網(wǎng)頁漏洞檢測(cè)方法和裝置的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及計(jì)算機(jī)領(lǐng)域�����,具體而言�,涉及一種網(wǎng)頁漏洞檢測(cè)方法和裝置���。
【背景技術(shù)】
[0002]目前,網(wǎng)頁Web漏洞通常是指網(wǎng)站程序上的漏洞����,可能是由于代碼編寫者在編寫代碼時(shí)考慮不周全等原因而造成的漏洞,常見的Web漏洞有Sql注入�、Xss漏洞�����、上傳漏洞等�。如果網(wǎng)站存在Web漏洞并被黑客攻擊者利用���,攻擊者可以輕易控制整個(gè)網(wǎng)站,并可進(jìn)一步提權(quán)獲取網(wǎng)站服務(wù)器權(quán)限���,控制整個(gè)服務(wù)器����。
[0003]而目前所采用的漏洞檢測(cè)方式是:對(duì)于某種漏洞通過漏洞掃描器在各個(gè)端口逐個(gè)掃描�。采用這種漏洞檢測(cè)的方式��,因針對(duì)不同的漏洞均需開發(fā)一套有針對(duì)性的檢測(cè)算法,所以會(huì)導(dǎo)致檢測(cè)的效率大大降低����,不利于保護(hù)用戶終端,使得用戶終端在此期間很容易遭到攻擊。
[0004]針對(duì)上述的問題��,目前尚未提出有效的解決方案�。
【發(fā)明內(nèi)容】
[0005]本發(fā)明實(shí)施例提供了一種網(wǎng)頁漏洞檢測(cè)方法和裝置,以至少解決現(xiàn)有技術(shù)中針對(duì)不同的網(wǎng)頁漏洞均需單獨(dú)開發(fā)相應(yīng)的檢測(cè)算法所導(dǎo)致的網(wǎng)頁漏洞的檢測(cè)效率較低的技術(shù)問題�����。
[0006]根據(jù)本發(fā)明實(shí)施例的一個(gè)方面�����,提供了一種網(wǎng)頁漏洞檢測(cè)方法,包括:接收對(duì)待檢測(cè)目標(biāo)網(wǎng)頁執(zhí)行漏洞檢測(cè)的漏洞檢測(cè)任務(wù)���,其中��,上述漏洞檢測(cè)任務(wù)至少用于指示所要檢測(cè)的漏洞���;根據(jù)上述漏洞檢測(cè)任務(wù)獲取與上述漏洞對(duì)應(yīng)的配置文件,其中�����,上述配置文件中包括用于從待檢測(cè)網(wǎng)頁中匹配出上述待檢測(cè)目標(biāo)網(wǎng)頁的匹配條件與用于對(duì)上述待檢測(cè)目標(biāo)網(wǎng)頁進(jìn)行漏洞檢測(cè)的測(cè)試用例的指示信息��;使用上述配置文件檢測(cè)上述待檢測(cè)目標(biāo)網(wǎng)頁是否存在上述配置文件所指示的上述漏洞。
[0007]根據(jù)本發(fā)明實(shí)施例的另一方面�����,還提供了一種網(wǎng)頁漏洞檢測(cè)裝置�,包括:接收單元,用于接收對(duì)待檢測(cè)目標(biāo)網(wǎng)頁執(zhí)行漏洞檢測(cè)的漏洞檢測(cè)任務(wù)���,其中�����,上述漏洞檢測(cè)任務(wù)至少用于指示所要檢測(cè)的漏洞�����;獲取單元��,用于根據(jù)上述漏洞檢測(cè)任務(wù)獲取與上述漏洞對(duì)應(yīng)的配置文件,其中,上述配置文件中包括用于從待檢測(cè)網(wǎng)頁中匹配出上述待檢測(cè)目標(biāo)網(wǎng)頁的匹配條件與用于對(duì)上述待檢測(cè)目標(biāo)網(wǎng)頁進(jìn)行漏洞檢測(cè)的測(cè)試用例的指示信息;檢測(cè)單元����,用于使用上述配置文件檢測(cè)上述待檢測(cè)目標(biāo)網(wǎng)頁是否存在上述配置文件所指示的上述漏洞。
[0008]在本發(fā)明實(shí)施例中�����,通過根據(jù)接收到的所要檢測(cè)的待檢測(cè)目標(biāo)網(wǎng)頁的漏洞檢測(cè)任務(wù),獲取與上述漏洞相對(duì)應(yīng)的配置文件�,其中���,上述配置文件至少包括針對(duì)不同的漏洞所設(shè)置的匹配條件以及測(cè)試用例,通過對(duì)上述配置文件中匹配條件以及測(cè)試用例所對(duì)應(yīng)的變量參數(shù)的增加或修改��,實(shí)現(xiàn)了在無需重新開發(fā)一套復(fù)雜的檢測(cè)算法的情況下�,就可實(shí)現(xiàn)對(duì)不同的網(wǎng)頁漏洞進(jìn)行檢測(cè)�,達(dá)到了節(jié)省漏洞檢測(cè)的時(shí)間成本的目的���,從而實(shí)現(xiàn)了提高漏洞檢測(cè)的檢測(cè)效率的技術(shù)效果,進(jìn)而解決了現(xiàn)有技術(shù)中針對(duì)不同的網(wǎng)頁漏洞均需單獨(dú)開發(fā)相應(yīng)的檢測(cè)算法所導(dǎo)致的網(wǎng)頁漏洞的檢測(cè)效率較低的技術(shù)問題。
【附圖說明】
[0009]此處所說明的附圖用來提供對(duì)本發(fā)明的進(jìn)一步理解�,構(gòu)成本申請(qǐng)的一部分����,本發(fā)明的示意性實(shí)施例及其說明用于解釋本發(fā)明�,并不構(gòu)成對(duì)本發(fā)明的不當(dāng)限定�����。在附圖中:
[0010]圖1是根據(jù)本發(fā)明實(shí)施例的一種可選的網(wǎng)頁漏洞檢測(cè)方法的流程示意圖�����;
[0011]圖2是根據(jù)本發(fā)明實(shí)施例的一種可選的應(yīng)用網(wǎng)頁漏洞檢測(cè)方法的硬件場(chǎng)景示意圖����;
[0012]圖3是根據(jù)本發(fā)明實(shí)施例的一種可選的網(wǎng)頁漏洞檢測(cè)方法的交互示意圖����;
[0013]圖4是根據(jù)本發(fā)明實(shí)施例的一種可選的網(wǎng)頁漏洞檢測(cè)方法中的配置文件的示意圖;
[0014]圖5是根據(jù)本發(fā)明實(shí)施例的另一種可選的網(wǎng)頁漏洞檢測(cè)方法的流程示意圖����;
[0015]圖6是根據(jù)本發(fā)明實(shí)施例的又一種可選的網(wǎng)頁漏洞檢測(cè)方法的流程示意圖�;
[0016]圖7是根據(jù)本發(fā)明實(shí)施例的一種可選的網(wǎng)頁漏洞檢測(cè)裝置的結(jié)構(gòu)示意圖��;
[0017]圖8是根據(jù)本發(fā)明實(shí)施例的另一種可選的網(wǎng)頁漏洞檢測(cè)裝置的結(jié)構(gòu)示意圖�;以及,
[0018]圖9是根據(jù)本發(fā)明實(shí)施例的一種可選的應(yīng)用網(wǎng)頁漏洞檢測(cè)方法的控制服務(wù)器的結(jié)構(gòu)示意圖����。
【具體實(shí)施方式】
[0019]為了使本技術(shù)領(lǐng)域的人員更好地理解本發(fā)明方案,下面將結(jié)合本發(fā)明實(shí)施例中的附圖���,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚��、完整地描述�,顯然�,所描述的實(shí)施例僅僅是本發(fā)明一部分的實(shí)施例,而不是全部的實(shí)施例���?;诒景l(fā)明中的實(shí)施例����,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例����,都應(yīng)當(dāng)屬于本發(fā)明保護(hù)的范圍�����。
[0020]需要說明的是����,本發(fā)明的說明書和權(quán)利要求書及上述附圖中的術(shù)語“第一”、“第二”等是用于區(qū)別類似的對(duì)象�����,而不必用于描述特定的順序或先后次序�����。應(yīng)該理解這樣使用的數(shù)據(jù)在適當(dāng)情況下可以互換���,以便這里描述的本發(fā)明的實(shí)施例能夠以除了在這里圖示或描述的那些以外的順序?qū)嵤4送?��,術(shù)語“包括”和“具有”以及他們的任何變形�����,意圖在于覆蓋不排他的包含���,例如����,包含了一系列步驟或單元的過程���、方法�����、系統(tǒng)��、產(chǎn)品或設(shè)備不必限于清楚地列出的那些步驟或單元��,而是可包括沒有清楚地列出的或?qū)τ谶@些過程�、方法�、產(chǎn)品或設(shè)備固有的其它步驟或單元。
[0021]實(shí)施例1
[0022]根據(jù)本發(fā)明實(shí)施例���,提供了一種網(wǎng)頁漏洞檢測(cè)方法�����,如圖1所示�,該方法包括:
[0023]S102,接收對(duì)待檢測(cè)目標(biāo)網(wǎng)頁執(zhí)行漏洞檢測(cè)的漏洞檢測(cè)任務(wù)���,其中���,漏洞檢測(cè)任務(wù)至少用于指示所要檢測(cè)的漏洞;
[0024]S104��,根據(jù)漏洞檢測(cè)任務(wù)獲取與漏洞對(duì)應(yīng)的配置文件����,其中,配置文件中包括用于從待檢測(cè)網(wǎng)頁中匹配出待檢測(cè)目標(biāo)網(wǎng)頁的匹配條件與用于對(duì)待檢測(cè)目標(biāo)網(wǎng)頁進(jìn)行漏洞檢測(cè)的測(cè)試用例的指示信息����;
[0025]S106���,使用配置文件檢測(cè)待檢測(cè)目標(biāo)網(wǎng)頁是否存在配置文件所指示的漏洞����。
[0026]可選地,在本實(shí)施例中��,上述網(wǎng)頁漏洞檢測(cè)方法可以應(yīng)用于如圖2所示的控制服務(wù)器202和多個(gè)網(wǎng)站服務(wù)器204所構(gòu)成的硬件環(huán)境中��。如圖2所示�����,控制服務(wù)器202通過網(wǎng)絡(luò)與多個(gè)網(wǎng)站服務(wù)器204進(jìn)行連接��,上述網(wǎng)絡(luò)包括但不限于:廣域網(wǎng)��、城域網(wǎng)或局域網(wǎng)�����?����?刂品?wù)器202利用配置文件對(duì)待檢測(cè)目標(biāo)網(wǎng)頁所在的任意一個(gè)網(wǎng)站服務(wù)器204進(jìn)行漏洞檢測(cè)����,其中,上述待檢測(cè)目標(biāo)網(wǎng)頁為從待檢測(cè)網(wǎng)頁中篩選出的與上述配置文件相匹配的用于進(jìn)行漏洞檢測(cè)的網(wǎng)頁。
[0027]可選地���,針對(duì)不同的網(wǎng)頁漏洞可以有不同的配置模板�����,根據(jù)相同或不同的配置模板為不同的漏洞檢測(cè)任務(wù)生成不同的配置文件��,其中�,上述配置模板包括與上述配置文件中的匹配條件和測(cè)試用例對(duì)應(yīng)的變量參數(shù)����,不同的配置模板的變量參數(shù)不同,根據(jù)相同的配置模板生成的不同的配置文件中的變量參數(shù)的取值不同���。進(jìn)而實(shí)現(xiàn)利用配置模板對(duì)不同的網(wǎng)頁漏洞進(jìn)行漏洞檢測(cè)�,以達(dá)到提高網(wǎng)頁漏洞的檢測(cè)效率的目的��。上述舉例只是一種示例����,本實(shí)施例對(duì)此不做任何限定���。
[0028]可選地���,在本實(shí)施例中�,上述漏洞檢測(cè)任務(wù)可以包括但不限于指示所要檢測(cè)的漏洞�、指示所要檢測(cè)的待檢測(cè)目標(biāo)網(wǎng)頁,其中用于指示上述待檢測(cè)目標(biāo)網(wǎng)頁的信息可以至少包括上述待檢測(cè)網(wǎng)頁的類型����、待檢測(cè)目標(biāo)網(wǎng)頁的后綴。
[0029]可選地��,在本實(shí)施例中�,上述配置文件中還包括以下至少之一:配置文件的描述信息、配置文件的編號(hào)���、配置文件所指示的漏洞的風(fēng)險(xiǎn)等級(jí)����、配置條件�、測(cè)試用例,其中�,上述配置條件包括但不限于:預(yù)定類型、預(yù)定后綴����,其中�,上述預(yù)定類型用于匹配待檢測(cè)網(wǎng)頁的地址的類型����,預(yù)定后綴用于匹配類型為預(yù)定類型的地址的后綴;上述測(cè)試用例的指示信息至少包括:測(cè)試用例的地址���、測(cè)試用例的輸入方式�����、測(cè)試用例所指示的漏洞的描述信息����、測(cè)試用例所指示的正則表達(dá)式���。
[0030]可選地��,在本實(shí)施例中����,上述匹配條件用于對(duì)上述待檢測(cè)網(wǎng)頁進(jìn)行篩選�����,得到存在所要檢測(cè)的漏洞的待檢測(cè)目標(biāo)網(wǎng)頁�,其中,上述匹配條件中的預(yù)定類型可以包括但不限于:用于匹配待檢測(cè)網(wǎng)頁的地址的類型��,例如�����,上述類型可以為CG1���、靜態(tài)頁面��、目錄�����。例如��,CGI為用戶對(duì)變量輸入一定參數(shù)的網(wǎng)頁,例如,a.php ? user = bingo���。上述匹配條件中的預(yù)定后綴可以但不限于用于匹配類型為預(yù)定類型的地址的后綴,例如���,structs漏洞只檢測(cè).act1n或.do為后綴的CGI����。
[0031]具體結(jié)合以下示例,如圖4所示為上述配置文件的一種示意圖���,其中��,“rulename”表示配置文件的描述信息�����。一個(gè)配置文件可以由多個(gè)變量參數(shù)組成�����;“CVeid”是該配置文件的唯一編號(hào)����,以便于對(duì)上述配置文件管理,level”表示每種漏洞的風(fēng)險(xiǎn)等級(jí)�;配置條件中的“URL類型”、“URL后綴”為指示本實(shí)施例所要檢測(cè)的漏洞的預(yù)定類型以及預(yù)定后綴���,例如����,上述配置文件所要檢測(cè)的漏洞是structs漏洞,則上述“URL類型”將設(shè)置為CGI���,“URL后綴”將設(shè)置為.act1n或.do,則在使用上述配置文件進(jìn)行檢測(cè)時(shí)�����,可以通過對(duì)上述配置文件所指示的指示信息進(jìn)行匹配�����,進(jìn)而判斷待檢測(cè)網(wǎng)頁中是否存在上述配置文件所指示的漏洞����。通過使用上述配置文件對(duì)待檢測(cè)網(wǎng)頁中的漏洞進(jìn)行檢測(cè),檢測(cè)上述待檢測(cè)網(wǎng)頁中是否存在圖4所示的配置文件所指示的漏洞���。
[0032]可選地�,在本實(shí)施例中��,上述測(cè)試用例用于對(duì)待檢測(cè)目標(biāo)網(wǎng)頁中所存在的漏洞進(jìn)行進(jìn)一步檢測(cè)���。例如��,上述測(cè)試用例的輸入地址為參數(shù)A�,輸入方式為“替換”,則將依次遍歷上述待檢測(cè)目標(biāo)網(wǎng)頁的參數(shù)A���,并將上述參數(shù)A的取值替換為測(cè)試用例取值itest����,以實(shí)現(xiàn)對(duì)上述待檢測(cè)目標(biāo)網(wǎng)頁進(jìn)行漏洞檢測(cè)���。
[0033]例如��,結(jié)合上述圖2所示的硬件場(chǎng)景��,控制服務(wù)器202與其中一臺(tái)網(wǎng)站服務(wù)器204之間的交互流程可以如圖3所示:
[0034]S302,向控制服務(wù)器202輸入待檢測(cè)目標(biāo)網(wǎng)頁
[0035]S304�,控制服務(wù)器202向上述網(wǎng)站服務(wù)器204發(fā)送配置文件中的指示信息所指示的測(cè)試用例�;
[0036]S306,網(wǎng)站服務(wù)器204響應(yīng)于測(cè)試用例向控制服務(wù)器202反饋測(cè)試結(jié)果;