本申请提供了一种用于检测网站中网页的安全漏洞的方法及装置,其中,所述方法包括:获取所述网站的特征信息;依据所述特征信息获取配置文件,所述配置文件包含检测网站中网页的安全漏洞的规则;基于所获取的配置文件中的所述规则,对所述网站中的网页进行安全漏洞检测。本申请可以灵活的更新检测规则,而无需受程序语言的限制,使得该检测方法能够及时检测出各种安全漏洞,有效提高了网站中网页的安全漏洞检测方法的可靠性。
【技术实现步骤摘要】
本申请涉及安全检测
,尤其涉及一种用于检测网站中网页的安全漏洞的方法及装置。
技术介绍
检测网站中网页的安全漏洞是用于及时发现网站中网页可能存在的安全隐患,以便采用相应的措施消除该安全隐患。所述安全漏洞例如,XSS(Cross Site Scripting,跨站脚本攻击,为避免与其他英文缩写存在名字冲突,国际惯例将CSS统一称为XSS),该XSS是在网站的正常HTML(HyperText Mark-up Language,超级文本标记语言)中插入恶意HTML代码,当用户浏览对应网站时,被恶意插入的HTML代码会被执行,从而达到恶意攻击的目的。目前的检测网站中网页的安全漏洞的方法是将具体的检测规则编码到程序中,即,密封于代码模块中。由于网络开发技术更新较快,且各种新的安全漏洞层出不穷,因此,需要不断更新检测规则。该更新操作需要熟悉相应语言的专业技术人员修改代码来实现,其对技术人员要求较高,且更新周期较长,使得该网站中网页的安全漏洞的检测方法不够灵活。因此,已有的检测网站中网页的安全漏洞的方法由于无法做到检测规则的灵活更新,使得该检测方法不能及时检测出新的安全漏洞,从而降低了该网站中网页的安全漏洞的检测方法的可靠性。
技术实现思路
本申请解决的技术问题之一是提供一种用于检测网站中网页的安全漏洞的方法及装置,能够灵活更新检测规则,以检测出各种安全漏洞,提升了检测的可靠性。根据本申请一方面的一个实施例,提供了一种用于检测网站中网页的安全漏洞的方法,包括:获取所述网站的特征信息;依据所述特征信息获取配置文件,所述配置文件包含检测网站中网页的安全漏洞的规则;基于所获取的配置文件中的所述规则,对所述网站中的网页进行安全漏洞检测。根据本申请另一方面的一个实施例,提供了一种用于检测网站中网页的安全漏洞的装置,包括:特征信息获取单元,用于获取所述网站的特征信息;配置文件获取单元,用于依据所述特征信息获取配置文件,所述配置文件包含检测网站中网页的安全漏洞的规则;检测单元,用于基于所获取的配置文件中的所述规则,对所述网站中的网页进行安全漏洞检测。本申请实施例通过配置文件存放检测网站中网页的安全漏洞的规则,而不是硬编码于程序中,使用者可以灵活的更新检测规则,而无需受程序语言的限制,使得该检测方法能够及时检测出各种安全漏洞,有效提高了网站中网页的安全漏洞检测方法的可靠性。另外,本实施例通过获取网站的特征信息,并依据获取的特征信息获取存放检测规则的配置文件,使得网站中网页的安全漏洞的检测更有针对性,能够为网站中网页选择匹配的检测规则,从而提高网站中网页的安全漏洞检测的准确性。本领域普通技术人员将了解,虽然下面的详细说明将参考图示实施例、附图进行,但本申请并不仅限于这些实施例。而是,本申请的范围是广泛的,且意在仅通过后附的权利要求限定本申请的范围。附图说明通过阅读参照以下附图所作的对非限制性实施例所作的详细描述,本申请的其它特征、目的和优点将会变得更明显:图1是根据本申请一个实施例的用于检测网站中网页的安全漏洞的方法的流程图。图2是根据本申请一个实施例的检测网站中网页的安全漏洞的规则对应的流程图。图3是根据本申请一个实施例的用于检测网站中网页的安全漏洞的装置的结构示意图。图4是根据本申请一个实施例的特征信息获取单元结构示意图。图5是根据本申请一个实施例的检测单元结构示意图。附图中相同或相似的附图标记代表相同或相似的部件。具体实施方式在更加详细地讨论示例性实施例之前应当提到的是,一些示例性实施例被描述成作为流程图描绘的处理或方法。虽然流程图将各项操作描述成顺序的处理,但是其中的许多操作可以被并行地、并发地或者同时实施。此外,各项操作的顺序可以被重新安排。当其操作完成时所述处理可以被终止,但是还可以具有未包括在附图中的附加步骤。所述处理可以对应于方法、函数、规程、子例程、子程序等等。所述计算机设备包括用户设备与网络设备。其中,所述用户设备包括但不限于电脑、智能手机、PDA等;所述网络设备包括但不限于单个网络服务器、多个网络服务器组成的服务器组或基于云计算(Cloud Computing)的由大量计算机或网络服务器构成的云,其中,云计算是分布式计算的一种,由一群松散耦合的计算机集组成的一个超级虚拟计算机。其中,所述计算机设备可单独运行来实现本申请,也可接入网络并通过与网络中的其他计算机设备的交互操作来实现本申请。其中,所述计算机设备所处的网络包括但不限于互联网、广域网、城域网、局域网、VPN网络等。需要说明的是,所述用户设备、网络设备和网络等仅为举例,其他现有的或今后可能出现的计算机设备或网络如可适用于本申请,也应包含在本申请保护范围以内,并以引用方式包含于此。后面所讨论的方法(其中一些通过流程图示出)可以通过硬件、软件、
固件、中间件、微代码、硬件描述语言或者其任意组合来实施。当用软件、固件、中间件或微代码来实施时,用以实施必要任务的程序代码或代码段可以被存储在机器或计算机可读介质(比如存储介质)中。(一个或多个)处理器可以实施必要的任务。这里所公开的具体结构和功能细节仅仅是代表性的,并且是用于描述本申请的示例性实施例的目的。但是本申请可以通过许多替换形式来具体实现,并且不应当被解释成仅仅受限于这里所阐述的实施例。应当理解的是,虽然在这里可能使用了术语“第一”、“第二”等等来描述各个单元,但是这些单元不应当受这些术语限制。使用这些术语仅仅是为了将一个单元与另一个单元进行区分。举例来说,在不背离示例性实施例的范围的情况下,第一单元可以被称为第二单元,并且类似地第二单元可以被称为第一单元。这里所使用的术语“和/或”包括其中一个或更多所列出的相关联项目的任意和所有组合。应当理解的是,当一个单元被称为“连接”或“耦合”到另一单元时,其可以直接连接或耦合到所述另一单元,或者可以存在中间单元。与此相对,当一个单元被称为“直接连接”或“直接耦合”到另一单元时,则不存在中间单元。应当按照类似的方式来解释被用于描述单元之间的关系的其他词语(例如“处于...之间”相比于“直接处于...之间”,“与...邻近”相比于“与...直接邻近”等等)。这里所使用的术语仅仅是为了描述具体实施例而不意图限制示例性实施例。除非上下文明确地另有所指,否则这里所使用的单数形式“一个”、“一项”还意图包括复数。还应当理解的是,这里所使用的术语“包括”和/或“包含”规定所陈述的特征、整数、步骤、操作、单元和/或组件的存在,而不排除存在或添加一个或更多其他特征、整数、步骤、操作、单元、组件和/或其组合。还应当提到的是,在一些替换实现方式中,所提到的功能/动作可以按照不同于附图中标示的顺序发生。举例来说,取决于所涉及的功能/动作,相继示出的两幅图实际上可以基本上同时执行或者有时可以按照相反的顺序来执行。本申请实施例中所述URL(Uniform Resource Locator,统一资源定位符),其包含从互联网上得到的资源的位置信息以及浏览器对该位置信息的处理方法,互联网上的每个文件都有一个唯一的URL。下面结合附图对本申请的技术方案作进一步详细描述。图1是根据本申请一个实施例的检测网站中网页安全漏洞的方法的流程图,该方法可由网络侧设备执行,例如本文档来自技高网...
【技术保护点】
一种用于检测网站中网页的安全漏洞的方法,其特征在于,包括:获取所述网站的特征信息;依据所述特征信息获取配置文件,所述配置文件包含检测网站中网页的安全漏洞的规则;基于所获取的配置文件中的所述规则,对所述网站中的网页进行安全漏洞检测。
【技术特征摘要】
1.一种用于检测网站中网页的安全漏洞的方法,其特征在于,包括:获取所述网站的特征信息;依据所述特征信息获取配置文件,所述配置文件包含检测网站中网页的安全漏洞的规则;基于所获取的配置文件中的所述规则,对所述网站中的网页进行安全漏洞检测。2.如权利要求1所述的方法,其特征在于,所述网站的特征信息包括:网站所使用的开发语言,所述获取所述网站的特征信息包括:基于所述网站中的网页的统一资源定位符中的文件名获取网站所使用的开发语言。3.如权利要求1所述的方法,其特征在于,所述网站的特征信息包括:网站所属的应用类型,所述获取所述网站的特征信息包括:提取网站中的网页的超级文本标记语言中的指定参数;将所述指定参数与预设应用类型集中的应用类型的类型特征匹配;将类型特征匹配的应用类型作为获取的所述网站所属的应用类型。4.如权利要求1所述的方法,其特征在于,所述网站的特征信息包括:网站服务器类型,所述获取所述网站的特征信息包括:基于网站中的网页的超级文本标记语言中携带的服务器信息获取网站服务器类型。5.如权利要求1所述的方法,其特征在于,所述网站的特征信息包括:网站模块类型,所述获取所述网站的特征信息包括:基于所述网站服务器通信所用的超文本传输协议中携带的网站模块类型信息获取网站模块类型。6.如权利要求1所述的方法,其特征在于,预先存储有网站的特征信息与配置文件的对应关系,所述依据所述特征信息获取配置文件包括:参照预先存储的网站的特征信息与配置文件的对应关系,依据所述特征信息获取配置文件。7.如权利要求1至6中任一项所述的方法,其特征在于,检测网站中网页的安全漏洞包括:对网站中网页的统一资源定位符加入干扰信息;发送带有加入干扰信息后的统一资源定位符的请求;接收来自网站服务器的响应信息,若响应信息中包含漏洞特征,则确定所述网站的网页存在安全漏洞,其中不同的配置文件中的检测网站中网页的安全漏洞的规则在如下的至少一个方面不同:向网站中网页的统一资源定位符加入的干扰信息不同;发送带有加入干扰信息后的统一资源定位符的请求的数目不同;漏洞特征不同。8.一种用于检测网站中网页的安全漏洞的装置,其特征在于,包括:特征信息...
【专利技术属性】
技术研发人员:张利海,
申请(专利权)人:阿里巴巴集团控股有限公司,
类型:发明
国别省市:开曼群岛;KY
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。