述可扩展超文本传输请求对应以及所述可扩展超文本传输请求对应的返回数据。通过对XMLHttpRequest对象进行方法重写,可以对网络爬虫中的各个方法进行代理从而实现勾(hook)住网络爬虫中的各个方法,进而可以获取到网络爬虫发起的所有的XMLHttpRequest请求。
第二方面,提供一种网站安全检测装置,包括:
请求触发模块,用于通过网络爬虫触发对网站系统的可扩展超文本传输请求,所述网络爬虫通过模拟目标方式获取所述网站系统的数据,所述目标方式为浏览器通过HTTP请求获取所述网站系统的数据的方式;
流量截取模块,用于截取所述可扩展超文本传输请求以及所述可扩展超文本传输请求对应的返回数据,以获取所述可扩展超文本传输请求对应的交互流量数据,所述交互流量数据包括所述可扩展超文本传输请求和所述返回数据;
安全检测模块,用于根据所述交互流量数据对所述网站系统进行安全检测。
第三方面,提供另一种网站安全检测装置,包括处理器、存储器以及通信接口,所述处理器、存储器和通信接口相互连接,其中,所述通信接口用于接收或发送数据,所述存储器用于存储网站安全检测装置执行上述方法的应用程序代码,所述处理器被配置用于执行上述第一方面的方法。
第四方面,提供一种计算机存储介质,所述计算机存储介质存储有计算机程序,所述计算机程序包括程序指令,所述程序指令当被处理器执行时使所述处理器执行上述第一方面的方法。
本发明实施例中,通过截取XMLHttpRequest请求以及该XMLHttpRequest请求对应的返回数据可以获取到异步加载和传输的并且未呈现在网页上的流量数据,利用这些数据进行安全检测,实现对网站的全面检测。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是发明实施例提供的一种网站安全检测方法的流程示意图;
图2是本发明实施例提供的另一种网站安全检测方法的流程示意图;
图3是本发明实施例提供的又一种网站安全检测方法的流程示意图;
图4是本发明实施例提供的又一种网站安全检测方法的流程示意图;
图5是本发明实施例提供的一种网站安全检测装置的组成结构示意图;
图6是本发明实施例提供的另一种网站安全检测装置的组成结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为便于理解本发明实施例的技术方案,首先对发明实施例涉及两个概念进行介绍。
1、异步javascript和可扩展标记语言(extensible markup language,XML)(asynchronous Javascript and XML,Ajax)技术。Ajax技术是一种创建交互式网页应用的网页开发技术,其用于创建快速动态网页。在无需重新加载整个网页的情况下,Ajax技术能够更新部分网页。Ajax技术通过在浏览器与服务器进行少量数据交换,实现异步更新。举例来说,例如有网页A与网页B,网页A与网页B中的元素大部分相同,网页A与网页B只有部分元素不同,如果要从网页A加载到网页B上去,通过Ajax技术即可不需要重新加载网页B与网页A的这部分相同的元素,而只需要加载网页B与网页A不同的这部分元素并显示在浏览器上。
2、XMLHttpRequest对象。XMLHttpRequest对象是XMLHttp组件(浏览器中的组件)的对象,通过这个对象,Ajax可以像桌面应用程序一样只与服务器进行数据层的交换,而不必每次都刷新界面,也不必将数据处理的工作都交给服务器来做,这样可以减轻服务器负担,同时加快响应速度,缩短用户等待页面显示的时间。在Ajax应用程序中,XMLHttpRequest对象负责将用户信息异步通信地发送到服务器端,并接收服务器响应信息和数据。XMLHttpRequest对象可以向服务器发起异步HTTP请求,监听服务器状态,并在服务器完成数据响应处理之后接收服务器端返回的信息数据。
接下来介绍发明实施例的技术方案。
参见图1,图1是发明实施例提供的一种网站安全检测方法的流程示意图,如图所示,该方法包括:
S101,通过网络爬虫触发对网站系统的可扩展超文本传输请求,所述网络爬虫通过模拟目标方式获取所述网站系统的数据,所述目标方式为浏览器通过HTTP请求获取所述网站系统的数据的方式。
本发明实施例中,网络爬虫可以模拟浏览器行为,像浏览器一样实现与服务器之间的数据交互,网络爬虫可以从网站系统的一个初始的URL开始,通过模拟浏览器与服务器之间交互的方式依次爬取网站系统中的各个URL对应的网页中的数据。XMLHttpRequest是指网络爬虫的XMLHttpRequest对象模拟浏览器的XMLHttpRequest对象向服务器发起的异步HTTP请求。本发明实施例中,通过网络爬虫触发的XMLHttpRequest包括该网络爬虫从网站系统的一个URL开始在爬取网站系统中的各个URL对应的网页的数据的整个过程中向网站系统对应的后台服务器发起的每一次异步HTTP请求。
这里,通过网络爬虫触发对网站系统的可扩展超文本传输请求是指模拟真实的浏览器与网站系统对应的后台服务器进行多次异步传输和加载的过程,其中,网站系统对应的后台服务器用于管理和维护网站系统的各种资源,网站系统对应的后台服务器还用于向网站客户端提供该网站系统的资源。模拟真实的浏览器与网站系统对应的服务器进行多次异步传输和加载的过程具体可以为:首先,在本地创建网络爬虫的XMLHttpRequeset对象,并为该XMLHttpRequeset对象注册回调方法;然后,设置网络爬虫与网站系统对应的后台服务器交互的相应参数以及向网站系统对应的后台服务器发送的数据;最后,启动网络爬虫与网站系统对应的后台服务器之间的通信交互。在启动网络爬虫与网站系统对应的后台服务器之间的通信交互的过程中,还可以模拟用户对网络爬虫的一系列操作以持续触发对网站系统的XMLHttpRequest,具体可包括模拟用户登录、模拟点击网页上的链接,下拉网页,等等。
S102,截取所述可扩展超文本传输请求以及所述可扩展超文本传输请求对应的返回数据,以获取所述可扩展超文本传输请求对应的交互流量数据,所述交互流量数据包括所述可扩展超文本传输请求和所述返回数据。
本发明实施例中,截取XMLHttpRequest请求以及XMLHttpRequest请求对应的返回数据是指:截取通过网络爬虫模拟的浏览器与网站系统对应的后台服务器进行异步传输和加载的过程中的目标请求和目标数据。目标请求为模拟浏览器向网站系统对应的后台服务器发送的一个或多个请求,目标请求可以为访问请求,如访问网站系统的某一页面的请求;目标请求也可以为参数提交请求,如提交通过参数获取页面获取到的参数的请求;目标请求也可以为参数查询请求、参数修改请求,等等,不限于这里的描述。目标数据为网站系统对应的后台服务器根据该目标请求返回的数据,例如,目标请求为访问请求,则目标数据为该访问请求对应的页面的页面数据;又如,目标请求为参数提交请求,则目标数据为响应该参数提交请求的数据。
在一种具体的实现方式中,可以通过在网络爬虫中对XMLHttpRequest对象设置代理的方式截取该XMLHttpRequest请求以及该XMLHttpRequest请求对应的返回数据,其具体可以为:
第一步,备份网络爬虫的XMLHttpRequest对象下的所有方法和所有属性。
本发明实施例中,XMLHttpRequest对象下的所有方法包括abort()方法、getAllResponseHeaders()方法、getResponseHeader()方法、open()方法、send()方法以及setRequestHeader()方法。其中,abort()方法用于取消当前所发出的请求;getAllResponseHeaders()方法用于获取所有的HTTP头信息;getResponseHeader()方法用于获取一个指定的HTTP头信息;open()方法用于创建一个HTTP请求,并指定请求的模式,如get请求或post请求;send()方法用于将创建的请求发送给网站系统对应的服务器,并接收相应的回应信息,即接收返回数据;setRequestHeader()方法用于设置一个指定请求的HTTP头信息。
XMLHttpRequest对象下的所有属性包括readyState属性、Onreadysatatechage属性、responeText属性、responseXML属性、status属性以及statusText属性。其中,readyState属性的值为0~4,用于指示一次交互过程的进度情况,readyState的值为0表示初始化状态,XMLHttpRequest对象已创建或已被abort()方法重置;readyState的值为1表示open()方法已经被调用,但是send()方法还未被调用,即请求还没有被发送;readyState的值为2表示send()方法已经被调用,HTTP请求已经发送到网站系统对应的后台服务器,还未疏导响应;readyState的值为3表示所有响应头部都已经接收到,响应已经开始接收但未完成;readyState的值为表示HTTP响应已经完全接收。responseText属性用于指示当前接收到的后台服务器接收到的响应数据,如果还没有接收到数据的话,responseText属性为空字符串。如果readyState小于3,responseText属性为空字符串。当readyState为3时,responseText属性为当前已经接收的响应数据。如果readyState为4,responseText属性属性保存了完整的响应数据。responseXML属性用于表示对请求的响应,其被解析为XML。status属性为网站系统对应的后台服务器返回的HTTP状态代码,如200表示请求成功,而404表示“Not Found”错误。statusText属性返回当前请求的响应行状态。当状态为200的时候它是“OK”,当状态为404的时候它是“Not Found”。
具体实现中,可以将XMLHttpRequest对象下的所有方法和所有属性保存到全局对象中以完成对XMLHttpRequest对象下的所有方法和所有属性的备份。
第二步,通过方法重写覆盖XMLHttpRequest对象得到XMLHttpRequest对象对应的XMLHttpRequest对象代理。
这里,通过方法重写覆盖XMLHttpRequest对象得到XMLHttpRequest对象对应的XMLHttpReques对象代理的具体方式为:创建保存在全局对象中的XMLHttpRequest对象对应的XMLHttpRequest实例,遍历该XMLHttpRequest实例的所有属性和所有方法,为该XMLHttpRequest实例的各个方法生成其对应的代理方法,为XMLHttpRequest实例的各个属性生成其对应的代理属性。
第三步,通过XMLHttpRequest对象代理截取该XMLHttpRequest请求以及该XMLHttpRequest请求对应的返回数据。
具体实现中,当网络爬虫通过XMLHttpRequest对象发起XMLHttpRequest请求时,各个代理方法拦截模拟浏览器发起的XMLHttpRequest请求,然后对该XMLHttpRequest请求进行放行以使该XMLHttpRequest请求可以发送至网站系统对应的后台服务器,当该网站系统对应的后台服务器返回XMLHttpRequest请求对应的返回数据时,代理方法拦截该返回数据,然后再对该返回数据进行放行以使该返回数据可以传输至网络爬虫。
S103,根据所述交互流量数据对所述网站系统进行安全检测。
本发明实施例中,网络爬虫以模拟浏览器的方式获取网站系统的数据,其可以爬取到网站系统的所有的网页中的数据,通过网络爬虫触发对网站系统的XMLHttpRequest请求并且截取XMLHttpRequest请求对应的返回数据可以通过网络爬虫获取到网站系统的所有网页数据,网络爬虫的XMLHttpRequest对象提供了对HTTP协议的完全访问,包括向服务器发出post请求、head请求以及get请求的能力,因此,截取XMLHttpRequest请求可以获取到异步加载和传输的请求,这些请求中的数据为未呈现在网页上的数据,根据网页数据和未显示在网页上的数据对网站进行安全检测可以实现对网站的全面检测。
对于通过图1所示的方法实施例所获取到流量数据,可以实现对网站系统可能存在的各种漏洞进行检测,其中,针对于不同类型的漏洞和流量数据,可以有不同的检测方式。
针对于不同的检测目的,可以有以下几种可能的检测场景:
第一种检测场景,利用交互流量数据中的各个URL进行安全检测以检测与URL有关的漏洞。具体实现中,可以从交互流量数据中获取URL,根据目标漏洞对应的攻击载荷以及URL对网站系统进行安全检测。
第二种检测场景,利用交互流量数据中的异步加载请求进行安全检测以检测与异步加载请求有关的漏洞。具体实现中,可以从交互流量数据中获取post请求对应的数据,根据目标漏洞对应的攻击载荷以及post请求对应的数据对网站系统进行安全检测。
第三种检测场景,利用交互流量数据中的URL和异步加载请求进行安全检测以检测与URL有关的漏洞和与异步加载请求有关的漏洞。具体实现中,可以从交互流量数据中获取URL和post请求,分别根据目标漏洞对应的攻击载荷和URL,以及,目标漏洞对应的攻击载荷和post请求对应的数据对网站系统进行安全检测。
在上述三种检测场景中,目标漏洞为要检测的漏洞,目标漏洞包括但不限于SQL注入攻击漏洞、跨站脚本攻击(XSS)漏洞、文件上传漏洞、命令执行漏洞、弱口令漏洞、CSRF跨站请求伪造漏洞等web漏洞。其中,目标漏洞不同,其对应的攻击载荷不同,进行安全检测的方法也不同。
下面分别介绍根据利用交互流量数据中的各个URL进行安全检测以及利用交互流量数据中的URL进行安全检测的一些可能的实现方式。参见图2-图4。
参见图2,图2是本发明实施例提供的另一种网站安全检测方法的流程示意图,如图所示,该方法包括:
S201,从交互流量数据中获取URL。
本发明实施例中,URL可以为该XMLHttpRequest请求中的URL,也可以为该XMLHttpRequest请求对应的返回数据中的URL。
S202,根据目标漏洞对应的攻击载荷对URL进行改写得到安全测试URL。
本发明实施例中,根据目标漏洞对应的攻击载荷对URL进行改写得到安全测试URL是指将在该URL中添加该目标漏洞对应的攻击载荷以形成安全测试URL。其适用于目标漏洞为SQL注入攻击漏洞或与SQL注入攻击漏洞原理相似的漏洞的场景。SQL注入攻击漏洞是发生在应用程序的数据库层上的安全漏洞,是由于在设计程序的过程中忽略了对输入字符传中夹带的SQL指令的检测从而被数据库误认为是正常的SQL指令而运行,进而使数据库受到攻击而面临数据被窃取、更改、删除或者网站被嵌入恶意代码/被植入后门程序的风险。
具体地,在目标漏洞为SQL注入攻击漏洞的情况下,目标漏洞对应的攻击载荷可以为“and 1=1”以及“and 1=2”,在URL中添加该目标漏洞对应的攻击载荷以形成安全测试URL具体为在该URL之后添加目标漏洞对应的攻击载荷。例如,URL为http://www.pingan.com,对该URL进行改写得到的安全测试URL为http://www.pingan.com and 1=1,http://www.pingan.com and 1=2。
S203,向网站系统对应的后台服务器提交安全测试URL。
这里,向网站系统对应的后台服务器提交安全测试URL是指将对该安全测试URL进行域名系统(domain name system,DNS)解析得到该后台服务器的互联网协议(internetprotocol,IP)地址,将该后台服务器的IP地址作为目的地址发送携带该安全测试URL的HTTP请求。
具体地,如果目标漏洞为SQL注入攻击漏洞,URL为http://www.pingan.com,则可以向网站系统对应的后台服务器提交http://www.pingan.com and 1=1以及http://www.pingan.com and 1=2。
S204,根据网站系统的后台服务器返回的返回数据确定网站系统是否存在目标漏洞,第一返回数据为安全测试URL对应的返回数据。
这里,第一返回数据为该后台服务器根据携带该安全测试URL的HTTP请求所返回的数据。
具体地,在目标漏洞为SQL注入攻击漏洞的情况下,如果后台服务器根据添加了“and 1=1”的安全测试URL返回的数据为正常的页面数据,并且,后台服务器根据添加了“and 1=2”的安全测试URL返回的数据为错误的页面数据,则确定网站系统中的该URL存在SQL注入攻击漏洞。
例如,URL为http://www.pingan.com,对该URL进行改写得到的安全测试URL为http://www.pingan.com and 1=1以及http://www.pingan.com and 1=2,如果后台服务器根据提交的http://www.pingan.com and 1=1返回的是http://www.pingan.com对应的页面所对应的页面数据,并且,后台服务器根据提交的http://www.pingan.com and 1=2返回的是“请求错误”的数据,则确定网站系统中http://www.pingan.com这个URL存在SQL注入漏洞。
本发明实施例中,通过从交互流量数据中获取URL并利用目标漏洞对应的攻击载荷对该URL进行改写得到安全测试URL,然后根据后台服务器根据该安全测试URL的返回数据判定是否存在目标漏洞,可以完成对网站系统中的URL是否存在SQL注入攻击漏洞或者与SQL注入攻击漏洞原理相似的漏洞的检测。
参见图3,图3是本发明实施例提供的又一种网站安全检测方法的流程示意图,如图所示,该方法包括:
S301,从交互流量数据中获取存在参数的第一URL。
本发明实施例中,URL可以为该XMLHttpRequest请求中的URL,也可以为该XMLHttpRequest请求对应的返回数据中的URL。
这里,参数为该URL中携带的对应于后台服务器中的数据库中的某项记录的数据。
例如,交互流量数据中的URL分别为“http://www.pingan.com”、“http://www.pingan.com//index.php?keyword=1”、“http://www.pingan.com//index.php?username=ceshi”,则第一URL为“http://www.pingan.com//index.php?keyword=1”、“http://www.pingan.com//index.php?username=ceshi”。
S302,将第一URL中的参数修改为目标漏洞对应的攻击载荷。
本发明实施例中,将第一URL中的参数修改为目标漏洞对应的攻击载荷可适用于目标漏洞为反射型XSS漏洞或与反射型XSS漏洞原理相似的漏洞的场景。XSS漏洞是指恶意攻击者往web页面中插入html代码,当用户浏览该web页面时,嵌入该web页面中的html代码会被执行,从而达到一些恶意的目的。
具体地,在目标漏洞为反射型XSS漏洞的情况下,目标漏洞对应的攻击载荷可以为<script>alert(1)</script>、<script>alert(vulnerable)</script>、<script>alert('XSS')</script>,等等。
例如,目标漏洞对应的攻击载荷为<script>alert(1)</script>,URL为http://www.pingan.com//index.php?keyword=1,则修改参数后的URL为http://www.pingan.com//index.php?keyword=<script>alert(1)</script>。
S303,向网站系统对应的后台服务器提交修改参数后的第一URL。
这里,向网站系统对应的后台服务器提交修改参数后的第一URL是指将对该第一URL进行DNS解析得到该后台服务器的IP地址,将该后台服务器的IP地址作为目的地址发送携带该第一URL的HTTP请求。
具体地,如果目标漏洞为反射型XSS漏洞,目标漏洞对应的攻击载荷为<script>alert(1)</script>,URL为http://www.pingan.com//index.php?keyword=1,则可以向网站系统对应的后台服务器提交http://www.pingan.com//index.php?keyword=<script>alert(1)</script>。
S304,根据网站系统对应的后台服务器返回的第二返回数据确定网站系统是否存在目标漏洞,第二返回数据为修改参数后的第一URL对应的返回数据。
这里,第二返回数据为该后台服务器根据携带修改参数后的该第一URL的HTTP请求所返回的数据。
具体地,在目标漏洞为反射型XSS漏洞并且以<script>alert(1)</script>作为目标漏洞对应的攻击载荷的情况下,如果后台服务器根据修改了参数的第一URL返回的数据包括弹窗页面对应的数据,则确定网站系统中的该第一URL存在反射型XSS漏洞。
本发明实施例中,通过从交互流量数据中获取携带参数的URL将该URL中的参数修改为目标漏洞对应的攻击载荷,然后根据后台服务器根据修改参数后的URL判定是否存在目标漏洞,可以完成对网站系统中的URL是否存在反射型XSS漏洞或者与反射型XSS漏洞原理相似的漏洞的检测。
参见图4,图4是本发明实施例提供的又一种网站安全检测方法的流程示意图,如图所示,该方法包括:
S401,从交互流量数据中获取post请求对应的数据。
S402,在post请求对应的数据中添加目标漏洞对应的攻击载荷。
本发明实施例中,在post请求对应的数据中添加目标漏洞对应的攻击载荷可适用于目标漏洞为存储型XSS漏洞或与存储型XSS漏洞原理相似的漏洞,或者,弱口令漏洞或与弱口令漏洞原理相似的漏洞。其中,其一般被定义为容易被别人猜测到或被破解工具破解的比较检测的口令(如登录密码)。
具体地,在目标漏洞为反射型XSS漏洞的情况下,目标漏洞对应的攻击载荷可以为<script>alert(1)</script>、<script>alert(vulnerable)</script>、<script>alert('XSS')</script>,等等。
例如,目标漏洞对应的攻击载荷为<script>alert(1)</script>,post请求对应的http://www.pingan.com/liuyan.php,则在该post对应的表单数据(对应网页上的留言栏)中添加<script>alert(1)</script>。
具体地,在目标漏洞为弱口令漏洞的情况下,目标漏洞对应的攻击载荷为预设的弱口令字典中的数据,其中,弱口令字典指一些常见的比较简单的密码数据与用户名数据的集合,例如,用户名数据为admin,test,等等,密码数据为123,abc,等等。
例如,目标对应的攻击载荷为登录名admin,密码admin123,post请求对应的URL为http://www.pingan.com/login.php,则在该post请求对应的表单数据(对应网页上的登录框和密码框)中添加admin和admin123。
S403,向网站系统对应的后台服务器提交添加目标漏洞对应的攻击载荷后的post请求。
这里,向网站系统对应的后台服务提交添加目标漏洞对应的攻击载荷后的post请求是指对该post请求对应的URL进行DNS解析得到该后台服务器的IP地址,将该后台服务器的IP地址作为目的地址发送该添加目标漏洞对应的攻击载荷后的post请求。
S404,根据网站系统对应的后台服务器返回第三返回数据确定网站系统是否存在目标漏洞,第三返回数据为添加目标漏洞对应的攻击载荷后的post请求对应的返回数据。
具体地,在目标漏洞为存储型XSS漏洞并且以<script>alert(1)</script>作为目标漏洞对应的攻击载荷的情况下,如果后台服务器根据添加目标漏洞对应的攻击载荷后的post请求返回的数据包括弹窗页面对应的数据,则确定网站系统中的该post请求存在存储型XSS漏洞。
具体地,在目标漏洞为弱口令漏洞并且以预设的弱口令字典中的数据作为目标漏洞对应的攻击载荷的情况下,如果后台服务器根据添加目标漏洞对应的攻击载荷后的post请求返回的数据为成功登陆该网站系统的页面所对应的数据,则确定网站系统中的该post请求存在弱口令漏洞。
本发明实施例中,通过从交互流量数据中获取post请求对应的数据并在post数据中添加目标漏洞对应的攻击载荷,然后根据后台服务器根据添加目标漏洞对应的攻击载荷后的post请求返回的数据判定post请求是否存在目标漏洞,可以完成对网站系统中的post请求是否存在存储型XSS漏洞或与存储型XSS漏洞原理相似的漏洞或弱口令漏洞或与弱口令漏洞原理相似的漏洞的检测。
需要说明的上述图2-图4对应的实施例仅为利用交互数据进行安全检测的示例,在可选实施方式中,还可以有其他利用交互数据进行安全检测的方法,本发明实施例不做限制。
如前所述,目标漏洞不同,其对应的攻击载荷不同,其进行安全检测的方法也不同,其可能存在的在网站系统中的位置也不同。在可选实施方式中,还可以对交互流量数据进行分类,以与不同的目标漏洞进行对应,然后分别对不同的交互流量数据进行不同的目标漏洞的检测。在获取到所有的交互流量数据之后,还可以根据目标漏洞的类别对交互流量数据进行分类。
这里,对于不同的URL,其可能存在的目标漏洞是不同的,例如,对于登录页面所对应的交互流量数据,其可能存在弱口令漏洞,对于需要进行表单提交的页面(如留言栏,建议栏等)所对应的交互流量数据,其可能存在XSS漏洞,则可以根据目标漏洞的类别对获取到的交互流量数据进行分类,将交互流量数据划分到不同类别的一个或多个目标漏洞中去与目标漏洞对应。在根据目标漏洞的类别对交互流量数据进行分类后,可采用目标漏洞对应的攻击载荷对与该目标漏洞对应的交互流量数据进行安全检测,其中,检测方法可参考前述图2-图4所示的实施例的实现方式。
通过将获取到交互流量数据进行分类然后进行安全检测,可以省去对交互流量数据根本不会存在的漏洞进行检测,提高了检测效率。
上面介绍了发明实施例的方法,下面介绍发明实施例的装置。
参见图5,图5是本发明实施例提供的一种网站安全检测装置的组成结构示意图,该装置50包括:
请求触发模块501,用于通过网络爬虫触发对网站系统的可扩展超文本传输请求,所述网络爬虫通过模拟目标方式获取所述网站系统的数据,所述目标方式为浏览器通过HTTP请求获取所述网站系统的数据的方式;
流量截取模块502,用于截取所述可扩展超文本传输请求以及所述可扩展超文本传输请求对应的返回数据,以获取所述可扩展超文本传输请求对应的交互流量数据,所述交互流量数据包括所述可扩展超文本传输请求和所述返回数据;
安全检测模块503,用于根据所述交互流量数据对所述网站系统进行安全检测。
结合第一方面,在一种可能的设计中,所述安全检测模块503具体用于:
从所述交互流量数据中获取URL;
根据目标漏洞对应的攻击载荷以及所述URL对所述网站系统进行安全检测。
结合第一方面,在一种可能的设计中,所述安全检测模块503具体用于:
根据所述目标漏洞对应的攻击载荷对所述URL进行改写得到安全测试URL;
向所述网站系统对应的后台服务器提交所述安全测试URL;
根据所述后台服务器返回的第一返回数据确定所述网站系统是否存在所述目标漏洞,所述第一返回数据为所述安全测试URL对应的返回数据。
结合第一方面,在一种可能的设计中,所述安全检测模块503具体用于:
在所述URL中确定存在参数的第一URL;
将所述第一URL中的参数修改为所述目标漏洞对应的攻击载荷;
向所述网站系统对应的后台服务器提交修改参数后的第一URL;
根据所述后台服务器返回的第二返回数据确定所述网站系统是否存在所述目标漏洞,所述第二返回数据为所述修改参数后的第一URL对应的返回数据。
结合第一方面,在一种可能的设计中,所述安全检测模块503具体用于:
从所述交互流量数据中获取post请求对应的数据;
根据所述目标漏洞对应的攻击载荷以及所述post请求对应的数据对所述网站系统进行安全检测。
结合第一方面,在一种可能的设计中,所述安全检测模块503具体用于:
在所述post请求对应的数据中添加所述目标漏洞对应的攻击载荷;
向所述网站系统对应的后台服务器提交将添加所述目标漏洞对应的攻击载荷后的post请求;
根据所述后台服务器返回的第三返回数据确定所述网站系统是否存在所述目标漏洞,所述第三返回数据为添加所述目标漏洞对应的攻击载荷后的post请求对应的返回数据。
结合第一方面,在一种可能的设计中,所述请求触发模块501具体用于:
备份所述网络爬虫的可扩展超文本传输请求对象下的所有方法和所有属性;
通过方法重写覆盖所述可扩展超文本传输请求对象得到所述可扩展超文本传输请求对象对应的可扩展超文本传输请求对象代理;
通过所述可扩展超文本传输请求对象代理截取所述可扩展超文本传输请求对应以及所述可扩展超文本传输请求对应的返回数据。
需要说明的是,图5对应的实施例中未提及的内容可参见方法实施例的描述,这里不再赘述。
本发明实施例中,网络爬虫以模拟浏览器的方式获取网站系统的数据,网站安全检测装置利用网络爬虫触发对网站系统的XMLHttpRequest并且截取XMLHttpRequest对应的返回数据,可以通过获取到网站系统的所有网页数据,网络爬虫的XMLHttpRequest对象提供了对超文本传输(hyper text transfer protocol,HTTP)协议的完全访问,包括向服务器发出post请求、head请求以及get请求的能力,因此,网站安全检测装置截取XMLHttpRequest请求可以获取到异步加载和传输的请求,这些请求中携带的数据为未呈现在网页上的数据,根据网页数据和未显示在网页上的数据对网站进行安全检测可以实现对网站的全面检测。
参见图6,图6是本发明实施例提供的另一种网站安全检测装置的组成结构示意图,该装置60包括处理器601、存储器602以及通信接口603。处理器601连接到存储器602和通信接口603,例如处理器601可以通过总线连接到存储器602和通信接口603。
处理器601被配置为支持所述网站安全检测装置执行图1-图4所述的网站安全检测方法中相应的功能。该处理器601可以是中央处理器(Central Processing Unit,CPU),网络处理器(Network Processor,NP),硬件芯片或者其任意组合。上述硬件芯片可以是专用集成电路(Application-Specific Integrated Circuit,ASIC),可编程逻辑器件(Programmable Logic Device,PLD)或其组合。上述PLD可以是复杂可编程逻辑器件(Complex Programmable Logic Device,CPLD),现场可编程逻辑门阵列(Field-Programmable Gate Array,FPGA),通用阵列逻辑(Generic Array Logic,GAL)或其任意组合。
存储器602存储器用于存储程序代码等。存储器602可以包括易失性存储器(Volatile Memory,VM),例如随机存取存储器(Random Access Memory,RAM);存储器602也可以包括非易失性存储器(Non-Volatile Memory,NVM),例如只读存储器(Read-OnlyMemory,ROM),快闪存储器(flash memory),硬盘(Hard Disk Drive,HDD)或固态硬盘(Solid-State Drive,SSD);存储器602还可以包括上述种类的存储器的组合。本发明实施例中,存储器602用于存储网站安全检测的程序、交互流量数据等。
所述通信接口603用于发送或接收数据。
处理器601可以调用所述程序代码以执行以下操作:
通过通信接口503以及网络爬虫触发对向网站系统的可扩展超文本传输请求,所述网络爬虫通过模拟目标方式获取所述网站系统的数据,所述目标方式为浏览器通过HTTP请求获取所述网站系统的数据的方式;
通过通信接口503截取所述可扩展超文本传输请求以及所述可扩展超文本传输请求对应的返回数据,以获取所述可扩展超文本传输请求对应的交互流量数据,所述交互流量数据包括所述可扩展超文本传输请求和所述返回数据;
根据所述交互流量数据对所述网站系统进行安全检测。
需要说明的是,各个操作的实现还可以对应参照图1-图4所示的方法实施例的相应描述;所述处理器601还可以与通信接口603配合执行上述方法实施例中的其他操作。
本发明实施例还提供一种计算机存储介质,所述计算机存储介质存储有计算机程序,所述计算机程序包括程序指令,所述程序指令当被计算机执行时使所述计算机执行如前述实施例所述的方法,所述计算机可以为上述提到的网站安全检测装置的一部分。例如为上述的处理器601。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random AccessMemory,RAM)等。
以上所揭露的仅为本发明较佳实施例而已,当然不能以此来限定本发明之权利范围,因此依本发明权利要求所作的等同变化,仍属本发明所涵盖的范围。
Claims (10)
1.一种网站安全检测方法,其特征在于,包括:
通过网络爬虫触发对网站系统的可扩展超文本传输请求,所述网络爬虫通过模拟目标方式获取所述网站系统的数据,所述目标方式为浏览器通过超文本传输协议HTTP请求获取所述网站系统的数据的方式;
截取所述可扩展超文本传输请求以及所述可扩展超文本传输请求对应的返回数据,以获取所述可扩展超文本传输请求对应的交互流量数据,所述交互流量数据包括所述可扩展超文本传输请求和所述返回数据;
根据所述交互流量数据对所述网站系统进行安全检测。
2.根据权利要求1所述的方法,其特征在于,所述根据所述交互流量数据对所述网站系统进行安全检测包括:
从所述交互流量数据中获取统一资源定位符URL;
根据目标漏洞对应的攻击载荷以及所述URL对所述网站系统进行安全检测。
3.根据权利要求2所述的方法,其特征在于,所述根据目标漏洞对应的攻击载荷以及所述URL对所述网站系统进行安全检测包括:
根据所述目标漏洞对应的攻击载荷对所述URL进行改写得到安全测试URL;
向所述网站系统对应的后台服务器提交所述安全测试URL;
根据所述后台服务器返回的第一返回数据确定所述网站系统是否存在所述目标漏洞,所述第一返回数据为所述安全测试URL对应的返回数据。
4.根据权利要求2所述的方法,其特征在于,所述根据目标漏洞对应的攻击载荷以及所述URL对所述网站系统进行安全检测包括:
在所述URL中确定存在参数的第一URL;
将所述第一URL中的参数修改为所述目标漏洞对应的攻击载荷;
向所述网站系统对应的后台服务器提交修改参数后的第一URL;
根据所述后台服务器返回的第二返回数据确定所述网站系统是否存在所述目标漏洞,所述第二返回数据为所述修改参数后的第一URL对应的返回数据。
5.根据权利要求1所述的方法,其特征在于,所述根据所述交互流量数据对所述网站系统进行安全检测包括:
从所述交互流量数据中获取post请求对应的数据;
根据目标漏洞对应的攻击载荷以及所述post请求对应的数据对所述网站系统进行安全检测。
6.根据权利要求5所述的方法,其特征在于,所述根据目标漏洞对应的攻击载荷以及所述post请求对应的数据对所述网站系统进行安全检测包括:
在所述post请求对应的数据中添加所述目标漏洞对应的攻击载荷;
向所述网站系统对应的后台服务器提交添加所述目标漏洞对应的攻击载荷后的post请求;
根据所述后台服务器返回的第三返回数据确定所述网站系统是否存在所述目标漏洞,所述第三返回数据为添加所述目标漏洞对应的攻击载荷后的post请求对应的返回数据。
7.根据权利要求1-6任一项所述的方法,其特征在于,所述截取所述可扩展超文本传输请求对应以及所述可扩展超文本传输请求对应的返回数据包括:
备份所述网络爬虫的可扩展超文本传输请求对象下的所有方法和所有属性;
通过方法重写覆盖所述可扩展超文本传输请求对象得到所述可扩展超文本传输请求对象对应的可扩展超文本传输请求对象代理;
通过所述可扩展超文本传输请求对象代理截取所述可扩展超文本传输请求对应以及所述可扩展超文本传输请求对应的返回数据。
8.一种网站安全检测装置,其特征在于,包括:
请求触发模块,用于通过网络爬虫触发对网站系统的可扩展超文本传输请求,所述网络爬虫通过模拟目标方式获取所述网站系统的数据,所述目标方式为浏览器通过超文本传输协议HTTP请求获取所述网站系统的数据的方式;
流量截取模块,用于截取所述可扩展超文本传输请求以及所述可扩展超文本传输请求对应的返回数据,以获取所述可扩展超文本传输请求对应的交互流量数据,所述交互流量数据包括所述可扩展超文本传输请求和所述返回数据;
安全检测模块,用于根据所述交互流量数据对所述网站系统进行安全检测。
9.一种网站安全检测装置,包括处理器、存储器以及通信接口,所述处理器、存储器和通信接口相互连接,其中,所述通信接口用于传输数据,所述存储器用于存储程序代码,所述处理器用于调用所述程序代码,执行如权利要求1-7任一项所述的方法。
10.一种计算机存储介质,其特征在于,所述计算机存储介质存储有计算机程序,所述计算机程序包括程序指令,所述程序指令当被处理器执行时使所述处理器执行如权利要求1-7任一项所述的方法。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810851917.0A CN109033838A (zh) | 2018-07-27 | 2018-07-27 | 网站安全检测方法和装置 |
PCT/CN2018/107642 WO2020019479A1 (zh) | 2018-07-27 | 2018-09-26 | 网站安全检测方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810851917.0A CN109033838A (zh) | 2018-07-27 | 2018-07-27 | 网站安全检测方法和装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN109033838A true CN109033838A (zh) | 2018-12-18 |
Family
ID=64647512
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810851917.0A Withdrawn CN109033838A (zh) | 2018-07-27 | 2018-07-27 | 网站安全检测方法和装置 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN109033838A (zh) |
WO (1) | WO2020019479A1 (zh) |
Cited By (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110460606A (zh) * | 2019-08-16 | 2019-11-15 | 中国银行股份有限公司 | 一种二阶sql注入漏洞检测方法、装置及设备 |
CN110516449A (zh) * | 2019-09-03 | 2019-11-29 | 国网重庆市电力公司电力科学研究院 | 一种轻量化漏洞探测方法及可读存储介质 |
CN110781367A (zh) * | 2019-09-25 | 2020-02-11 | 中国科学院计算技术研究所 | 一种基于中间人的互联网数据采集方法及系统 |
CN110855612A (zh) * | 2019-10-12 | 2020-02-28 | 杭州安恒信息技术股份有限公司 | web后门路径探测方法 |
CN110968875A (zh) * | 2019-12-03 | 2020-04-07 | 支付宝(杭州)信息技术有限公司 | 一种对网页进行权限漏洞检测的方法及装置 |
CN111030834A (zh) * | 2019-04-26 | 2020-04-17 | 北京安天网络安全技术有限公司 | 一种基于载荷传播行为的威胁预测方法、装置及存储设备 |
CN111563224A (zh) * | 2020-05-15 | 2020-08-21 | 成都库珀区块链科技有限公司 | 一种站点自定义的方法、系统及相关装置 |
CN111898059A (zh) * | 2019-05-06 | 2020-11-06 | 千寻位置网络有限公司 | 网站页面质量评估和监控方法及其系统 |
CN111949992A (zh) * | 2020-08-17 | 2020-11-17 | 中国工商银行股份有限公司 | Web应用程序的自动化安全监测方法及系统 |
CN112202776A (zh) * | 2020-09-29 | 2021-01-08 | 中移(杭州)信息技术有限公司 | 源站防护方法和网络设备 |
CN112632554A (zh) * | 2020-11-05 | 2021-04-09 | 杭州孝道科技有限公司 | 一种基于修改运行时payload技术的漏洞验证方法 |
CN114138661A (zh) * | 2021-12-08 | 2022-03-04 | 国家工业信息安全发展研究中心 | 一种对测试目标的动态安全检测方法及系统 |
CN114726876A (zh) * | 2022-02-24 | 2022-07-08 | 腾讯科技(深圳)有限公司 | 一种数据检测方法、装置、设备和存储介质 |
CN115225340A (zh) * | 2022-06-28 | 2022-10-21 | 杭州安恒信息技术股份有限公司 | 一种网站自动防护方法、装置、设备及存储介质 |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP4236846A1 (en) | 2020-10-30 | 2023-09-06 | Smith & Nephew, Inc. | Arthroscopic resection probe |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102855418A (zh) * | 2012-08-08 | 2013-01-02 | 周耕辉 | 发现Web内网代理漏洞的方法 |
CN102970282B (zh) * | 2012-10-31 | 2015-08-19 | 北京奇虎科技有限公司 | 网站安全检测系统 |
CN103001946B (zh) * | 2012-10-31 | 2016-01-06 | 北京奇虎科技有限公司 | 网站安全检测方法和设备 |
CN104980309B (zh) * | 2014-04-11 | 2018-04-20 | 北京奇安信科技有限公司 | 网站安全检测方法及装置 |
CN104080058A (zh) * | 2014-06-16 | 2014-10-01 | 百度在线网络技术(北京)有限公司 | 信息处理方法及装置 |
-
2018
- 2018-07-27 CN CN201810851917.0A patent/CN109033838A/zh not_active Withdrawn
- 2018-09-26 WO PCT/CN2018/107642 patent/WO2020019479A1/zh active Application Filing
Cited By (22)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111030834A (zh) * | 2019-04-26 | 2020-04-17 | 北京安天网络安全技术有限公司 | 一种基于载荷传播行为的威胁预测方法、装置及存储设备 |
CN111030834B (zh) * | 2019-04-26 | 2023-09-05 | 北京安天网络安全技术有限公司 | 一种基于载荷传播行为的威胁预测方法、装置及存储设备 |
CN111898059A (zh) * | 2019-05-06 | 2020-11-06 | 千寻位置网络有限公司 | 网站页面质量评估和监控方法及其系统 |
CN111898059B (zh) * | 2019-05-06 | 2023-12-22 | 千寻位置网络有限公司 | 网站页面质量评估和监控方法及其系统 |
CN110460606B (zh) * | 2019-08-16 | 2021-10-12 | 中国银行股份有限公司 | 一种二阶sql注入漏洞检测方法、装置及设备 |
CN110460606A (zh) * | 2019-08-16 | 2019-11-15 | 中国银行股份有限公司 | 一种二阶sql注入漏洞检测方法、装置及设备 |
CN110516449A (zh) * | 2019-09-03 | 2019-11-29 | 国网重庆市电力公司电力科学研究院 | 一种轻量化漏洞探测方法及可读存储介质 |
CN110781367A (zh) * | 2019-09-25 | 2020-02-11 | 中国科学院计算技术研究所 | 一种基于中间人的互联网数据采集方法及系统 |
CN110781367B (zh) * | 2019-09-25 | 2023-10-20 | 中国科学院计算技术研究所 | 一种基于中间人的互联网数据采集方法及系统 |
CN110855612A (zh) * | 2019-10-12 | 2020-02-28 | 杭州安恒信息技术股份有限公司 | web后门路径探测方法 |
CN110855612B (zh) * | 2019-10-12 | 2022-03-18 | 杭州安恒信息技术股份有限公司 | web后门路径探测方法 |
CN110968875B (zh) * | 2019-12-03 | 2022-01-28 | 支付宝(杭州)信息技术有限公司 | 一种对网页进行权限漏洞检测的方法及装置 |
CN110968875A (zh) * | 2019-12-03 | 2020-04-07 | 支付宝(杭州)信息技术有限公司 | 一种对网页进行权限漏洞检测的方法及装置 |
CN111563224A (zh) * | 2020-05-15 | 2020-08-21 | 成都库珀区块链科技有限公司 | 一种站点自定义的方法、系统及相关装置 |
CN111949992A (zh) * | 2020-08-17 | 2020-11-17 | 中国工商银行股份有限公司 | Web应用程序的自动化安全监测方法及系统 |
CN111949992B (zh) * | 2020-08-17 | 2023-09-29 | 中国工商银行股份有限公司 | Web应用程序的自动化安全监测方法及系统 |
CN112202776A (zh) * | 2020-09-29 | 2021-01-08 | 中移(杭州)信息技术有限公司 | 源站防护方法和网络设备 |
CN112632554A (zh) * | 2020-11-05 | 2021-04-09 | 杭州孝道科技有限公司 | 一种基于修改运行时payload技术的漏洞验证方法 |
CN114138661B (zh) * | 2021-12-08 | 2022-08-05 | 国家工业信息安全发展研究中心 | 一种对测试目标的动态安全检测方法及系统 |
CN114138661A (zh) * | 2021-12-08 | 2022-03-04 | 国家工业信息安全发展研究中心 | 一种对测试目标的动态安全检测方法及系统 |
CN114726876A (zh) * | 2022-02-24 | 2022-07-08 | 腾讯科技(深圳)有限公司 | 一种数据检测方法、装置、设备和存储介质 |
CN115225340A (zh) * | 2022-06-28 | 2022-10-21 | 杭州安恒信息技术股份有限公司 | 一种网站自动防护方法、装置、设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
WO2020019479A1 (zh) | 2020-01-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109033838A (zh) | 网站安全检测方法和装置 | |
US10243679B2 (en) | Vulnerability detection | |
Eassa et al. | NoSQL injection attack detection in web applications using RESTful service | |
Shahriar et al. | Client-side detection of cross-site request forgery attacks | |
Huang et al. | Web application security assessment by fault injection and behavior monitoring | |
Pan et al. | Cspautogen: Black-box enforcement of content security policy upon real-world websites | |
US20130019314A1 (en) | Interactive virtual patching using a web application server firewall | |
CN111552854A (zh) | 一种网页数据抓取方法、装置、存储介质和设备 | |
Stock et al. | Protecting users against XSS-based password manager abuse | |
Deepa et al. | DetLogic: A black-box approach for detecting logic vulnerabilities in web applications | |
US10250632B2 (en) | Web service testing | |
US20220198025A1 (en) | Web Attack Simulator | |
Bozic et al. | Planning-based security testing of web applications with attack grammars | |
CN108322427A (zh) | 一种对访问请求进行风控的方法与设备 | |
Huang et al. | Non-detrimental web application security scanning | |
Bezemer et al. | Automated security testing of web widget interactions | |
Durieux et al. | Fully automated HTML and Javascript rewriting for constructing a self‐healing web proxy | |
CA3204750A1 (en) | Web attack simulator | |
Kagorora et al. | Effectiveness of web application security scanners at detecting vulnerabilities behind ajax/json | |
De Meo et al. | A formal and automated approach to exploiting multi-stage attacks of web applications | |
Reintjes et al. | a Benchmark Approach To Analysis the Security of Web Frameworks | |
Vernotte | A pattern-driven and model-based vulnerability testing for web applications | |
Alves | MockingPot: Generate and Integrate Honeypots Into Existing Web Applications | |
de Sousa | XS-Leaks Crutch: Assisted Detection & Exploitation of Cross-Site Leaks | |
Zhygulskyy | Automated, Scheduled and Ci/Cd Web Injection |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WW01 | Invention patent application withdrawn after publication | ||
WW01 | Invention patent application withdrawn after publication |
Application publication date: 20181218 |