CN110851840B - 基于网站漏洞的web后门检测方法及装置 - Google Patents

基于网站漏洞的web后门检测方法及装置 Download PDF

Info

Publication number
CN110851840B
CN110851840B CN201911109467.9A CN201911109467A CN110851840B CN 110851840 B CN110851840 B CN 110851840B CN 201911109467 A CN201911109467 A CN 201911109467A CN 110851840 B CN110851840 B CN 110851840B
Authority
CN
China
Prior art keywords
detected
website
web
webpage
link
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201911109467.9A
Other languages
English (en)
Other versions
CN110851840A (zh
Inventor
娄宇
范渊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
DBAPPSecurity Co Ltd
Original Assignee
DBAPPSecurity Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by DBAPPSecurity Co Ltd filed Critical DBAPPSecurity Co Ltd
Priority to CN201911109467.9A priority Critical patent/CN110851840B/zh
Publication of CN110851840A publication Critical patent/CN110851840A/zh
Application granted granted Critical
Publication of CN110851840B publication Critical patent/CN110851840B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/95Retrieval from the web
    • G06F16/955Retrieval from the web using information identifiers, e.g. uniform resource locators [URL]
    • G06F16/9566URL specific, e.g. using aliases, detecting broken or misspelled links
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/22Matching criteria, e.g. proximity measures

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Databases & Information Systems (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Evolutionary Computation (AREA)
  • Evolutionary Biology (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Artificial Intelligence (AREA)
  • Computing Systems (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

本发明提供了一种基于网站漏洞的WEB后门检测方法及装置,涉及网络安全的技术领域,应用于WEB服务器,包括:先接收用户端输入的URL链接,然后对URL链接对应的待检测网站的首页进行目录遍历漏洞检测,在待检测网站的首页存在目录遍历漏洞的基础上再进行网站遍历,爬取待检测网站的待检测网页,对待检测网页的代码与WEB后门网页源代码进行代码比对,最后将与WEB后门网页源代码相似的将待检测网页确定为WEB后门,因此本发明可以及时、有效地发现WEB后门,进而保障用户服务器的安全性。

Description

基于网站漏洞的WEB后门检测方法及装置
技术领域
本发明涉及网络安全技术领域,尤其是涉及一种基于网站漏洞的WEB后门检测方法及装置。
背景技术
WEB后门是以网页文件形式存在的一种命令执行环境,也可以将其称为WEBSHELL。黑客入侵网站之后,通常将后门文件与网站服务器WEB目录下正常的网页文件混在一起,然后使用浏览器基于后门文件访问WEB后门,得到一个命令执行环境,以达到控制网站服务器的目的。由于后门文件通常以孤链的形式存储,且存储位置比较隐蔽,因此管理员很难发现。所以对用户服务器来说,WEB后门是一个非常危险的存在。
发明内容
本发明的目的在于提供一种基于网站漏洞的WEB后门检测方法及装置,可以及时、有效地发现WEB后门,进而保障用户服务器的安全性。
本发明提供的一种基于网站漏洞的WEB后门检测方法,其中,应用于WEB服务器,包括:接收用户端输入的URL链接;其中,所述URL链接为待检测网站的首页与所述WEB服务器之间的链接;若基于所述URL链接判断出所述待检测网站的首页存在目录遍历漏洞,则爬取待检测网站的待检测网页;在所述待检测网页的代码与预设特征库中的WEB后门网页源代码相似的情况下,将所述待检测网页确定为WEB后门。
进一步的,所述方法还包括通过以下方式判断所述待检测网站的首页是否存在目录遍历漏洞:确定所述URL链接是否为正常链接;在确定所述URL链接为正常链接之后,基于预设规则判断所述待检测网站的首页是否存在目录遍历漏洞;其中,所述预设规则为:若所述待检测网站的首页存在预设特征,则所述待检测网站的首页存在目录遍历漏洞;其中,若确定出所述待检测网站的首页存在目录遍历漏洞,则爬取待检测网站的待检测网页。
进一步的,确定所述URL链接是否为正常链接,包括:基于所述URL链接访问所述待检测网站的首页,获取所述待检测网站的首页的源码;将所述源码中与所述URL链接域名一致的链接确定为内链;截取所述内链的目录链接,并基于所述目录链接访问所述内链的目录,得到响应码;判断响应码是否为预设响应码;若所述响应码是所述预设响应码,则确定所述URL链接为正常链接。
进一步的,所述预设响应码为200。
进一步的,所述方法还包括:若判断出所述待检测网站的首页中不存在目录遍历漏洞,则确定所述待检测网站不存在WEB后门。
进一步的,在接收用户端输入的URL链接之前,包括:获取WEB后门网页源代码;基于所述WEB后门网页源代码,构建所述预设特征库。
进一步的,在接收用户端输入的URL链接之后,包括:判断所述URL链接是否规范;若所述URL链接不规范,则对所述URL链接进行规范化处理。
本发明提供的一种基于网站漏洞的WEB后门检测装置,其中,应用于WEB服务器,包括:接收模块,用于接收用户端输入的URL链接;其中,所述URL链接为待检测网站的首页与所述WEB服务器之间的链接;爬取模块,用于若基于所述URL链接判断出所述待检测网站的首页存在目录遍历漏洞,则爬取待检测网站的待检测网页;第一确定模块,用于在所述待检测网页的代码与预设特征库中的WEB后门网页源代码相似的情况下,将所述待检测网页确定为WEB后门。
本发明还提供一种电子设备,包括存储器、处理器,所述存储器中存储有可在所述处理器上运行的计算机程序,其中,所述处理器执行计算机程序时实现所述的基于网站漏洞的WEB后门检测方法。
本发明还提供一种具有处理器可执行的非易失的程序代码的计算机可读介质,其中,所述程序代码使所述处理器执行所述的基于网站漏洞的WEB后门检测方法。
本发明提供的一种基于网站漏洞的WEB后门检测方法及装置,应用于WEB服务器,先接收任务,然后对任务中待检测网站的首页进行目录遍历漏洞检测,在待检测网站的首页存在目录遍历漏洞的基础上进行网站遍历,再爬取待检测网站的待检测网页,对待检测网页的代码与WEB后门网页源代码进行代码比对,最后将与WEB后门网页源代码相似的将待检测网页确定为WEB后门,因此本发明可以及时、有效地发现WEB后门,进而保障用户服务器的安全性。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种基于网站漏洞的WEB后门检测方法的流程图;
图2为本发明实施例提供的另一种基于网站漏洞的WEB后门检测方法的流程图;
图3为图2中步骤S104的流程图;
图4为图3中步骤S201的流程图;
图5为本发明实施例提供的一种基于网站漏洞的WEB后门检测装置的结构示意图;
图6为本发明实施例提供的另一种基于网站漏洞的WEB后门检测装置的结构示意图。
图标:
11-接收模块;12-爬取模块;13-第一确定模块;14-第一判断模块;15-第二确定模块;16-获取模块;17-构建模块;18-第二判断模块;19-规范化处理模块。
具体实施方式
下面将结合实施例对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
目前黑客入侵网站之后,与WEB后门相关的后门文件放在比较隐蔽的位置,通常是孤链。由于该孤链不是网站URL(Uniform Resource Locator,统一资源定位符)树中的链接,因此很难被管理员发现。所以对用户服务器来说,WEB后门是一个非常危险的存在。现有技术一般先识别出可疑的WEB路径,然后基于可疑的WEB路径通过网页爬虫技术遍历整个待检测网站的目录和文件,得到待检测网站的路径树。由于WEB后门是黑客通过网站漏洞植入的,一般放在隐蔽的位置,因此WEB后门无法通过网页爬虫技术及时发现。基于此,本发明提供的一种基于网站漏洞的WEB后门检测方法及装置,可以及时、有效地发现WEB后门,进而保障用户服务器的安全性。
为便于对本实施例进行理解,首先对本发明实施例所公开的一种基于网站漏洞的WEB后门检测方法进行详细介绍。
实施例一:
参照图1,本发明实施例提供的一种基于网站漏洞的WEB后门检测方法,其中,应用于WEB服务器,可以包括以下步骤:
步骤S101,接收用户端输入的URL链接;其中,URL链接为待检测网站的首页与WEB服务器之间的链接。
在本发明实施例中,WEB后门可以称为网站后门。URL链接可以指任务中的链接,该链接对应待检测网站的首页。其中,任务由用户端下发,且每个任务均对应一个待检测网站。本发明实施例可以将该步骤作为任务下发阶段,本发明实施例除了任务下发阶段,还包括初始化阶段、任务执行阶段和结果输出阶段。
在本发明实施例中,可以设置一个用户端可编辑的文本框,供用户在用户端手动输入任务参数,其中任务参数为待检测网站的首页地址,即URL链接。输入的方式包括但不限于:文本输入或者文件输入的方式。本发明实施例还可以设置一个可点击的提交按钮,用户点击提交按钮即可为WEB服务器下发任务。需要注意的是,每个任务均对应一个待检测网站,且每个待检测网站均对应一个URL链接。
步骤S102,若基于URL链接判断出待检测网站的首页存在目录遍历漏洞,则爬取待检测网站的待检测网页。
在本发明实施例中,目录遍历漏洞可以指待检测网站存在的程序设计缺陷,通过目录遍历漏洞可以实现对待检测网站的所有目录文件进行遍历。也就是说,本发明实施例通过URL链接可以访问待检测网站的首页,并在待检测网站的首页存在目录遍历漏洞的情况下,还可以尝试访问待检测网站的子目录,进而爬取待检测网站所有的待检测网页。
需要注意的是,在对存在目录遍历漏洞的待检测网站的首页进行检测时,可以从待检测网站的首页开始递归访问待检测网站的所有子页面,可以爬取到待检测网站的所有页面,其中,页面集合用B{b1,b2,b3,……,bn}表示,且待检测网站的每个页面b∈B。
本发明实施例可以访问待检测网站的首页并判断待检测网站的首页是否存在目录遍历漏洞的特征,目录遍历漏洞的特征包括但不限于:网页标题为:Index of、页面body存在:<h1>Directory Listing For等。待检测网站的首页存在上述特征之一即存在目录遍历漏洞,本发明实施例通过目录遍历漏洞可以遍历待检测网站的目录文件。
步骤S103,在待检测网页的代码与预设特征库中的WEB后门网页源代码相似的情况下,将待检测网页确定为WEB后门。
在本发明实施例中,预设特征库中的WEB后门网页可以指一个,也可以指多个,若存在多个时,分别将待检测网页的代码与预设特征库中的每一个WEB后门网页源代码都进行相似判断。其中,预设特征库为A,WEB后门网页a∈A。本发明实施例可以将步骤S102和步骤S103作为任务执行阶段。在确定WEB后门之后进入结果输出阶段,将确定为WEB后门的待检测网页输出。
本发明实施例利用SimHash算法计算待检测网页的代码与WEB后门网页源代码的相似度,若超过预设相似度值,则将计算结果确定为待检测网页与WEB后门网页源代码相似,将待检测网页确定为WEB后门。预设相似度值可以根据实际情况进行确定,包括但不限于80%、90%、98%、100%等。相似度值为80%、90%或98%,表示待检测网页的代码与WEB后门网页源代码相似;相似度值为100%,表示待检测网页的代码与WEB后门网页源代码相同。
SimHash算法为一种文本相似度匹配算法,通过SimHash算法可以计算两个文本(即待检测网页的代码与WEB后门网页源代码)的相似度。本发明实施例利用simHash算法判断待检测网站的页面b∈B与WEB后门网页a∈A是否相似。根据simHash(a)与simHash(b)之间的汉明距离,判断b与a是否相似,若相似,则将b判定为WEB后门。简单来说,本发明实施例利用simHash算法判断A,B中的元素是否相似,若
Figure BDA0002270594520000071
bi与aj相似,则将bi确定为WEB后门。
本发明实施例提供的一种基于网站漏洞的WEB后门检测方法,应用于WEB服务器,先接收任务,然后对任务中待检测网站的首页进行目录遍历漏洞检测,在待检测网站的首页存在目录遍历漏洞的基础上进行网站遍历,再爬取待检测网站的待检测网页,对待检测网页的代码与WEB后门网页源代码进行代码比对,最后将与WEB后门网页源代码相似的将待检测网页确定为WEB后门,因此本发明实施例可以及时、有效地发现WEB后门,进而保障用户服务器的安全性。
进一步的,参照图2,基于网站漏洞的WEB后门检测方法还包括以下步骤:
步骤S104,判断待检测网站的首页是否存在目录遍历漏洞。
在本发明实施例中,参照图3,步骤S104包括以下两个步骤:
步骤S201,确定URL链接是否为正常链接。
步骤S202,在确定URL链接为正常链接之后,基于预设规则判断待检测网站的首页是否存在目录遍历漏洞;其中,预设规则为:若待检测网站的首页存在预设特征,则待检测网站的首页存在目录遍历漏洞;其中,若确定出待检测网站的首页存在目录遍历漏洞,则爬取待检测网站的待检测网页。
进一步的,参照图4,步骤S201可以包括以下步骤:
步骤S301,基于URL链接访问待检测网站的首页,获取待检测网站的首页的源码。
步骤S302,将源码中与URL链接域名一致的链接确定为内链。
在本发明实施例中,基于URL链接访问待检测网站的首页,可以获取该URL链接的源码。源码中的链接可以指待检测网站的首页的超链接。内链为待检测网站的首页内,与URL链接域名一致的子链接。提取源码中所有的链接,并将与URL链接域名不一致的链接去掉,剩下的链接可以构成待检测网站的首页的内链集合。内链为超链接中与用户端输入的URL链接域名相同的链接。例如,URL链接为http://www.baidu.com,URL链接所对应的页面有两个超链接http://www.baidu.com/aaa.txt和http://www.qq.com/aaa.txt,那么http://www.baidu.com/aaa.txt为内链,http://www.qq.com/aaa.txt为非内链。由于只有内链才是待检测网站的链接,其他网站的链接无需考虑,因此对非内链进行删除,留下内链。
在本发明实施例中,若URL链接为www.hundsun.com,且待检测网站的首页中的一个链接为http://www.hundsun.com/images/1_07.gif?id=28:08:56,根据www.hundsun.com可以确定首页中该链接与URL链接域名一致,因此确定该链接为内链。
步骤S303,截取内链的目录链接,并基于目录链接访问内链的目录,得到响应码。
在本发明实施例中,从内链集合中可以截取每个内链的目录链接,例如:内链为http://www.aaa.com/dir/img.png,则该内链对应的目录链接为http://www.aaa.com/dir,基于目录链接,可以得到目录链接集合;依次通过http、get方式基于目录链接访问内链的目录,得到响应码。举例说明:若内链为http://www.hundsun.com/images/1_07.gif?id=28:08:56,则内链的目录链接为:http://www.hundsun.com/images。
例如,内链为http://www.baidu.com/a/b/1.txt,目录链接为:http://www.baidu.com/a或http://www.baidu.com/a/b,其中,域名为www.baidu.com后面的每一个“/”都代表一层目录。本发明实施例基于目录链接只访问内链的目录,不访问内链的文件。
步骤S304,判断响应码是否为预设响应码。
步骤S305,若响应码是预设响应码,则确定URL链接为正常链接。
在本发明实施例中,预设响应码可以为200。在http响应码中,2xx\3xx代表正常请求,而对于黑客上传的web后门对应的响应码一般为200,因此响应码为200的URL链接具有存在web后门的可能性,而不是200的URL链接确定不存在web后门,因此可以直接丢弃不是200的URL链接。
本发明实施例基于URL链接尝试访问待检测网站的首页,并判断响应码是否为200,若响应码为200,则URL链接为正常链接。若响应码不是200,则忽略URL链接。
进一步的,参照图2,本发明提供的另一种基于网站漏洞的WEB后门检测方法还包括以下步骤:
步骤S105,若判断出待检测网站的首页中不存在目录遍历漏洞,则确定待检测网站不存在WEB后门。
进一步的,参照图2,在步骤S101之前,基于网站漏洞的WEB后门检测方法包括以下步骤:
步骤S106,获取WEB后门网页源代码。
步骤S107,基于WEB后门网页源代码,构建预设特征库。
在本发明实施例中,可以将步骤S106和步骤S107作为初始化阶段。初始化阶段可以在任务下发阶段之前执行。在初始化阶段,基于WEB后门网页特征收集已经公开的WEB后门以及WEB后门网页源代码。本发明实施例对收集的方式不作具体限定。例如,方式一:从相关论坛下载WEB后门网页源代码。方式二:从相关开源的代码托管平台下载,如:github网站,在github网站上先搜索WEB后门,再下载WEB后门网页源代码。将方式一和方式二收集到的所有WEB后门网页源代码加入到A,每个WEB后门页面a∈A。
预设特征库可以称为WEB后门特征库,或称为页面特征匹配集合。预设特征库收集已经公布的WEB后门的源文件和网页源码。本发明实施例将待检测网页的代码与预设特征库中的WEB后门网页源代码进行特征匹配,完成相似度判断,进而确定该待检测网页是否为WEB后门。
由于及时发现并删除WEB后门,对于保障服务器的安全性非常关键。因此本发明实施例提供一种基于网站漏洞的WEB后门检测方法,利用待检测网站的目录遍历漏洞远程读取待检测网站的所有待检测网页的代码,再将远程访问到的待检测网页的代码与预设特征库中的WEB后门网页源代码比对,进而及时发现WEB后门。
进一步的,参照图2,在步骤S101之后,基于网站漏洞的WEB后门检测方法可以包括以下步骤:
步骤S108,判断URL链接是否规范。
步骤S109,若URL链接不规范,则对URL链接进行规范化处理。
在本发明实施例中,若URL链接在规范化处理后仍不规范,则剔除不规范的URL链接,提高检测效率。
本发明实施例的主要目的是在待检测网站被黑客植入WEB后门之后,利用待检测网站的漏洞遍历待检测网站的待检测网页,利用SimHash算法及时发现具有目录遍历漏洞的特定网站的WEB后门。
实施例二:
参照图5,本发明实施例提供的一种基于网站漏洞的WEB后门检测装置,其中,应用于WEB服务器,包括以下模块:
接收模块11,用于接收用户端输入的URL链接;其中,URL链接为待检测网站的首页与WEB服务器之间的链接;
爬取模块12,用于若基于URL链接判断出待检测网站的首页存在目录遍历漏洞,则爬取待检测网站的待检测网页;
第一确定模块13,用于在待检测网页的代码与预设特征库中的WEB后门网页源代码相似的情况下,将待检测网页确定为WEB后门。
本发明实施例提供的一种基于网站漏洞的WEB后门检测装置,应用于WEB服务器,先利用接收模块接收任务,然后对任务中待检测网站的首页进行目录遍历漏洞检测,在待检测网站的首页存在目录遍历漏洞的基础上进行网站遍历,利用爬取模块爬取待检测网站的待检测网页,对待检测网页的代码与WEB后门网页源代码进行代码比对,最后利用第一确定模块将与WEB后门网页源代码相似的将待检测网页确定为WEB后门,因此本发明实施例可以及时、有效地发现WEB后门,进而保障用户服务器的安全性。
进一步的,参照图6本发明实施例提供的另一种基于网站漏洞的WEB后门检测装置,还包括以下模块:
第一判断模块14,用于判断待检测网站的首页是否存在目录遍历漏洞。
其中,第一判断模块14可以包括以下单元:确定单元,用于确定URL链接是否为正常链接;判断单元,用于在确定URL链接为正常链接之后,基于预设规则判断待检测网站的首页是否存在目录遍历漏洞;其中,预设规则为:若待检测网站的首页存在预设特征,则待检测网站的首页存在目录遍历漏洞;其中,若确定出待检测网站的首页存在目录遍历漏洞,则爬取待检测网站的待检测网页。
进一步的,确定单元可以包括以下子单元:获取子单元,用于基于URL链接访问待检测网站的首页,获取待检测网站的首页的源码;确定子单元,用于将源码中与URL链接域名一致的链接确定为内链;截取子单元,用于截取内链的目录链接,并基于目录链接访问内链的目录,得到响应码;判断子单元,用于判断响应码是否为预设响应码;确定子单元,用于若响应码是预设响应码,则确定URL链接为正常链接。
在本发明实施例中,预设响应码为200。
进一步的,参照图6,本发明实施例提供的另一种基于网站漏洞的WEB后门检测装置,还包括以下模块:第二确定模块15,用于若判断出待检测网站的首页中不存在目录遍历漏洞,则确定待检测网站不存在WEB后门。
进一步的,参照图6,本发明实施例提供的另一种基于网站漏洞的WEB后门检测装置,还包括以下模块:获取模块16,用于获取WEB后门网页源代码;构建模块17,用于基于WEB后门网页源代码,构建预设特征库。
进一步的,参照图6,本发明实施例提供的另一种基于网站漏洞的WEB后门检测装置,还包括以下模块:第二判断模块18,用于判断URL链接是否规范;规范化处理模块19,用于若URL链接不规范,则对URL链接进行规范化处理。
在本发明的又一实施例中,还提供一种电子设备,包括存储器、处理器,所述存储器中存储有可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述方法实施例所述方法的步骤。
在本发明的又一实施例中,还提供一种具有处理器可执行的非易失的程序代码的计算机可读介质,所述程序代码使所述处理器执行方法实施例所述方法。
附图中的流程图和框图显示了根据本发明的多个实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
此外,术语“第一”、“第二”、“第三”仅用于描述目的,而不能理解为指示或暗示相对重要性。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。

Claims (10)

1.一种基于网站漏洞的WEB后门检测方法,其特征在于,应用于WEB服务器,包括:
接收用户端输入的URL链接;其中,所述URL链接为待检测网站的首页与所述WEB服务器之间的链接;所述URL链接为任务中的链接,所述任务由所述用户端下发,且每个所述任务均对应一个所述待检测网站,每个待检测网站均对应一个所述URL链接;所述URL链接由所述用户端在文本框内通过文本输入或者文件输入的方式输入;所述任务下发的动作由所述用户端点击提交按钮完成;
若基于所述URL链接判断出所述待检测网站的首页存在目录遍历漏洞,则爬取待检测网站的待检测网页;
利用SimHash算法计算所述待检测网页的代码与WEB后门网页源代码的相似度,若超过预设相似度值,则将计算结果确定为所述待检测网页的代码与预设特征库中的WEB后门网页源代码相似;
在所述待检测网页的代码与预设特征库中的WEB后门网页源代码相似的情况下,将所述待检测网页确定为WEB后门。
2.根据权利要求1所述的基于网站漏洞的WEB后门检测方法,其特征在于,所述方法还包括通过以下方式判断所述待检测网站的首页是否存在目录遍历漏洞:
确定所述URL链接是否为正常链接;
在确定所述URL链接为正常链接之后,基于预设规则判断所述待检测网站的首页是否存在目录遍历漏洞;其中,所述预设规则为:若所述待检测网站的首页存在预设特征,则所述待检测网站的首页存在目录遍历漏洞;其中,若确定出所述待检测网站的首页存在目录遍历漏洞,则爬取待检测网站的待检测网页。
3.根据权利要求2所述的基于网站漏洞的WEB后门检测方法,其特征在于,确定所述URL链接是否为正常链接,包括:
基于所述URL链接访问所述待检测网站的首页,获取所述待检测网站的首页的源码;
将所述源码中与所述URL链接域名一致的链接确定为内链;
截取所述内链的目录链接,并基于所述目录链接访问所述内链的目录,得到响应码;
判断响应码是否为预设响应码;
若所述响应码是所述预设响应码,则确定所述URL链接为正常链接。
4.根据权利要求3所述的基于网站漏洞的WEB后门检测方法,其特征在于,所述预设响应码为200。
5.根据权利要求1所述的基于网站漏洞的WEB后门检测方法,其特征在于,所述方法还包括:
若判断出所述待检测网站的首页中不存在目录遍历漏洞,则确定所述待检测网站不存在WEB后门。
6.根据权利要求1所述的基于网站漏洞的WEB后门检测方法,其特征在于,在接收用户端输入的URL链接之前,包括:
获取WEB后门网页源代码;
基于所述WEB后门网页源代码,构建所述预设特征库。
7.根据权利要求1所述的基于网站漏洞的WEB后门检测方法,其特征在于,在接收用户端输入的URL链接之后,包括:
判断所述URL链接是否规范;
若所述URL链接不规范,则对所述URL链接进行规范化处理。
8.一种基于网站漏洞的WEB后门检测装置,其特征在于,应用于WEB服务器,包括:
接收模块,用于接收用户端输入的URL链接;其中,所述URL链接为待检测网站的首页与所述WEB服务器之间的链接;所述URL链接为任务中的链接,所述任务由所述用户端下发,且每个所述任务均对应一个所述待检测网站,每个待检测网站均对应一个所述URL链接;所述URL链接由所述用户端在文本框内通过文本输入或者文件输入的方式输入;所述任务下发的动作由所述用户端点击提交按钮完成;
爬取模块,用于若基于所述URL链接判断出所述待检测网站的首页存在目录遍历漏洞,则爬取待检测网站的待检测网页;
所述装置,还用于利用SimHash算法计算所述待检测网页的代码与WEB后门网页源代码的相似度,若超过预设相似度值,则将计算结果确定为所述待检测网页的代码与预设特征库中的WEB后门网页源代码相似;
第一确定模块,用于在所述待检测网页的代码与预设特征库中的WEB后门网页源代码相似的情况下,将所述待检测网页确定为WEB后门。
9.一种电子设备,包括存储器、处理器,所述存储器中存储有可在所述处理器上运行的计算机程序,其特征在于,处理器执行计算机程序时实现如权利要求1至7任一项所述的方法。
10.一种具有处理器可执行的非易失的程序代码的计算机可读介质,其特征在于,所述程序代码使所述处理器执行如权利要求1至7任一项所述的方法。
CN201911109467.9A 2019-11-13 2019-11-13 基于网站漏洞的web后门检测方法及装置 Active CN110851840B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911109467.9A CN110851840B (zh) 2019-11-13 2019-11-13 基于网站漏洞的web后门检测方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911109467.9A CN110851840B (zh) 2019-11-13 2019-11-13 基于网站漏洞的web后门检测方法及装置

Publications (2)

Publication Number Publication Date
CN110851840A CN110851840A (zh) 2020-02-28
CN110851840B true CN110851840B (zh) 2022-03-11

Family

ID=69601610

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911109467.9A Active CN110851840B (zh) 2019-11-13 2019-11-13 基于网站漏洞的web后门检测方法及装置

Country Status (1)

Country Link
CN (1) CN110851840B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112667092A (zh) * 2020-12-22 2021-04-16 江苏千米网络科技股份有限公司 Webshell页面中文字获取的方法、装置、设备和存储介质
CN115378695A (zh) * 2022-08-19 2022-11-22 安天科技集团股份有限公司 克隆网页检测方法及装置

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102446255A (zh) * 2011-12-30 2012-05-09 奇智软件(北京)有限公司 一种检测页面篡改的方法及装置
CN102647421A (zh) * 2012-04-09 2012-08-22 北京百度网讯科技有限公司 基于行为特征的web后门检测方法和装置
CN103312692A (zh) * 2013-04-27 2013-09-18 深信服网络科技(深圳)有限公司 链接地址安全性检测方法及装置
CN103607413A (zh) * 2013-12-05 2014-02-26 北京奇虎科技有限公司 一种网站后门程序检测的方法及装置
CN103902476A (zh) * 2013-12-27 2014-07-02 哈尔滨安天科技股份有限公司 一种基于非授信的网页后门检测方法及系统
CN104618343A (zh) * 2015-01-06 2015-05-13 中国科学院信息工程研究所 一种基于实时日志的网站威胁检测的方法及系统
CN105760379A (zh) * 2014-12-16 2016-07-13 中国移动通信集团公司 一种基于域内页面关联关系检测 webshell 页面的方法及装置

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2608487A1 (en) * 2011-12-22 2013-06-26 Thibaud Arnault Method, system and computer program product for providing composite web application
CN103561012B (zh) * 2013-10-28 2017-01-25 中国科学院信息工程研究所 一种基于关联树的web后门检测方法及系统
CN107888554B (zh) * 2016-09-30 2020-09-01 腾讯科技(深圳)有限公司 服务器攻击的检测方法和装置
CN106572117B (zh) * 2016-11-11 2019-10-18 北京安普诺信息技术有限公司 一种WebShell文件的检测方法和装置
CN108206802B (zh) * 2016-12-16 2020-11-17 华为技术有限公司 检测网页后门的方法和装置
CN107566371B (zh) * 2017-09-05 2020-08-18 成都知道创宇信息技术有限公司 一种面向海量日志的WebShell挖掘方法

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102446255A (zh) * 2011-12-30 2012-05-09 奇智软件(北京)有限公司 一种检测页面篡改的方法及装置
CN102647421A (zh) * 2012-04-09 2012-08-22 北京百度网讯科技有限公司 基于行为特征的web后门检测方法和装置
CN103312692A (zh) * 2013-04-27 2013-09-18 深信服网络科技(深圳)有限公司 链接地址安全性检测方法及装置
CN103607413A (zh) * 2013-12-05 2014-02-26 北京奇虎科技有限公司 一种网站后门程序检测的方法及装置
CN103902476A (zh) * 2013-12-27 2014-07-02 哈尔滨安天科技股份有限公司 一种基于非授信的网页后门检测方法及系统
CN105760379A (zh) * 2014-12-16 2016-07-13 中国移动通信集团公司 一种基于域内页面关联关系检测 webshell 页面的方法及装置
CN104618343A (zh) * 2015-01-06 2015-05-13 中国科学院信息工程研究所 一种基于实时日志的网站威胁检测的方法及系统

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
恶意移动代码传播与监测模型研究;马莉波;《中国博士学位论文全文数据库 信息科技辑》;20110415(第04期);第I139-19页 *
运营商网络流量安全监测系统的设计与实现;舒园园;《中国优秀硕士学位论文全文数据库 信息科技辑》;20180415(第04期);第I139-116页 *

Also Published As

Publication number Publication date
CN110851840A (zh) 2020-02-28

Similar Documents

Publication Publication Date Title
Iqbal et al. The ad wars: retrospective measurement and analysis of anti-adblock filter lists
US10511616B2 (en) Method and system for detecting and remediating polymorphic attacks across an enterprise
Gupta et al. Enhancing the browser-side context-aware sanitization of suspicious HTML5 code for halting the DOM-based XSS vulnerabilities in cloud
Gupta et al. XSS-secure as a service for the platforms of online social network-based multimedia web applications in cloud
US20240121266A1 (en) Malicious script detection
Costin et al. A {Large-scale} analysis of the security of embedded firmwares
CN105553917B (zh) 一种网页漏洞的检测方法和系统
US10972488B2 (en) Method and system for modeling all operations and executions of an attack and malicious process entry
CN109474640B (zh) 恶意爬虫检测方法、装置、电子设备及存储介质
US7860971B2 (en) Anti-spam tool for browser
KR101899589B1 (ko) 안전 소프트웨어 인증 시스템 및 방법
CN107992738B (zh) 一种账号登录异常检测方法、装置及电子设备
Barua et al. Server side detection of content sniffing attacks
CN101631108A (zh) 为网络服务器的防火墙产生规则文件的方法和系统
US20090287641A1 (en) Method and system for crawling the world wide web
CN110851840B (zh) 基于网站漏洞的web后门检测方法及装置
CN110909229A (zh) 一种基于模拟浏览器访问的网页数据获取和存储的系统
KR101902747B1 (ko) 클라이언트 측 웹 취약점 분석 방법 및 장치
JP6708794B2 (ja) 判定装置、判定方法、および、判定プログラム
CN112291258B (zh) 网关风险控制方法及装置
CN103473501A (zh) 一种基于云安全的恶意软件追踪方法
CN108667766A (zh) 文件探测方法及文件探测装置
CN110851838A (zh) 一种基于互联网的云测试系统及安全测试方法
CN113726790A (zh) 网络攻击源的识别和封堵方法、系统、装置及介质
CN103312692A (zh) 链接地址安全性检测方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant