This is a page for security detection method, device and equipment, the method includes: the page is loaded before injection based on safety testing framework of Hook to be the default page is loaded, the security detection framework towards rewriting and detection measurement script; safety testing framework treat specimen loading in the page through the rewrite; by rewriting the specimen after the monitoring body at runtime call information to be detected; using the security detection framework for judging whether the call information of the specimen is based on safety, safety inspection so as to realize the code run through Hook, so as to improve the ability of mining Web vulnerabilities and front end sensitive information.
【技术实现步骤摘要】
页面安全检测方法、装置及设备
本申请涉及检测
,尤其涉及页面安全检测方法、装置及设备。
技术介绍
web应用逐渐深入与普及,大量的重要信息存储于其中,同时由于web应用系统具有多样性和开放性的特点,导致web应用系统极易成为入侵者攻击的对象。由于web应用系统的重要性及其所面临的安全威胁的严峻形势,为了提高web应用系统的安全性,可以采用白盒检测或黑盒检测方法挖掘web前端漏洞和敏感信息。白盒检测通过检查软件内部的逻辑结果,在软件系统中设置多个检查点,在对软件进行逻辑路径遍历的过程中,检查程序在每个监测点的状态是否与预期状态一致,进而判断软件系统是否存在缺陷。可见,利用白盒检测需要对页面中待测函数/对象的代码进行解析,当代码较复杂时无法有效寻找漏洞或敏感信息。黑盒检测是一种基于测试用例的测试,通过测试用例对软件程序接口进行测试,检查程序功能是否正常,程序是否能正确地接收输入数据并产生正确的输出信息,同时能保持外部信息的完整性。可见,依赖于测试用例的检测很难测试全面,挖掘web前端漏洞或敏感信息的能力差。
技术实现思路
本申请提供页面安全检测方法、装置及设备,以解决现有技术中挖掘web前端漏洞或敏感信息的能力差的问题。根据本申请实施例的第一方面,提供一种页面安全检测方法,所述方法包括:在加载页面之前,向待加载页面注入预设的基于Hook的安全检测框架,所述安全检测框架包括对待测体进行重写和检测的脚本;通过所述安全检测框架对待加载页面中的待测体进行重写;通过重写后的待测体获取通过重写后的待测体监测待测体在运行时的调用信息;利用所述安全检测框架基于所述调用信息判 ...
【技术保护点】
一种页面安全检测方法,该方法应用于计算机设备,其特征在于,所述方法包括:在加载页面之前,向待加载页面注入预设的基于Hook的安全检测框架,所述安全检测框架包括对待测体进行重写和检测的脚本;通过所述安全检测框架对待加载页面中的待测体进行重写;通过重写后的待测体监测待测体在运行时的调用信息;利用所述安全检测框架基于所述调用信息判断所述待测体是否安全。
【技术特征摘要】
1.一种页面安全检测方法,该方法应用于计算机设备,其特征在于,所述方法包括:在加载页面之前,向待加载页面注入预设的基于Hook的安全检测框架,所述安全检测框架包括对待测体进行重写和检测的脚本;通过所述安全检测框架对待加载页面中的待测体进行重写;通过重写后的待测体监测待测体在运行时的调用信息;利用所述安全检测框架基于所述调用信息判断所述待测体是否安全。2.根据权利要求1所述的方法,其特征在于,所述向待加载页面注入预设的基于Hook的安全检测框架,包括:通过浏览器插件向待加载页面注入预设的基于Hook的安全检测框架。3.根据权利要求1所述的方法,其特征在于,所述待测体包括待测试对象的接口、待测试函数、待测试对象的属性中的一种或多种,所述脚本为Javascript脚本。4.根据权利要求1所述的方法,其特征在于,所述待测体包括待测试对象的属性,所述通过所述安全检测框架对待加载页面中的待测体进行重写,包括:所述安全检测框架通过调用待加载页面中待测试对象的getter函数和setter函数以重写所述待测试对象的属性;所述通过重写后的待测体监测待测体在运行时的调用信息,包括:通过重写后的待测试对象的属性获取该属性被读取或修改时的调用信息。5.根据权利要求1至4任一所述的方法,其特征在于,利用所述安全检测框架基于所述调用信息判断所述待测体是否安全,包括:通过所述安全检测框架获取调用待测体的调用方,根据所述调用方和所述调用信息判断所述待测体是否安全。6.一种页面安全检测装置,该装置应用于计算机设备,其特征在于,所述装置包括:框架注入模块,用于在加载页面之前,向待加载页面注入预设的基于Hook的安全检测框架,所述安全检测框架包括对待测体进行重写和检测的脚本;...
【专利技术属性】
技术研发人员:姜晨炜,
申请(专利权)人:阿里巴巴集团控股有限公司,
类型:发明
国别省市:开曼群岛,KY
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。