CN115567502A - web安全扫描方法及相关设备 - Google Patents
web安全扫描方法及相关设备 Download PDFInfo
- Publication number
- CN115567502A CN115567502A CN202211158060.7A CN202211158060A CN115567502A CN 115567502 A CN115567502 A CN 115567502A CN 202211158060 A CN202211158060 A CN 202211158060A CN 115567502 A CN115567502 A CN 115567502A
- Authority
- CN
- China
- Prior art keywords
- target
- scanning
- url
- vulnerability
- web
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本申请实施例提供一种web安全扫描方法及相关设备,主要目的在于解决web安全测试过程中,其中,一些常见的安全测试方式,通常使用带有爬虫技术类型的漏洞扫描应用进行扫描,通过爬虫技术获取web服务器的目录结构和访问的URL列表后进行扫描得出扫描结果准确性不高,设备的性能消耗较大,缺乏重点对象的问题。其中,上述方法包括:获取用户对目标网页的访问请求,所述访问请求包括URL信息;确定与所述URL信息关联的所述目标网页的所属服务器反馈的目标流量数据;对所述目标流量数据进行漏洞扫描。
Description
技术领域
本发明涉及信息安全领域,尤其涉及一种web安全扫描方法及相关设备。
背景技术
随着我国网络安全不断发展,web安全性测试工作也越来越受到重视,目前绝大部分web安全测试使用的主要采用一类带有爬虫的安全漏洞扫描应用,爬虫获取的URL是通过网页的请求都是用http协议发送的,爬虫获取的URL存在准确性不高,有些URL会遗漏,从而导致URL没有被扫描到;爬虫动作比较大,一般为了提高爬虫效率,会使用并发技术,因此对待测设备的性能消耗较高;缺乏重点对象,对所有URL无差别提取,没有相应的侧重,可能存在做无用功的情况,消耗时间和性能。
发明内容
鉴于上述问题,本专利提出了一种web安全扫描方法,URL通过用户的操作获取,URL真实存在且不容易被遗漏,不通过爬虫获取URL,是一种被动接受用户输入的方式,动作小,不额外消耗性能,在扫描的过程中根据用户的访问,更加有侧重点。主要目的为了提升web安全扫描的准确性和效率。
为解决上述至少一种技术问题,第一方面,本发明提供了一种web安全扫描方法,该方法包括:
获取用户对目标网页的访问请求,所述访问请求包括URL信息;
确定与所述URL信息关联的所述目标网页的所属服务器反馈的目标流量数据;
对所述目标流量数据进行漏洞扫描。
可选的,上述方法还包括:
在web应用程序中配置代理,其中,所述web应用程序用于获取并转发用户对目标网页的访问请求。
可选的,上述方法还包括:
在漏洞扫描应用中配置代理,以使所述漏洞扫描应用与所述web应用程序具有相同代理配置参数。
可选的,上述方法包括:
通过所述漏洞扫描应用解析所述目标流量数据获得目标URL;
基于预设漏洞规则库和应用验证性测试对所述目标URL并进行漏洞扫描。
可选的,上述方法还包括:
通过所述漏洞扫描应用基于HTTP协议解析所述目标流量数据获得目标URL。
可选的,上述方法还包括:
生成风险评估报告,在所述目标URL在漏洞的情况下,所述风险评估报告包括基于扫描确定的所述目标URL中的风险URL和所述风险URL对应的风险类型。
可选的,上述方法还包括:
在所述目标URL存在漏洞的情况下,阻断向所述风险URL所属web服务器的数据传输。
第二方面,本发明实施例还提供了web安全扫描方法的装置,包括:
获取单元,用于获取用户对目标网页的访问请求,所述访问请求包括URL信息;
确定单元,确定与所述URL信息关联的所述目标网页的所属服务器反馈的目标流量数据;
扫描单元,用于对所述目标流量数据进行漏洞扫描。
为了实现上述目的,根据本发明的第三方面,提供了一种计算机可读存储介质,上述计算机可读存储介质包括存储的程序,其中,在上述程序被处理器执行时实现上述的web安全扫描方法。
为了实现上述目的,根据本发明的第四方面,提供了一种电子设备,包括至少一个处理器、以及与上述处理器连接的至少一个存储器;其中,上述处理器用于调用上述存储器中的程序指令,执行上述的web安全扫描方法。
借由上述技术方案,本发明实施例提供,对于目前一些常见的安全测试方式,通常使用带有爬虫技术类型的漏洞扫描应用进行扫描,通过爬虫技术获取web服务器的目录结构和访问的URL列表后进行扫描得出扫描结果准确性不高,设备的性能消耗较大,缺乏重点扫描对象的问题,本发明通过先获取用户对目标网页的访问请求,所述访问请求包括URL信息;再确定与所述URL信息关联的所述目标网页的所属服务器反馈的目标流量数据;最后对所述目标流量数据进行漏洞扫描。可以确保在面对复杂条件下进行web安全扫描时,都能够获取基于访问目标页面,web服务器返回所流量数据产生的待测URL,以便于更加精准的进行安全扫描,解决了目前常规的使用带有爬虫技术类型的漏洞扫描应用进行扫描,扫描结果准确性不高,设备的性能消耗较大,缺乏重点扫描对象的问题。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了本发明实施例提供的一种web安全扫描方法的流程示意图;
图2示出了本发明实施例提供的一种web安全扫描装置的示意性结构框图;
图3示出了本发明实施例提供的一种电子设备的示意性结构框图。
具体实施方式
下面将参照附图更详细地描述本发明的示例性实施例。虽然附图中显示了本发明的示例性实施例,然而应当理解,可以以各种形式实现本发明而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本发明,并且能够将本发明的范围完整的传达给本领域的技术人员。
为了解决目前常规的使用带有爬虫技术类型的漏洞扫描应用进行扫描,扫描结果准确性不高,设备的性能消耗较大,缺乏重点扫描对象的问题。。
本发明实施例提供了一种web安全扫描方法,如图1所示,该方法包括:
S101、获取用户对目标网页的访问地址,所述访问地址包括URL信息。
需要说明的是,上述实际应用场景可以是,用户使用web应用程序在地址栏,通过操作设备运行的一种指令和数据输入装置或者语音装置识别输入访问目标网页的请求地址,该请求地址为URL,即统一资源定位系统。
URL:uniform resource locator,统一资源定位系统是因特网的万维网服务程序上用于指定信息位置的表示方法。因特网上的可用资源可以用简单字符串来表示,该文档就是描述了这种字符串的语法和语义。而这些字符串则被称为:“统一资源定位系统”。
示例性的,例如,用户在chrome浏览器的地址栏,使用键盘输入www.google.com;再例如用户在IE浏览器的地址栏,使用语音设备输入,识别用户语音口令“youku.com”。
S102、确定与所述URL信息关联的所述目标网页的所属服务器反馈的目标流量数据。
在非脱机,联网状态下用户通过S101的方法输入URL至web应用程序地址栏后,web应用程序与用户的可视化交互页面跳转至上述输入的URL对应的目标网页,网页内通过服务器返送目标网站内的所有流量数据至代理服务器。
S103、对所述目标流量数据进行漏洞扫描。
通过对流量数据解析后获取目标待测URL,对所有待测URL进行漏洞扫描检测,检测匹配预设漏洞规则库,可以与预设漏洞规则库进行匹配的攻击有包括但不仅限于:SQLDET、XXS、XXE、brute-force、dirscan、path-traversal、upload、cmd-injection、crlf-injection、SSRF。
SQLDET:SQL注入,即指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。
XXS:Cross Site Script Attack,即跨站脚本攻击指利用网站漏洞从用户那里恶意盗取信息。
XXE:XML External Entity Injection,即XML外部实体注入攻击。
Brute-force:暴力破解,即指攻击者使用账号或密码字典,使用穷举法猜解出用户账号或口令。
Dirscan:目录扫描。
Path-traversal:路径遍历攻击(也称为目录遍历)旨在访问存储在Web根文件夹之外的文件和目录。通过操纵带有"点-斜线(./…/)”序列及其变化的文件或使用绝对文件路径来引用文件的变量。
Upload:文件上传
cmd-injection:命令注入
crlf-injection:CRLF回车和换行的简称,CRLF注入攻击是一种当用户将CRLF字符插入到应用中而触发漏洞的攻击技巧。
SSRF:Server-Side Request Forgery,即服务器端请求伪造,是一种由攻击者构造,由服务端发起请求的一个网络攻击,一般用来在外网探测或攻击内网服务,其影响效果根据服务器用的函数不同,从而造成不同的影响。
在上述方案中,可以确保在面对复杂条件下进行web安全扫描时,都能够获取基于访问目标页面,web服务器返回所流量数据产生的待测URL,以便于更加精准的进行安全扫描,解决了目前常规的使用带有爬虫技术类型的漏洞扫描应用进行扫描,扫描结果准确性不高,设备的性能消耗较大,缺乏重点扫描对象的问题。
在一些实施例中,上述方法在执行时还包括:
S201、在web应用程序中配置代理,其中,所述web应用程序用于获取并转发用户对目标网页的访问请求。
在用户使用的web应用程序上设置代理目的地址,上述web应用程序可以是常规使用的带有配置代理功能的浏览器,以便于使浏览器访问页面的流量数据可以通过漏洞扫描应用的代理,为下一步漏洞扫描应用解析流量数据做准备。
需要说明的是,配置代理服务器的具体参数有,代理协议、代理服务器、代理端口。其中,将代理协议配置为HTTP协议,以便后续漏洞扫描应用对通过代理服务器转发的流量数据进行解析。配置代理服务器地址则是为了使用浏览器访问页面时web服务器反馈的数据能够在代理服务器上进行转发,好处在于基于配置代理服务器地址后,浏览器访问web服务器时,流量数据会发送到代理服务器,代理服务器转发流量数据到漏洞扫描应用的同时会把接收到的流量数据反馈给web服务器,根据在浏览器配置代理服务器,可以实现既能访问目标网页,漏洞扫描应用又可以同步进行扫描,进程互不干扰的效果。
代理端口是指计算机上特定虚拟位置的数字,计算机有许多端口来执行不同的任务,配置端口以便于后续漏洞扫描应用对其监听并传输数据。
HTTP协议:Hyper Text Transfer Protocol,即超文本传输协议,是一个简单的请求-响应协议,它通常运行在TCP之上。它指定了客户端可能发送给服务器什么样的消息以及得到什么样的响应。
在一些实施例中,上述方法在执行时还包括:
S301、在漏洞扫描应用中配置代理,以使所述漏洞扫描应用与所述web应用程序具有相同代理配置参数。
启动漏洞扫描应用并开启漏洞扫描应用内置的代理功能服务器功能,配置代理服务器功能的端口监听,使其与步骤S201中的代理服务器参数保持一致,便于后续使用命令行模式指令通过漏洞扫描应用对上述代理服务器的端口转发的数据进行监听。
示例性的,例如,配置代理服务器地址为127.0.0.1,代理端口为12345,则命令行指令为:xxxx(应用程序名称)webscan--listen 127.0.0.1:12345
通过上述方法,可以在使用浏览器访问目标网页时,即可通过配置好的漏洞扫描应用对目标网页的安全性进行扫描,无需通过把web服务器返回的流量数据打包再进行测试,更加高效便捷,准确率高,所扫描的流量数据都是基于实际访问的目标网页产生的流量数据。
在一些实施例中,所述对所述目标流量数据进行漏洞扫描,其中包括:
S401、通过所述漏洞扫描应用解析所述目标流量数据获得目标URL。
可以理解的是,根据S301步骤成功启动漏洞扫描应用并开启漏洞扫描应用内置的代理功能服务器功能后,在使用浏览器对目标页面进行访问时,通过浏览器的代理服务器节点向目标页面的web服务器发出访问请求,目标页面的web服务器将请求后的流量数据返回到浏览器的代理服务器节点,浏览器的代理服务器节点再将返回的流量数据根据端口进行转发至漏洞扫描应用。漏洞扫描应用通过对代理服务器节点转发来的流量数据进行解析,识别出其中的URL信息,作为目标待测URL。
示例性的,访问“youku.com”,浏览器的前端可视化页面展示的有视频预览,图片信息,文字信息,动画等。这些信息通过youku.com所在的web服务器端发送上述页面内含有的流量数据到代理服务器节点,上述流量数据通过代理服务器节点转发,被漏洞扫描应用监听后获取上述流量数据,根据对流量数据内的解析得到Target、VulnType、Payload、Position、ParamKey、ParamValue、feature、type。其中Target对应的数据信息为目标待测URL。
S402、基于预设漏洞规则库和应用验证性测试对所述目标URL并进行漏洞扫描。
通过漏洞扫描应用对根据S401步骤获取的待测URL基于漏洞扫描应用内的预设漏洞规则库和用验证性测试进行扫描。
应用验证性测试:PoC,Proof of Concept,本方案指证明漏洞存在的一些脚本或者程序。
示例性的:
在一些实施例中,所述通过所述漏洞扫描应用解析所述目标流量数据获得目标URL,其中包括:
S501、通过所述漏洞扫描应用基于HTTP协议解析所述目标流量数据获得目标URL。
示例性的,访问“bilibili.com”,浏览器的前端可视化页面展示的有视频预览信息,图片信息,文字信息,动画等。这些信息通过bilibili.com所在的web服务器端发送上述页面内含有的流量数据到代理服务器节点,上述流量数据通过代理服务器节点转发,被漏洞扫描应用监听后获取上述流量数据,根据HTTP协议对流量数据内的解析得到Target、VulnType、Payload、Position、ParamKey、ParamValue、feature、type。其中Target对应的数据信息为目标待测URL,其中根据HTTP协议进行解析是基于步骤S201中通过对web应用程序的代理服务器中代理协议参数配置为HTTP协议得到的,代理服务器中的代理协议参数配置为HTTP,在转发时数据传输更为可靠,底层的TCP协议会确保传输内容顺序的正确性以及确保不会在传输过程中丢包,客户端向服务器请求服务时,只需要传送请求方法和路径,同时http允许传输任意类型的数据对象,在转发层面上更为灵活。
在一些实施例中,上述方法在执行时还包括:
S601、生成风险评估报告,在所述目标URL存在漏洞的情况下,所述风险评估报告包括基于扫描确定的所述目标URL中的风险URL和所述风险URL对应的风险类型。
通过对目标待测URL进行扫描漏洞,漏洞扫描应用会在扫描结束时生成风险评估报告,并提供payload供验证。
示例性的,漏洞扫描应用通过对代理服务器节点转发来的流量数据进行解析,识别出其中的URL信息,再对识别出的URL进行漏洞检测后得出以下风险评估报告。好处在于可以精准定位,具体是目标访问页面的哪个目录下具体的何种文件对应风险类型。
http://192.168.203.178/DVWA/
对应baseline/sensitive/server-error风险类型;
http://192.168.203.178/DVWA/vulnerabilities/fi/
对应baseline/sensitive/server-error风险类型;
http://192.168.203.178/DVWA/vulnerabilities/brute/
对应brute-force/form-brute/default风险类型;
http://192.168.203.178/DVWA/vulnerabilities/exec/
对应cmd-injection/injection/cmd;
http://192.168.203.178/DVWA/phpinfo.php
对应dirscan/debug/php风险类型;
http://192.168.203.178/DVWA/vulnerabilities/fi/
对应path-traversal/path-traversal/default风险类型;
http://192.168.203.178/DVWA/vulnerabilities/brute/
对应xss/reflected/default风险类型。
在一些实施例中,上述方法在执行时还包括:
S701、在所述目标URL存在漏洞的情况下,阻断向所述风险URL所属web服务器的数据传输。
需要说明的是,根据上述方法可知本方案可以在访问页面的同时漏洞扫描应用对目标访问页面所属的web服务器反馈的流量数据进行解析后扫描,此时如果在扫描过程中,扫描到了某些较为严重的安全漏洞类型,则立即阻断与目标访问页面所属的web服务器的TCP连接,以防止受到安全威胁的攻击。
TCP:Transmission Control Protocol,即传输控制协议,是一种面向连接的、可靠的、基于字节流的传输层通信协议。TCP旨在适应支持多网络应用的分层协议层次结构。连接到不同但互连的计算机通信网络的主计算机中的成对进程之间依靠TCP提供可靠的通信服务。TCP假设它可以从较低级别的协议获得简单的,可能不可靠的数据报服务。
需要说明是的是,作为对上述图1及相关的多种实施例所示方法的实现,本发明实施例还提供了一种web安全扫描装置,用于对上述图1以及上述多个实施例所示的方法进行实现。该装置实施例与前述方法实施例对应,为便于阅读,本装置实施例不再对前述方法实施例中的细节内容进行逐一赘述,但应当明确,本实施例中的装置能够对应实现前述方法实施例中的全部内容。如图2所示,该装置包括:
获取单元,用于获取用户对目标网页的访问请求,所述访问请求包括URL信息;
确定单元,确定与所述URL信息关联的所述目标网页的所属服务器反馈的目标流量数据;
扫描单元,用于对所述目标流量数据进行漏洞扫描。
借由上述技术方案,本发明实施例提供一种web安全扫描方法,对于目前一些常见的安全测试方式,通常使用带有爬虫技术类型的漏洞扫描应用进行扫描,通过爬虫技术获取web服务器的目录结构和可访问的URL列表后进行扫描得出扫描结果准确性不高,设备的性能消耗较大,缺乏重点扫描对象的问题,本发明通过先获取用户对目标网页的访问请求,所述访问请求包括URL信息;再确定与所述URL信息关联的所述目标网页的所属服务器反馈的目标流量数据;最后对所述目标流量数据进行漏洞扫描。可以确保在面对复杂条件下进行web安全扫描时,都能够获取基于访问目标页面,web服务器返回所流量数据产生的待测URL,以便于更加精准的进行安全扫描,解决了目前常规的使用带有爬虫技术类型的漏洞扫描应用进行扫描,扫描结果准确性不高,设备的性能消耗较大,缺乏重点扫描对象的问题。
处理器中包含内核,由内核去存储器中调取相应的程序单元。内核可以设置一个或以上,通过调整内核参数来实现一种自动化实现基于调用的通信方法,以解决现有的基于调用的通信方式难以满足转发功能的需求的问题。
本发明实施例提供了一种存储介质,其上存储有程序,该程序被处理器执行时实现所述web安全扫描方法。
本发明实施例提供了一种处理器,所述处理器用于运行程序,其中,所述程序运行时执行web安全扫描方法。
本发明实施例提供了一种设备30,如图3所示,设备包括至少一个处理器31、以及与处理器连接的至少一个存储器32、总线33;其中,处理器31、存储器32通过总线33完成相互间的通信;处理器31用于调用存储器中的程序指令,以执行上述的web安全扫描方法。
本文中的设备可以是服务器、PC、PAD、手机等。
本申请还提供了一种计算机程序产品,当在数据处理设备上执行时,适于执行初始化有如下方法步骤的程序:获取用户对目标网页的访问请求,所述访问请求包括URL信息;确定与所述URL信息关联的所述目标网页的所属服务器反馈的目标流量数据;对所述目标流量数据进行漏洞扫描。
进一步的,上述方法还包括:
在web应用程序中配置代理,其中,所述web应用程序用于获取并转发用户对目标网页的访问请求。
进一步的,上述方法还包括:
在漏洞扫描应用中配置代理,以使所述漏洞扫描应用与所述web应用程序具有相同代理配置参数。
进一步的,上述方法包括:
通过所述漏洞扫描应用解析所述目标流量数据获得目标URL;
基于预设漏洞规则库和应用验证性测试对所述目标URL并进行漏洞扫描。
进一步的,上述方法还包括:
通过所述漏洞扫描应用基于HTTP协议解析所述目标流量数据获得目标URL。
进一步的,上述方法还包括:
生成风险评估报告,在所述目标URL在漏洞的情况下,所述风险评估报告包括基于扫描确定的所述目标URL中的风险URL和所述风险URL对应的风险类型。
进一步的,上述方法还包括:
在所述目标URL存在漏洞的情况下,阻断向所述风险URL所属web服务器的数据传输。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
在一个典型的配置中,设备包括一个或多个处理器(CPU)、存储器和总线。设备还可以包括输入/输出接口、网络接口等。
存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM),存储器包括至少一个存储芯片。存储器是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。
本领域技术人员应明白,本申请的实施例可提供为方法、系统或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
以上仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。
Claims (10)
1.一种web安全扫描方法,其特征在于,包括:
获取用户对目标网页的访问请求,所述访问请求包括URL信息;
确定与所述URL信息关联的所述目标网页的所属服务器反馈的目标流量数据;
对所述目标流量数据进行漏洞扫描。
2.根据权利要求1所述的方法,其特征在于,还包括:
在web应用程序中配置代理,其中,所述web应用程序用于获取并转发用户对目标网页的访问请求。
3.根据权利要求2所述的方法,其特征在于,还包括:
在漏洞扫描应用中配置代理,以使所述漏洞扫描应用与所述web应用程序具有相同代理配置参数。
4.根据权利要求3所述的方法,其特征在于:所述对所述目标流量数据进行漏洞扫描,包括:
通过所述漏洞扫描应用解析所述目标流量数据获得目标URL;
基于预设漏洞规则库和应用验证性测试对所述目标URL并进行漏洞扫描。
5.根据权利要求4所述的方法,其特征在于:所述通过所述漏洞扫描应用解析所述目标流量数据获得目标URL,包括:
通过所述漏洞扫描应用基于HTTP协议解析所述目标流量数据获得目标URL。
6.根据权利要求5所述的方法,其特征在于,还包括:
生成风险评估报告,在所述目标URL在漏洞的情况下,所述风险评估报告包括基于扫描确定的所述目标URL中的风险URL和所述风险URL对应的风险类型。
7.根据权利要求6所述的方法,其特征在于,还包括:
在所述目标URL存在漏洞的情况下,阻断向所述风险URL所属web服务器的数据传输。
8.一种web安全扫描的装置,其特征在于,包括:
获取单元,用于获取用户对目标网页的访问请求,所述访问请求包括URL信息;
确定单元,确定与所述URL信息关联的所述目标网页的所属服务器反馈的目标流量数据;
扫描单元,用于对所述目标流量数据进行漏洞扫描。
9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质包括存储的程序,其中,在所述程序被处理器执行时实现如权利要求1至权利要求7中任一项所述的web安全扫描方法。
10.一种电子设备,其特征在于,所述电子设备包括至少一个处理器、以及与所述处理器连接的至少一个存储器;其中,所述处理器用于调用所述存储器中的程序指令,执行如权利要求1至权利要求7中任一项所述的web安全扫描方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211158060.7A CN115567502A (zh) | 2022-09-22 | 2022-09-22 | web安全扫描方法及相关设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211158060.7A CN115567502A (zh) | 2022-09-22 | 2022-09-22 | web安全扫描方法及相关设备 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115567502A true CN115567502A (zh) | 2023-01-03 |
Family
ID=84741671
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211158060.7A Pending CN115567502A (zh) | 2022-09-22 | 2022-09-22 | web安全扫描方法及相关设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115567502A (zh) |
-
2022
- 2022-09-22 CN CN202211158060.7A patent/CN115567502A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
TWI603600B (zh) | 利用運行期代理器及網路探查器判定漏洞之技術 | |
US8752183B1 (en) | Systems and methods for client-side vulnerability scanning and detection | |
US7343626B1 (en) | Automated detection of cross site scripting vulnerabilities | |
US9558355B2 (en) | Security scan based on dynamic taint | |
US9208309B2 (en) | Dynamically scanning a web application through use of web traffic information | |
KR101001132B1 (ko) | 웹 어플리케이션의 취약성 판단 방법 및 시스템 | |
US10474811B2 (en) | Systems and methods for detecting malicious code | |
CN111294345B (zh) | 一种漏洞检测方法、装置及设备 | |
US20130160130A1 (en) | Application security testing | |
EP1576487B1 (en) | Web server hit multiplier and redirector | |
CN108989355B (zh) | 一种漏洞检测方法和装置 | |
WO2017151352A1 (en) | Variable runtime transpilation | |
US11108803B2 (en) | Determining security vulnerabilities in application programming interfaces | |
CN108632219B (zh) | 一种网站漏洞检测方法、检测服务器、系统及存储介质 | |
US20150101057A1 (en) | Network service interface analysis | |
CN111818035B (zh) | 一种基于api网关的权限验证的方法及设备 | |
CN112671605B (zh) | 一种测试方法、装置及电子设备 | |
CN111064827B (zh) | 基于域名泛解析的代理检测方法、装置、设备及介质 | |
CN115567502A (zh) | web安全扫描方法及相关设备 | |
Duraisamy et al. | A server side solution for protection of web applications from cross-site scripting attacks | |
Goßen et al. | Design and implementation of a stealthy OpenWPM web scraper | |
CN112437036B (zh) | 一种数据分析的方法及设备 | |
CN113704760A (zh) | 一种页面检测方法及相关装置 | |
ZHAO et al. | Review of XSS Attack and Detection on Web Applications | |
Carbol et al. | Large-scale Security Analysis of HTTP Responses |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |