页面安全检测方法、装置及设备制造方法及图纸

本申请是关于页面安全检测方法、装置及设备，所述方法包括：在加载页面之前，向待加载页面注入预设的基于Hook的安全检测框架，所述安全检测框架包括对待测体进行重写和检测的脚本；通过所述安全检测框架对待加载页面中的待测体进行重写；通过重写后的待测体监测待测体在运行时的调用信息；利用所述安全检测框架基于所述调用信息判断所述待测体是否安全，从而通过Hook实现代码运行时的安全检测，从而提高挖掘web前端漏洞和敏感信息的能力。

Method, device and equipment for page security detection

This is a page for security detection method, device and equipment, the method includes: the page is loaded before injection based on safety testing framework of Hook to be the default page is loaded, the security detection framework towards rewriting and detection measurement script; safety testing framework treat specimen loading in the page through the rewrite; by rewriting the specimen after the monitoring body at runtime call information to be detected; using the security detection framework for judging whether the call information of the specimen is based on safety, safety inspection so as to realize the code run through Hook, so as to improve the ability of mining Web vulnerabilities and front end sensitive information.

【技术实现步骤摘要】
页面安全检测方法、装置及设备
本申请涉及检测
，尤其涉及页面安全检测方法、装置及设备。
技术介绍
web应用逐渐深入与普及，大量的重要信息存储于其中，同时由于web应用系统具有多样性和开放性的特点，导致web应用系统极易成为入侵者攻击的对象。由于web应用系统的重要性及其所面临的安全威胁的严峻形势，为了提高web应用系统的安全性，可以采用白盒检测或黑盒检测方法挖掘web前端漏洞和敏感信息。白盒检测通过检查软件内部的逻辑结果，在软件系统中设置多个检查点，在对软件进行逻辑路径遍历的过程中，检查程序在每个监测点的状态是否与预期状态一致，进而判断软件系统是否存在缺陷。可见，利用白盒检测需要对页面中待测函数/对象的代码进行解析，当代码较复杂时无法有效寻找漏洞或敏感信息。黑盒检测是一种基于测试用例的测试，通过测试用例对软件程序接口进行测试，检查程序功能是否正常，程序是否能正确地接收输入数据并产生正确的输出信息，同时能保持外部信息的完整性。可见，依赖于测试用例的检测很难测试全面，挖掘web前端漏洞或敏感信息的能力差。
技术实现思路
本申请提供页面安全检测方法、装置及设备，以解决现有技术中挖掘web前端漏洞或敏感信息的能力差的问题。根据本申请实施例的第一方面，提供一种页面安全检测方法，所述方法包括：在加载页面之前，向待加载页面注入预设的基于Hook的安全检测框架，所述安全检测框架包括对待测体进行重写和检测的脚本；通过所述安全检测框架对待加载页面中的待测体进行重写；通过重写后的待测体获取通过重写后的待测体监测待测体在运行时的调用信息；利用所述安全检测框架基于所述调用信息判断所述待测体是否安全。根据本申请实施例的第二方面，提供一种页面安全检测装置，所述装置包括：框架注入模块，用于在加载页面之前，向待加载页面注入预设的基于Hook的安全检测框架，所述安全检测框架包括对待测体进行重写和检测的脚本；重写模块，用于通过所述安全检测框架对待加载页面中的待测体进行重写；信息监测模块，用于通过重写后的待测体监测待测体在运行时的调用信息；安全判断模块，用于利用所述安全检测框架基于所述调用信息判断所述待测体是否安全。根据本申请实施例的第三方面，提供一种计算机设备，包括：处理器；用于存储所述处理器可执行指令的存储器；其中，所述处理器被配置为：在加载页面之前，向待加载页面注入预设的基于Hook的安全检测框架，所述安全检测框架包括对待测体进行重写和检测的脚本；通过所述安全检测框架对待加载页面中的待测体进行重写；通过重写后的待测体获取通过重写后的待测体监测待测体在运行时的调用信息；利用所述安全检测框架基于所述调用信息判断所述待测体是否安全。应用本申请实施例页面安全检测方法、装置及设备时，通过向待加载页面注入基于Hook的安全检测框架，利用安全检测框架重写待加载页面中的待测体，并通过重写后的待测体监测待测体在运行时的调用信息，并根据调用信息判断待测体是否安全，从而实现通过Hook实现代码运行时的安全检测，从而提高挖掘web前端漏洞和敏感信息的能力。应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本公开。附图说明此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本申请的实施例，并与说明书一起用于解释本公开的原理。图1为本申请页面安全检测方法的一个实施例流程图。图2为本申请页面安全检测装置所在计算机设备的一种硬件结构图。图3为本申请页面安全检测装置的一个实施例框图。具体实施方式这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本公开相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本公开的一些方面相一致的装置和方法的例子。在本公开使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本公开。在本公开和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。应当理解，尽管在本公开可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本公开范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。随着信息技术的发展，网络逐渐渗透到社会的各个领域，人们不管是生活、工作还是娱乐都离不开网络，所以有一个安全健康稳定的网络环境是非常重要的。web应用进入了一个崭新的阶段，内容的动态化和实时共享让阻挡不良内容和恶意软件变的更加复杂，web网站遭受的攻击也越来越多。web攻击可以是黑客通过修改url来完成攻击，包括获取网站数据库内容，获得服务器root权限，窃取用户数据等。常见的web攻击类型如web漏洞、敏感数据等。web漏洞通常是指网站程序上的漏洞，可能是由于代码编写者在编写代码时考虑不周全等原因而造成的漏洞，常见的web漏洞有SQL注入、跨站脚本攻击(XSS)、上传漏洞等。如果网站存在web漏洞并被黑客攻击者利用，攻击者可以轻易控制整个网站，并获取网站服务器权限，控制整个服务器。为此，进行web安全检测，特别是web前端安全检测，就显得越来越重要。传统技术中利用白盒检测需要对页面中待测函数/对象的代码进行解析，当代码较复杂时无法有效寻找漏洞或敏感信息，而黑盒依赖于测试用例，由于测试用例的不完善性，导致测试不全面，挖掘web前端漏洞或敏感信息的能力差。为了避免挖掘web前端漏洞或敏感信息的能力差的缺陷，本申请提供一种页面安全检测方法，通过向待加载页面注入基于Hook的安全检测框架，利用安全检测框架重写待加载页面中的待测体，并对待测体进行监控，当执行待测体时，可以通过重写后的待测体监测待测体在运行时的调用信息，并根据调用信息判断待测体是否安全，从而实现通过Hook在代码运行时进行安全检测，从而提高挖掘web前端漏洞和敏感信息的能力。如图1所示，图1为本申请页面安全检测方法的一个实施例流程图，该方法可以应用在计算机设备上，包括以下步骤101至步骤104：在步骤101中，在加载页面之前，向待加载页面注入预设的基于Hook的安全检测框架，所述安全检测框架包括对待测体进行重写和检测的脚本。在步骤102中，通过所述安全检测框架对待加载页面中的待测体进行重写。在步骤103中，通过重写后的待测体监测待测体在运行时的调用信息。在步骤104中，利用所述安全检测框架基于所述调用信息判断所述待测体是否安全。本申请实施例中，计算机设备可以是各种可以运行web应用的电子设备，电子设备可以是智能手机、平板计算机、PDA(PersonalDigitalAssistant，个人数字助理)、PC等具有web应用的电子设备。待测体是网页中需要检测的一方。例如，待测体可以是待测对象的接口，可以是待测函数，还可以是待测对象的属性。在一个可选的实现方式本文档来自技高网...

【技术保护点】
一种页面安全检测方法，该方法应用于计算机设备，其特征在于，所述方法包括：在加载页面之前，向待加载页面注入预设的基于Hook的安全检测框架，所述安全检测框架包括对待测体进行重写和检测的脚本；通过所述安全检测框架对待加载页面中的待测体进行重写；通过重写后的待测体监测待测体在运行时的调用信息；利用所述安全检测框架基于所述调用信息判断所述待测体是否安全。

【技术特征摘要】
1.一种页面安全检测方法，该方法应用于计算机设备，其特征在于，所述方法包括：在加载页面之前，向待加载页面注入预设的基于Hook的安全检测框架，所述安全检测框架包括对待测体进行重写和检测的脚本；通过所述安全检测框架对待加载页面中的待测体进行重写；通过重写后的待测体监测待测体在运行时的调用信息；利用所述安全检测框架基于所述调用信息判断所述待测体是否安全。2.根据权利要求1所述的方法，其特征在于，所述向待加载页面注入预设的基于Hook的安全检测框架，包括：通过浏览器插件向待加载页面注入预设的基于Hook的安全检测框架。3.根据权利要求1所述的方法，其特征在于，所述待测体包括待测试对象的接口、待测试函数、待测试对象的属性中的一种或多种，所述脚本为Javascript脚本。4.根据权利要求1所述的方法，其特征在于，所述待测体包括待测试对象的属性，所述通过所述安全检测框架对待加载页面中的待测体进行重写，包括：所述安全检测框架通过调用待加载页面中待测试对象的getter函数和setter函数以重写所述待测试对象的属性；所述通过重写后的待测体监测待测体在运行时的调用信息，包括：通过重写后的待测试对象的属性获取该属性被读取或修改时的调用信息。5.根据权利要求1至4任一所述的方法，其特征在于，利用所述安全检测框架基于所述调用信息判断所述待测体是否安全，包括：通过所述安全检测框架获取调用待测体的调用方，根据所述调用方和所述调用信息判断所述待测体是否安全。6.一种页面安全检测装置，该装置应用于计算机设备，其特征在于，所述装置包括：框架注入模块，用于在加载页面之前，向待加载页面注入预设的基于Hook的安全检测框架，所述安全检测框架包括对待测体进行重写和检测的脚本；...

【专利技术属性】
技术研发人员：姜晨炜，
申请(专利权)人：阿里巴巴集团控股有限公司，
类型：发明
国别省市：开曼群岛,KY