CN111740992B - 网站安全漏洞检测方法、装置、介质及电子设备 - Google Patents
网站安全漏洞检测方法、装置、介质及电子设备 Download PDFInfo
- Publication number
- CN111740992B CN111740992B CN202010568916.2A CN202010568916A CN111740992B CN 111740992 B CN111740992 B CN 111740992B CN 202010568916 A CN202010568916 A CN 202010568916A CN 111740992 B CN111740992 B CN 111740992B
- Authority
- CN
- China
- Prior art keywords
- request
- detection
- tested
- user
- rule
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Abstract
本公开涉及一种网站安全漏洞检测方法、装置、介质及电子设备,所述方法包括:响应于漏洞检测启动指令,基于所述浏览器插件获取用户当前访问网站的交互数据;根据所述交互数据确定待测试请求,所述待测试请求为所述用户访问网站过程中发起的请求;确定与所述待测试请求对应的检测规则;根据所述检测规则和所述待测试请求进行安全漏洞检测。因此,可以提高用户信息数据的安全性,可以降低获得请求列表所需的人工工作量,可以适用于业务更新迭代的场景,拓宽该安全漏洞检测方法的适用范围,该方法可以应用于浏览器插件,因此只需要在安装浏览器的情况下便可以运行,无需安装其他的检测软件,并且可以支持跨操作系统平台检测。
Description
技术领域
本公开涉及安全检测技术领域,具体地,涉及一种网站安全漏洞检测方法、装置、介质及电子设备。
背景技术
随着计算机技术的发展,各类网站在人们的生活中扮演着越来越重要的角色,用户对网站的安全性要求也越来越高。为了提高网站的安全性,通常会对网站进行安全漏洞检测,从而可以及时发现网站存在的不安全风险。
现有技术中,在对网站安全性进行测试时,可以通过黑盒测试方法进行测试,通过获取网站对应的请求列表,从而对各个请求进行测试。在获取请求列表时,可以通过人工梳理或者基于爬虫技术进行爬取,但人工梳理请求难以适应网站业务的变化,爬虫技术获得的请求覆盖范围有限。或者可以通过配置代理服务器的方式获得请求列表,该方式中需要安装特定的软件才能使用,并且会出现泄露用户信息的问题。
发明内容
提供该发明内容部分以便以简要的形式介绍构思,这些构思将在后面的具体实施方式部分被详细描述。该发明内容部分并不旨在标识要求保护的技术方案的关键特征或必要特征,也不旨在用于限制所要求的保护的技术方案的范围。
第一方面,本公开提供一种网站安全漏洞检测方法,所述方法包括:
响应于漏洞检测启动指令,基于所述浏览器插件获取用户当前访问网站的交互数据;
根据所述交互数据确定待测试请求,其中,所述待测试请求为所述用户访问网站过程中发起的请求;
确定与所述待测试请求对应的检测规则;
根据所述检测规则和所述待测试请求进行安全漏洞检测。
第二方面,本公开提供一种网站安全漏洞检测装置,所述装置包括:
获取模块,用于响应于漏洞检测启动指令,基于所述浏览器插件获取用户当前访问网站的交互数据;
第一确定模块,用于根据所述交互数据确定待测试请求,其中,所述待测试请求为所述用户访问网站过程中发起的请求;
第二确定模块,用于确定与所述待测试请求对应的检测规则;
检测模块,用于根据所述检测规则和所述待测试请求进行安全漏洞检测。
第三方面,本公开提供一种计算机可读介质,其上存储有计算机程序,该程序被处理装置执行时实现所述网站安全漏洞检测方法的步骤。
第四方面,本公开提供一种电子设备,包括:
存储装置,其上存储有计算机程序;
处理装置,用于执行所述存储装置中的所述计算机程序,以实现所述网站安全漏洞检测方法的步骤。
在上述技术方案中,响应于漏洞检测启动指令,基于浏览器插件获取用户当前访问网站的交互数据,从而可以根据交互数据确定待测试请求,通过确定与待测试请求对应的检测规则,则可以根据检测规则和待测试请求进行安全漏洞检测。因此,通过上述技术方案,可以基于浏览器插件获取用户访问网站的交互数据,在用户本地实现安全漏洞检测,无需将用户访问网站产生的交互数据发送至第三方,从而可以避免用户信息数据被泄露的风险,提高用户信息数据的安全性,并且无需第三方代理,因此不会影响用户正常的网站网页浏览操作,保证返回响应页面的效率。并且,可以直接从用户正常访问网站的交互数据中确定待测试请求,既可以有效降低获得请求列表所需的人工工作量,可以适用于业务更新迭代的场景,拓宽该安全漏洞检测方法的适用范围,同时也可以保证待测试请求的覆盖范围,提高该安全漏洞检测方法的检测的全面性和准确性,为保证网站安全提供准确地技术支持。另外,本公开中所提供的网站安全漏洞检测方法可以应用于浏览器插件,因此只需要在安装浏览器的情况下便可以运行,无需安装其他的检测软件,从而可以支持跨操作系统平台检测,进一步拓宽网站安全漏洞检测方法的适用范围。
本公开的其他特征和优点将在随后的具体实施方式部分予以详细说明。
附图说明
结合附图并参考以下具体实施方式,本公开各实施例的上述和其他特征、优点及方面将变得更加明显。贯穿附图中,相同或相似的附图标记表示相同或相似的元素。应当理解附图是示意性的,原件和元素不一定按照比例绘制。在附图中:
图1是根据本公开的一种实施方式提供的网站安全漏洞检测方法的流程图;
图2A、2B是根据本公开的一种实施方式提供的结果显示界面的示意图;
图3是根据本公开的一种实施方式提供的规则选择界面的示意图;
图4是根据本公开的一种实施方式提供的根据检测规则对待测试请求进行安全漏洞检测的示例性实现方式的流程图;
图5是根据本公开的一种实施方式提供的网站安全漏洞检测装置的框图;
图6是根据本公开的一种实施方式提供的电子设备的结构示意图。
具体实施方式
下面将参照附图更详细地描述本公开的实施例。虽然附图中显示了本公开的某些实施例,然而应当理解的是,本公开可以通过各种形式来实现,而且不应该被解释为限于这里阐述的实施例,相反提供这些实施例是为了更加透彻和完整地理解本公开。应当理解的是,本公开的附图及实施例仅用于示例性作用,并非用于限制本公开的保护范围。
应当理解,本公开的方法实施方式中记载的各个步骤可以按照不同的顺序执行,和/或并行执行。此外,方法实施方式可以包括附加的步骤和/或省略执行示出的步骤。本公开的范围在此方面不受限制。
本文使用的术语“包括”及其变形是开放性包括,即“包括但不限于”。术语“基于”是“至少部分地基于”。术语“一个实施例”表示“至少一个实施例”;术语“另一实施例”表示“至少一个另外的实施例”;术语“一些实施例”表示“至少一些实施例”。其他术语的相关定义将在下文描述中给出。
需要注意,本公开中提及的“第一”、“第二”等概念仅用于对不同的装置、模块或单元进行区分,并非用于限定这些装置、模块或单元所执行的功能的顺序或者相互依存关系。
需要注意,本公开中提及的“一个”、“多个”的修饰是示意性而非限制性的,本领域技术人员应当理解,除非在上下文另有明确指出,否则应该理解为“一个或多个”。
本公开实施方式中的多个装置之间所交互的消息或者信息的名称仅用于说明性的目的,而并不是用于对这些消息或信息的范围进行限制。
如背景技术中所述,在对网站进行安全漏洞检测时,需要获取网站中的各个请求,该请求可以通过人工梳理的方式获得,即工作人员可以根据开发手册等对各个请求的信息进行梳理;或者可以通过爬虫技术从该网站爬取获得;或者可以通过配置代理服务器的方式获得请求列表。申请人通过研究发现,上述过程中,通过人工梳理的方式的过程业务量大,难以适应网站的快速更新迭代;而通过爬虫技术可以获得的数据有限,导致获得的请求覆盖范围有限;而在基于代理服务器时,需要将浏览网站的流量代理至该代理服务器,不仅会对用户对网页的正常浏览产生影响,还有可能会泄露用户信息和网站的请求信息。
基于此,为了解决上述问题,本公开提供以下实施例。图1所示,为根据本公开的一种实施方式提供的网站安全漏洞检测方法的流程图,该方法可以应用于浏览器插件,如图1所示,所述方法包括:
在步骤11中,响应于漏洞检测启动指令,基于浏览器插件获取用户当前访问网站的交互数据。
作为示例,用户可以通过可视化界面触发该漏洞检测启动指令,例如在浏览器启动时,可以在浏览器界面中显示一用于触发该漏洞检测启动指令的按钮,则用户可以通过点击该按钮触发该漏洞检测启动指令,即开始漏洞检测功能。作为另一示例,该漏洞检测启动指令可以通过鼠标右键触发。
在该步骤中,在接收到漏洞检测启动指令时,表示用户想要进行网站安全漏洞检测,此时响应于该漏洞检测启动指令,基于浏览器插件获取用户访问网站的交互数据。示例地,用户通过点击按钮触发漏洞检测启动指令,之后在用户浏览网站网页的过程中,则可以通过浏览器插件获得用户进行正常浏览过程中的交互数据(例如浏览器发起的请求、服务端反馈的响应等),即该步骤中是在用户本地获取该交互数据,保证用户信息和网站信息的安全性。
在步骤12中,根据交互数据确定待测试请求,其中,所述待测试请求为所述用户访问网站过程中发起的请求。
示例地,在用户正常浏览网站网页,获取其中的每个资源都对应一个单独的请求,如获取网站A中的个人信息页时,会发起多个请求,以获得该个人信息页中的多个资源内容,例如,用于获得用户头像的请求,用于获得用户的电话号码、年龄、点赞数、评论数等的请求,可以通过获取交互数据以从交互数据中获得其中的各个请求。其中,对交互数据进行分析获得请求的方式可以通过现有的数据解析方式确定,如基于数据分析确定请求对应的ip或者网址等,在此不再赘述。
作为示例,可以将基于交互数据确定出的各个请求均确定为待测试请求,以基于各个请求进行检测。
作为另一示例,所述根据所述交互数据确定待测试请求,可以包括:
获取所述交互数据对应的各个请求,将所述各个请求中用于获得非静态资源的请求确定为所述待测试请求。其中,用于获得静态资源的请求可以为无需查询数据库、无需程序处理,可以直接显示页面的请求,如用于获得用户头像的请求;用于获得非静态资源的请求为需要程序处理或者需要从数据库中读取数据,根据不同的条件在页面中显示不同的数据的请求,如用于获得用户的电话号码、年龄、点赞数、评论数等的请求。
由上文所述可知,用于获得静态资源的请求一般用于直接进行页面显示,其出现安全性漏洞的风险较低,在该实施例中,在对网站进行安全漏洞检测时,可以无需对该部分请求进行检测,因此,在该实施例中,在确定出交互数据对应的各个请求后,可以将各个请求中用于获得非静态资源的请求确定为所述待测试请求,既可以对网站进行安全漏洞检测,又可以在保证网站安全漏洞检测的准确性的同时,降低检测的数据量,提高网站安全漏洞检测效率。
在步骤13中,确定与待测试请求对应的检测规则。
示例地,该检测规则可以包括越权漏洞、CSRF(Cross-site request forgery,跨站请求伪造)、敏感信息泄露、XSS(Cross Site Scripting,跨站脚本攻击)、JSONP(JSONwith Padding)劫持、CORS(Cross-Origin Resource Sharing,跨域资源共享)配置错误、CRLF(Carriage-Return Line-Feed,回车换行)等检测对应的规则。作为另一示例,该检测规则中还可以包含用户自定义的规则。
在步骤14中,根据检测规则和待测试请求进行安全漏洞检测。
示例地,根据所述检测规则和所述待测试请求进行安全漏洞检测时,可以先根据该检测规则和待测试请求,确定与所述检测规则对应的检测请求,从而通过该检测请求进行安全漏洞检测。
示例地,若确定出的待测试请求requestA中包含参数a,a=1,检测规则R1为在检测请求中增加参数b,b=1,返回响应中包含参数X,由此,根据该检测规则和待测试请求,确定与所述检测规则对应的检测请求requestA1中包含参数a和b,a=1,b=1。之后向服务端发送该检测请求requestA1,若服务端的返回响应中包含参数X,则确定命中检测规则R1,即该网站存在检测规则R1对应的安全漏洞,若返回响应中不包含参数X,则未命中检测规则R1,即该网站不存在检测规则R1对应的安全漏洞。
在上述技术方案中,响应于漏洞检测启动指令,基于浏览器插件获取用户当前访问网站的交互数据,从而可以根据交互数据确定待测试请求,通过确定与待测试请求对应的检测规则,则可以根据检测规则和待测试请求进行安全漏洞检测。因此,通过上述技术方案,可以基于浏览器插件获取用户访问网站的交互数据,在用户本地实现安全漏洞检测,无需将用户访问网站产生的交互数据发送至第三方,从而可以避免用户信息数据被泄露的风险,提高用户信息数据的安全性,并且无需第三方代理,因此不会影响用户正常的网站网页浏览操作,保证返回响应页面的效率。并且,可以直接从用户正常访问网站的交互数据中确定待测试请求,既可以有效降低获得请求列表所需的人工工作量,可以适用于业务更新迭代的场景,拓宽该安全漏洞检测方法的适用范围,同时也可以保证待测试请求的覆盖范围,提高该安全漏洞检测方法的检测的全面性和准确性,为保证网站安全提供准确地技术支持。另外,本公开中所提供的网站安全漏洞检测方法可以应用于浏览器插件,因此只需要在安装浏览器的情况下便可以运行,无需安装其他的检测软件,从而可以支持跨操作系统平台检测,进一步拓宽网站安全漏洞检测方法的适用范围。
可选地,在根据检测规则和待测试请求进行安全漏洞检测之后,可以通过可视化的结果显示界面对检测结果进行显示,如图2A所示,从而可以便于用户对检测结果进行查看,及时发现网站的安全问题。示例地,可以根据检测结果对应的风险对检测结果进行分类,例如可以分为安全、存疑、漏洞三类。因此,在结果显示界面中,可以响应于用户的结果选择指令,显示该结果选择指令指示的分类对应的检测结果,如图2A中所示,区域Q用于进行检测结果分类查看,若用户想要查看“漏洞”类型的检测结果,则可以通过区域Q选择“漏洞”,得出结果显示界面如图2B所示。
为了使本领域技术人员更加理解本发明实施例提供的技术方案,下面对上述步骤进行详细的说明。
示例地,在对网站进行安全漏洞检测时,针对常用的检测规则,可以将其预先配置在规则集合中,如上文中所述的CSRF、敏感信息泄露、XSS等。而在实际使用场景下,可能会因为业务变化而出现新的安全检测要求,此时为保证安全检测的全面性,本公开还提供以下实施例,可以支持用户自定义用于进行安全漏洞检测的规则。
可选地,所述方法还可以包括:
显示规则配置界面,其中,所述规则配置界面中承载有待设置项供用户设置。
在该步骤中,用户可以通过可视化界面对规则进行配置,从而可以降低对用户的技术要求。示例地,该待设置项可以包括但不限于以下中的至少一者:权限设置项、请求设置项、响应设置项和频率设置项。其中,所述权项设置项可以用于约束何种权限的角色可以访问该请求,例如,普通用户无法访问请求C,VIP用户可以访问请求C;所述请求设置项用于约束如何根据待测试请求确定检测请求的规范,如对待测试请求中的cookie进行重新构建以生成检测请求;响应设置项用于约束检测请求的返回响应,如返回响应的数据中是否包含敏感信息;频率设置项用于对IP、角色、频率等的访问控制,例如VIP用户1分钟内返回响应的频率为20次。
之后,用户可以在规则配置界面中选择其想要进行配置的待设置项进行配置,则响应于用户在所述规则配置界面中针对所述待设置项中的目标设置项的输入操作,根据所述目标设置项和用户输入的内容生成候选检测规则;
将所述候选检测规则存储至规则集合中;
所述确定与所述待测试请求对应的检测规则,包括:
从所述规则集合中确定与所述待测试请求对应的检测规则。
在该实施例中,在规则配置界面中可以显示有待设置项,因此,用户可以对实际使用场景中的安全检测要求进行分析,从而确定其需要进行配置的待设置项,即该目标设置项。之后可以在该规则配置界面中针对每一目标设置项输入对应的条件,从而可以响应于用户的输入操作基于目标设置项及用户针对该每一目标设置项输入的内容生成候选检测规则。例如,用户在权项设置项中输入VIP,则最终生成的候选检测规则中则会包含“权限:VIP”的记录。生成候选检测规则之后将其存储在规则集合中,从而在确定该待测试请求对应的检测规则时,可以直接从该规则集合中确定,便于后续检测过程中该候选检测规则的复用。
在上述技术方案中,用户可以基于规则配置界面自定义用于进行安全漏洞检测的规则,并且在该规则配置界面中显示有待配置项,可以在用户进行自定义规则设置对用户进行提示,既便于用户使用,又可以避免用户遗漏部分待设置项,提高自定义的候选检测规则的准确性。并且可以基于可视化界面进行配置,用户无需编写代码,降低对用户的技术要求,进一步提升用户使用体验,拓宽该网站安全漏洞检测方法的使用范围。
可选地,在步骤13中,确定与待测试请求对应的检测规则的示例性实现方式如下,该步骤可以包括以下中的至少一者:
第一种方式,根据预先设置的请求类型与规则的对应关系,将所述对应关系中与所述待测试请求的请求类型对应的规则确定为所述检测规则。
示例地,在实际使用场景中,某些网站在进行安全漏洞检测时,针对某些请求可能会有需要进行安全漏洞检测的基本项,例如查询个人信息页的请求需要进行越权漏洞检测、敏感信息泄露检测等,因此针对该类请求,可以预先设置其对应的规则,获得对应关系。因此,在确定待测试请求为该类请求时,可以直接将越权漏洞检测、敏感信息泄露检测对应的规则确定为检测规则,从而进行后续检测。需要进行说明的是,用户可以通过取消选择以从对应关系确定的检测规则中进行规则删除,从而提高检测规则的准确性和合理性。
第二种方式,显示规则选择界面,并响应于用户在所述规则选择界面中的选择操作,将用户选择的目标规则类型的规则确定为所述检测规则,其中,所述规则选择界面中承载有多个备选规则供用户选择,该多个备选规则可以是规则集合中的各个候选检测规则。
示例地,如图3所示为该规则选择界面,在该规则选择界面中可以显示预先设置的各个规则以及用户自定义的候选检测规则,因此,用户可以从该多个备选规则中选择需要进行安全漏洞检测的规则。如图3所示,用户选择JSONP劫持、敏感信息泄露等规则,则该实施例中,则可以将JSONP劫持、敏感信息泄露对应的规则确定为检测规则,从而进行后续检测。
示例地,在同时存在第一种方式和第二种方式确定的规则时,可以根据实际使用场景进行设置。例如,在一种可能的实施方式中,可以只将第二种方式中用户选择出的规则确定为候选检测规则;在另一种可能的实施方式中,可以将第一种方式中根据对应关系自动确定出的规则和第二种方式中用户选择出的规则均确定为检测规则。
由此,通过上述技术方案,在进行安全漏洞检测时,无需进行全部的规则检测,可以根据实际使用场景按需选择检测规则以进行相应的安全漏洞检测,从而在保证网站安全漏洞检测的准确性的同时,避免进行不必要的检测所造成的资源浪费,提高网站安全漏洞检测的效率。
在实际使用场景中,越权漏洞检测为进行网站安全漏洞检测的常用漏洞检测,其中,越权漏洞是指绕过权限检查,访问或操作原本无权访问的高权限功能,例如,用户U一般只能够对自己本身的信息进行增删改查,然而若网站中在信息进行增删改查时未进行用户判断,会导致用户U可以对其他用户进行增删改查等等操作,此时则出现越权漏洞。现有技术在进行越权漏洞检测时,通常需要用户手动更改用户信息以进行检测,为了进一步提高网站安全漏洞检测的自动化,降低人工工作量,本公开还提供以下实施例。
示例地,所述待测试请求对应的检测规则的类型为越权漏洞检测。在步骤14中,根据检测规则对待测试请求进行安全漏洞检测的示例性实现方式如下,如图4所示,该步骤可以包括:
在步骤41中,获取待测试请求中携带的第一身份标识信息,示例地,可以对待测试请求中的数据进行解析,获得该第一身份标识信息,可以是用户ID,cookie标识等用于唯一标识用户的信息,本公开对此不进行限定。
在步骤42中,从身份标识信息集中获取第二身份标识信息,其中,所述第二身份标识信息与所述第一身份标识信息不同。
示例地,所述身份标识信息集通过以下中的至少一种方式获得:
第一种方式,显示身份标识设置界面,响应于用户在所述身份标识设置界面中的输入操作,将用户输入的身份标识信息添加至身份标识信息集中。
在该实施例中,用户可以身份设置界面输入用于进行越权漏洞检测的身份标识,示例地,用户输入用户U1-UN共N个身份标识信息,每一身份标识信息不同,从而可以将该N个身份标识信息添加至身份标识信息集中。
第二种方式,将所述交互数据对应的每一请求中携带的身份标识信息添加至所述身份标识信息集中。
由于在进行越权漏洞检测时,通常使用其他用户身份标识信息进行测试,对其他用户身份标识信息的类型不做要求。因此,在该实施例中,可以直接从获得的交互数据中的每一请求中提取其携带的身份标识信息,从而将该提取出的身份标识信息添加至身份标识信息集,进一步简化用户操作,便于用户使用,提高网站安全漏洞检测的自动化水平。
示例地,可以从该身份标识信息集中随机选择一个与第一身份标识信息不同的身份标识信息确定为该第二身份标识信息。
在步骤43中,以第二身份标识信息替换待测试请求中的第一身份标识信息,获得检测请求。
示例地,该待测试请求用于获得用户U的电话号码,用户U的第一身份标识信息为K1;在生成检测请求时,确定出的第二身份标识信息为K2,则可以将K2替换待测试请求中的K1,即在发起的检测请求中携带的是第二身份标识信息。
在步骤44中,基于检测请求进行安全漏洞检测。
示例地,可以通过向服务端发送检测请求,从而可以获得服务端返回的与检测请求对应的检测响应信息。在该检测响应信息与交互数据中与待检测请求对应的响应信息相同的情况下,确定待测试请求存在安全漏洞。
其中,接上述示例,向服务发起该待测试请求对应的响应消息中包含该用户U的电话号码,通过向服务端发送该检测请求,则可以获得与该检测请求对应的检测响应信息。由于在检测请求中不是用户U的身份标识信息,若在检测响应信息中同样包含该用户U的电话号码,即检测响应信息与交互数据中与待检测请求对应的响应信息相同,则表示该检测请求绕过了权限检测,即存在越权漏洞。
由此,通过上述技术方案,在进行越权漏洞检测时,可以基于身份标识信息集进行自动化检测,无需用户手动操作,可以有效降低人工工作量,并且可以提高越权漏洞检测的效率和准确度,提升用户使用体验。
可选地,为了进一步提高网站安全漏洞检测的效率,本公开还提供以下实施例,所述方法还包括:
响应于接收到共享指令,向所述共享指令指示的待共享终端发送所述共享指令指示的目标共享信息,其中,所述目标共享信息包括以下中的至少一者:所述交互数据、根据所述检测规则和所述待测试请求进行安全漏洞检测的检测结果。
其中,该共享指令可以通过可视化界面中的按钮获得鼠标右键触发生成,具体实现方式已在上文详述,在此不再赘述。示例地,用户A进行了一次网站安全漏洞检测后,可以将其本次过程中的交互数据、根据所述检测规则和所述待测试请求进行安全漏洞检测的检测结果中的至少一者共享给其他用户。
示例地,用户A通过可视化界面的中按钮触发共享指令,用户A选择的共享用户为用户B,则该共享指令指示的待共享终端即为用户B对应的终端。在一种可能的实施例中,目标共享信息可以为交互数据,则用户B可以在未进行页面浏览的情况下,通过用户A分享的交互数据确定待测试的请求,从而可以通过不同用户之间共享该交互数据,使得其他用户无需进行访问网站的交互操作便可以获得交互数据,之后则可以直接基于该交互数据确定待测试的请求。其中,基于交互数据确定待测试请求的方式已在上文进行详述,在此不再赘述。在不同用户基于同一交互数据进行测试时,对应的待测试请求可以相同、也可以不同,其可以根据实际使用场景进行设置。如用户A设置将交互数据中对应的每一请求均作为待测试请求,用户B设置将交互数据中用于获得非静态资源的请求确定为待测试请求。在另一种可能的实施例中,目标共享信息可以为根据所述检测规则和所述待测试请求进行安全漏洞检测的检测结果,即用户A将其对应的检测结果发送给用户B,则用户B在确定出其对应的检测结果,可以基于用户A对应的检测结果及用户B对应的检测结果确定该网站中在用户A对应的检测结果中存在的安全漏洞是否被优化,由此可以进一步提升网站安全漏洞检测的效率,并进一步降低人工工作量,并且便于对网站安全性的持续测试。可选地,所述目标共享信息还可以包括用户通过规则配置界面进行配置而生成的候选检测规则,如用户A针对请求配置候选检测规则R后,可以将该候选检测规则发送至用户B,则可以在用户B需要针对同一请求进行与该候选检测规则R相同的检测时,直接使用该候选检测规则,无需手动配置,由此可以避免多个用户基于同一请求进行多次相同的规则配置,减少用户操作,进一步提高网站安全漏洞检测的自动化水平。
本公开还提供一种网站安全漏洞检测装置,应用于浏览器插件,如图5所示,所述装置10包括:
获取模块100,用于响应于漏洞检测启动指令,基于所述浏览器插件获取用户当前访问网站的交互数据;
第一确定模块200,用于根据所述交互数据确定待测试请求,其中,所述待测试请求为所述用户访问网站过程中发起的请求;
第二确定模块300,用于确定与所述待测试请求对应的检测规则;
检测模块400,用于根据所述检测规则和所述待测试请求进行安全漏洞检测。
可选地,所述待测试请求对应的检测规则的类型为越权漏洞检测;
所述检测模块包括:
第一获取子模块,用于获取所述待测试请求中携带的第一身份标识信息;
第二获取子模块,用于从身份标识信息集中获取第二身份标识信息,其中,所述第二身份标识信息与所述第一身份标识信息不同;
替换子模块,用于以所述第二身份标识信息替换所述待测试请求中的所述第一身份标识信息,获得检测请求;
检测子模块,用于基于所述检测请求进行安全漏洞检测。
可选地,所述身份标识信息集通过以下方式获得:
显示身份标识设置界面,响应于用户在所述身份标识设置界面中的输入操作,将用户输入的身份标识信息添加至身份标识信息集中;
将所述交互数据对应的每一请求中携带的身份标识信息添加至所述身份标识信息集中。
可选地,所述装置还包括:
显示模块,用于显示规则配置界面,其中,所述规则配置界面中承载有待设置项供用户设置;
生成模块,用于响应于用户在所述规则配置界面中针对所述待设置项中的目标设置项的输入操作,根据所述目标设置项和用户输入的内容生成候选检测规则;
存储模块,用于将所述候选检测规则存储至规则集合中;
所述第二确定模块用于:
从所述规则集合中确定与所述待测试请求对应的检测规则。
可选地,所述待设置项包括以下中的至少一者:权限设置项、请求设置项、响应设置项和频率设置项。
可选地,所述第二确定模块包括:
第一确定子模块,用于显示规则选择界面,并响应于用户在所述规则选择界面中的选择操作,将用户选择的目标规则类型的规则确定为所述检测规则,其中,所述规则选择界面中承载有多个备选规则供用户选择。
可选地,所述第一确定模块包括:
第三获取子模块,用于获取所述交互数据对应的各个请求;
第二确定子模块,用于将所述各个请求中用于获得非静态资源的请求确定为所述待测试请求。
可选地,所述装置还包括:
发送模块,用于响应于接收到共享指令,向所述共享指令指示的待共享终端发送所述共享指令指示的目标共享信息,其中,所述目标共享信息包括以下中的至少一者:所述交互数据、根据所述检测规则和所述待测试请求进行安全漏洞检测的检测结果。
下面参考图6,其示出了适于用来实现本公开实施例的电子设备600的结构示意图。本公开实施例中的终端设备可以包括但不限于诸如移动电话、笔记本电脑、数字广播接收器、PDA(个人数字助理)、PAD(平板电脑)、PMP(便携式多媒体播放器)、车载终端(例如车载导航终端)等等的移动终端以及诸如数字TV、台式计算机等等的固定终端。图6示出的电子设备仅仅是一个示例,不应对本公开实施例的功能和使用范围带来任何限制。
如图6所示,电子设备600可以包括处理装置(例如中央处理器、图形处理器等)601,其可以根据存储在只读存储器(ROM)602中的程序或者从存储装置608加载到随机访问存储器(RAM)603中的程序而执行各种适当的动作和处理。在RAM 603中,还存储有电子设备600操作所需的各种程序和数据。处理装置601、ROM 602以及RAM 603通过总线604彼此相连。输入/输出(I/O)接口605也连接至总线604。
通常,以下装置可以连接至I/O接口605:包括例如触摸屏、触摸板、键盘、鼠标、摄像头、麦克风、加速度计、陀螺仪等的输入装置606;包括例如液晶显示器(LCD)、扬声器、振动器等的输出装置607;包括例如磁带、硬盘等的存储装置608;以及通信装置609。通信装置609可以允许电子设备600与其他设备进行无线或有线通信以交换数据。虽然图6示出了具有各种装置的电子设备600,但是应理解的是,并不要求实施或具备所有示出的装置。可以替代地实施或具备更多或更少的装置。
特别地,根据本公开的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本公开的实施例包括一种计算机程序产品,其包括承载在非暂态计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信装置609从网络上被下载和安装,或者从存储装置608被安装,或者从ROM 602被安装。在该计算机程序被处理装置601执行时,执行本公开实施例的方法中限定的上述功能。
需要说明的是,本公开上述的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本公开中,计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读信号介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:电线、光缆、RF(射频)等等,或者上述的任意合适的组合。
在一些实施方式中,客户端可以利用诸如HTTP(HyperText TransferProtocol,超文本传输协议)之类的任何当前已知或未来研发的网络协议进行通信,并且可以与任意形式或介质的数字数据通信(例如,通信网络)互连。通信网络的示例包括局域网(“LAN”),广域网(“WAN”),网际网(例如,互联网)以及端对端网络(例如,ad hoc端对端网络),以及任何当前已知或未来研发的网络。
上述计算机可读介质可以是上述电子设备中所包含的;也可以是单独存在,而未装配入该电子设备中。
上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被该电子设备执行时,使得该电子设备:响应于漏洞检测启动指令,基于所述浏览器插件获取用户当前访问网站的交互数据;根据所述交互数据确定待测试请求,其中,所述待测试请求为所述用户访问网站过程中发起的请求;确定与所述待测试请求对应的检测规则;根据所述检测规则和所述待测试请求进行安全漏洞检测。
可以以一种或多种程序设计语言或其组合来编写用于执行本公开的操作的计算机程序代码,上述程序设计语言包括但不限于面向对象的程序设计语言—诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言——诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)——连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
附图中的流程图和框图,图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本公开实施例中所涉及到的模块可以通过软件的方式实现,也可以通过硬件的方式来实现。其中,模块的名称在某种情况下并不构成对该模块本身的限定,例如,获取模块还可以被描述为“响应于漏洞检测启动指令,基于所述浏览器插件获取用户当前访问网站的交互数据的模块”。
本文中以上描述的功能可以至少部分地由一个或多个硬件逻辑部件来执行。例如,非限制性地,可以使用的示范类型的硬件逻辑部件包括:现场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、片上系统(SOC)、复杂可编程逻辑设备(CPLD)等等。
在本公开的上下文中,机器可读介质可以是有形的介质,其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的程序。机器可读介质可以是机器可读信号介质或机器可读储存介质。机器可读介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备,或者上述内容的任何合适组合。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
根据本公开的一个或多个实施例,示例1提供了一种网站安全漏洞检测方法,应用于浏览器插件,所述方法包括:
响应于漏洞检测启动指令,基于所述浏览器插件获取用户当前访问网站的交互数据;
根据所述交互数据确定待测试请求,其中,所述待测试请求为所述用户访问网站过程中发起的请求;
确定与所述待测试请求对应的检测规则;
根据所述检测规则和所述待测试请求进行安全漏洞检测。
根据本公开的一个或多个实施例,示例2提供了示例1的方法,其中,所述待测试请求对应的检测规则的类型为越权漏洞检测;
所述根据所述检测规则和所述待测试请求进行安全漏洞检测,包括:
获取所述待测试请求中携带的第一身份标识信息;
从身份标识信息集中获取第二身份标识信息,其中,所述第二身份标识信息与所述第一身份标识信息不同;
以所述第二身份标识信息替换所述待测试请求中的所述第一身份标识信息,获得检测请求;
基于所述检测请求进行安全漏洞检测。
根据本公开的一个或多个实施例,示例3提供了示例2的方法,其中,所述身份标识信息集通过以下方式获得:
显示身份标识设置界面,响应于用户在所述身份标识设置界面中的输入操作,将用户输入的身份标识信息添加至身份标识信息集中;
将所述交互数据对应的每一请求中携带的身份标识信息添加至所述身份标识信息集中。
根据本公开的一个或多个实施例,示例4提供了示例1的方法,其中,所述方法还包括:
显示规则配置界面,其中,所述规则配置界面中承载有待设置项供用户设置;
响应于用户在所述规则配置界面中针对所述待设置项中的目标设置项的输入操作,根据所述目标设置项和用户输入的内容生成候选检测规则;
将所述候选检测规则存储至规则集合中;
所述确定与所述待测试请求对应的检测规则,包括:
从所述规则集合中确定与所述待测试请求对应的检测规则。
根据本公开的一个或多个实施例,示例5提供了示例4的方法,其中,所述待设置项包括以下中的至少一者:权限设置项、请求设置项、响应设置项和频率设置项。
根据本公开的一个或多个实施例,示例6提供了示例1的方法,其中,所述确定与所述待测试请求对应的检测规则,包括:
显示规则选择界面,并响应于用户在所述规则选择界面中的选择操作,将用户选择的目标规则类型的规则确定为所述检测规则,其中,所述规则选择界面中承载有多个备选规则供用户选择。
根据本公开的一个或多个实施例,示例7提供了示例1的方法,其中,所述根据所述交互数据确定待测试请求,包括:
获取所述交互数据对应的各个请求;
将所述各个请求中用于获得非静态资源的请求确定为所述待测试请求。
根据本公开的一个或多个实施例,示例8提供了示例1的方法,其中,所述方法还包括:
响应于接收到共享指令,向所述共享指令指示的待共享终端发送所述共享指令指示的目标共享信息,其中,所述目标共享信息包括以下中的至少一者:所述交互数据、根据所述检测规则和所述待测试请求进行安全漏洞检测的检测结果。
根据本公开的一个或多个实施例,示例9提供了一种网站安全漏洞检测装置,应用于浏览器插件,所述装置包括:
获取模块,用于响应于漏洞检测启动指令,基于所述浏览器插件获取用户当前访问网站的交互数据;
第一确定模块,用于根据所述交互数据确定待测试请求,其中,所述待测试请求为所述用户访问网站过程中发起的请求;
第二确定模块,用于确定与所述待测试请求对应的检测规则;
检测模块,用于根据所述检测规则和所述待测试请求进行安全漏洞检测。
根据本公开的一个或多个实施例,示例10提供了一种计算机可读介质,其上存储有计算机程序,该程序被处理装置执行时实现示例1-8中任一项所述方法的步骤。
根据本公开的一个或多个实施例,示例11提供了一种电子设备,包括:
存储装置,其上存储有计算机程序;
处理装置,用于执行所述存储装置中的所述计算机程序,以实现示例1-8中任一项所述方法的步骤。
以上描述仅为本公开的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解,本公开中所涉及的公开范围,并不限于上述技术特征的特定组合而成的技术方案,同时也应涵盖在不脱离上述公开构思的情况下,由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本公开中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。
此外,虽然采用特定次序描绘了各操作,但是这不应当理解为要求这些操作以所示出的特定次序或以顺序次序执行来执行。在一定环境下,多任务和并行处理可能是有利的。同样地,虽然在上面论述中包含了若干具体实现细节,但是这些不应当被解释为对本公开的范围的限制。在单独的实施例的上下文中描述的某些特征还可以组合地实现在单个实施例中。相反地,在单个实施例的上下文中描述的各种特征也可以单独地或以任何合适的子组合的方式实现在多个实施例中。
尽管已经采用特定于结构特征和/或方法逻辑动作的语言描述了本主题,但是应当理解所附权利要求书中所限定的主题未必局限于上面描述的特定特征或动作。相反,上面所描述的特定特征和动作仅仅是实现权利要求书的示例形式。关于上述实施例中的装置,其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不做详细阐述说明。
Claims (9)
1.一种网站安全漏洞检测方法,其特征在于,所述方法包括:
响应于漏洞检测启动指令,基于浏览器插件获取用户当前访问网站的交互数据,其中,所述交互数据为本地数据;
根据所述交互数据确定待测试请求,其中,所述待测试请求为所述用户访问网站过程中发起的请求;
确定与所述待测试请求对应的检测规则;
根据所述检测规则和所述待测试请求进行安全漏洞检测;
其中,所述根据所述交互数据确定待测试请求,包括:
获取所述交互数据对应的各个请求;
将所述各个请求中用于获得非静态资源的请求确定为所述待测试请求。
2.根据权利要求1所述的方法,其特征在于,所述待测试请求对应的检测规则的类型为越权漏洞检测;
所述根据所述检测规则和所述待测试请求进行安全漏洞检测,包括:
获取所述待测试请求中携带的第一身份标识信息;
从身份标识信息集中获取第二身份标识信息,其中,所述第二身份标识信息与所述第一身份标识信息不同;
以所述第二身份标识信息替换所述待测试请求中的所述第一身份标识信息,获得检测请求;
基于所述检测请求进行安全漏洞检测。
3.根据权利要求2所述的方法,其特征在于,所述身份标识信息集通过以下方式获得:
显示身份标识设置界面,响应于用户在所述身份标识设置界面中的输入操作,将用户输入的身份标识信息添加至身份标识信息集中;
将所述交互数据对应的每一请求中携带的身份标识信息添加至所述身份标识信息集中。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
显示规则配置界面,其中,所述规则配置界面中承载有待设置项供用户设置;
响应于用户在所述规则配置界面中针对所述待设置项中的目标设置项的输入操作,根据所述目标设置项和用户输入的内容生成候选检测规则;
将所述候选检测规则存储至规则集合中;
所述确定与所述待测试请求对应的检测规则,包括:
从所述规则集合中确定与所述待测试请求对应的检测规则。
5.根据权利要求1所述的方法,其特征在于,所述确定与所述待测试请求对应的检测规则,包括:
显示规则选择界面,并响应于用户在所述规则选择界面中的选择操作,将用户选择的目标规则类型的规则确定为所述检测规则,其中,所述规则选择界面中承载有多个备选规则供用户选择。
6.根据权利要求1所述的方法,其特征在于,所述方法还包括:
响应于接收到共享指令,向所述共享指令指示的待共享终端发送所述共享指令指示的目标共享信息,其中,所述目标共享信息包括以下中的至少一者:所述交互数据、根据所述检测规则和所述待测试请求进行安全漏洞检测的检测结果。
7.一种网站安全漏洞检测装置,其特征在于,所述装置包括:
获取模块,用于响应于漏洞检测启动指令,基于浏览器插件获取用户当前访问网站的交互数据,其中,所述交互数据为本地数据;
第一确定模块,用于根据所述交互数据确定待测试请求,其中,所述待测试请求为所述用户访问网站过程中发起的请求;
第二确定模块,用于确定与所述待测试请求对应的检测规则;
检测模块,用于根据所述检测规则和所述待测试请求进行安全漏洞检测;
其中,所述第一确定模块包括:
第三获取子模块,用于获取所述交互数据对应的各个请求;
第二确定子模块,用于将所述各个请求中用于获得非静态资源的请求确定为所述待测试请求。
8.一种计算机可读介质,其上存储有计算机程序,其特征在于,该程序被处理装置执行时实现权利要求1-6中任一项所述方法的步骤。
9.一种电子设备,其特征在于,包括:
存储装置,其上存储有计算机程序;
处理装置,用于执行所述存储装置中的所述计算机程序,以实现权利要求1-6中任一项所述方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010568916.2A CN111740992B (zh) | 2020-06-19 | 2020-06-19 | 网站安全漏洞检测方法、装置、介质及电子设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010568916.2A CN111740992B (zh) | 2020-06-19 | 2020-06-19 | 网站安全漏洞检测方法、装置、介质及电子设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111740992A CN111740992A (zh) | 2020-10-02 |
CN111740992B true CN111740992B (zh) | 2022-08-30 |
Family
ID=72651896
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010568916.2A Active CN111740992B (zh) | 2020-06-19 | 2020-06-19 | 网站安全漏洞检测方法、装置、介质及电子设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111740992B (zh) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112765611B (zh) * | 2021-01-19 | 2022-11-25 | 上海微盟企业发展有限公司 | 一种越权漏洞检测方法、装置、设备及存储介质 |
CN113411332B (zh) * | 2021-06-18 | 2022-10-04 | 杭州安恒信息技术股份有限公司 | 一种cors漏洞检测方法、装置、设备及介质 |
CN114024884B (zh) * | 2021-11-18 | 2023-05-12 | 百度在线网络技术(北京)有限公司 | 一种测试方法、装置、电子设备及存储介质 |
CN114448665A (zh) * | 2021-12-22 | 2022-05-06 | 天翼云科技有限公司 | 一种web应用防火墙规则检测方法、装置及电子设备 |
CN114564728B (zh) * | 2022-04-29 | 2022-12-06 | 成都无糖信息技术有限公司 | 一种无代码的流程可视化漏洞检测方法和系统 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106789869A (zh) * | 2016-11-09 | 2017-05-31 | 深圳市魔方安全科技有限公司 | 基于Basic认证的流量代理漏洞检测方法及系统 |
CN106998335A (zh) * | 2017-06-13 | 2017-08-01 | 深信服科技股份有限公司 | 一种漏洞检测方法、网关设备、浏览器及系统 |
CN107506648A (zh) * | 2017-08-07 | 2017-12-22 | 阿里巴巴集团控股有限公司 | 查找应用漏洞的方法、装置和系统 |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106548075B (zh) * | 2015-09-22 | 2020-03-27 | 阿里巴巴集团控股有限公司 | 漏洞检测方法和装置 |
CN107294919A (zh) * | 2016-03-31 | 2017-10-24 | 阿里巴巴集团控股有限公司 | 一种水平权限漏洞的检测方法及装置 |
CN107360188B (zh) * | 2017-08-23 | 2020-03-17 | 杭州安恒信息技术股份有限公司 | 基于云防护和云监测系统的网站风险值评估方法及装置 |
CN107577949A (zh) * | 2017-09-05 | 2018-01-12 | 郑州云海信息技术有限公司 | 一种Web越权漏洞检测方法与系统 |
CN107566537A (zh) * | 2017-10-30 | 2018-01-09 | 郑州云海信息技术有限公司 | 一种web应用纵向越权漏洞的半自动检测方法及系统 |
CN110581835B (zh) * | 2018-06-11 | 2022-04-12 | 阿里巴巴集团控股有限公司 | 一种漏洞检测方法、装置及终端设备 |
CN111209565B (zh) * | 2020-01-08 | 2022-12-23 | 招商银行股份有限公司 | 水平越权漏洞检测方法、设备及计算机可读存储介质 |
-
2020
- 2020-06-19 CN CN202010568916.2A patent/CN111740992B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106789869A (zh) * | 2016-11-09 | 2017-05-31 | 深圳市魔方安全科技有限公司 | 基于Basic认证的流量代理漏洞检测方法及系统 |
CN106998335A (zh) * | 2017-06-13 | 2017-08-01 | 深信服科技股份有限公司 | 一种漏洞检测方法、网关设备、浏览器及系统 |
CN107506648A (zh) * | 2017-08-07 | 2017-12-22 | 阿里巴巴集团控股有限公司 | 查找应用漏洞的方法、装置和系统 |
Also Published As
Publication number | Publication date |
---|---|
CN111740992A (zh) | 2020-10-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111740992B (zh) | 网站安全漏洞检测方法、装置、介质及电子设备 | |
US10929266B1 (en) | Real-time visual playback with synchronous textual analysis log display and event/time indexing | |
US11762979B2 (en) | Management of login information affected by a data breach | |
CN111683047A (zh) | 越权漏洞检测方法、装置、计算机设备及介质 | |
CN112487451B (zh) | 展示方法、装置和电子设备 | |
CN114070619A (zh) | 数据库异常访问的监控方法、监控系统、设备和存储介质 | |
US11062019B2 (en) | System and method for webpages scripts validation | |
CN110674481A (zh) | 一种应用程序的账号注册方法、装置、设备和存储介质 | |
CN110717126A (zh) | 页面浏览方法、装置、电子设备及计算机可读存储介质 | |
CN109145182B (zh) | 数据采集方法、装置、计算机设备及系统 | |
EP2719141B1 (en) | Method and device for security configuration | |
CN114553555A (zh) | 恶意网址识别方法、装置、存储介质及电子设备 | |
CN108471635B (zh) | 用于连接无线接入点的方法和设备 | |
CN112306858A (zh) | 测试方法、装置和电子设备 | |
CN110633566A (zh) | 一种侵入检测方法、装置、终端设备及介质 | |
KR101748116B1 (ko) | 클라우드 모바일 환경에서의 스미싱 차단장치 | |
CN111371745B (zh) | 用于确定ssrf漏洞的方法和装置 | |
CN112261659B (zh) | 终端和服务器的控制方法、装置、终端和存储介质 | |
Khan et al. | Differences in Inter-App Communication Between Android and iOS Systems | |
CN115828256B (zh) | 一种越权与未授权逻辑漏洞检测方法 | |
US11086990B2 (en) | Security module for mobile devices | |
CN115481376A (zh) | 测试终端设备的设置管理方法、装置和电子设备 | |
CN116886531A (zh) | 业务处理方法、装置、介质及电子设备 | |
CN116644249A (zh) | 网页鉴权方法、装置、介质及电子设备 | |
Senol et al. | Unveiling the Impact of User-Agent Reduction and Client Hints: A Measurement Study |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |