【技术实现步骤摘要】
本专利技术涉及通信
,尤其涉及一种检测漏洞的方法及装置。
技术介绍
文档对象模型(DocumentObject Model, dom)型跨站脚本(CrossSiteScripting, xss)漏洞是网页中一种常见的漏洞。由于Dom允许程序或脚本动态的访问和更新文档内容、结构和样式,dom中的一些对象属性和方法可以通过javascript直接操纵,如统一资源定位符(Uniform ResourceLocator, URL)、location、write等,而且客户端脚本可以通过dom动态检查和修改页面内容,并不依赖于服务器返回的页面,因此,如果用户输入的数据没有经过严格确认就用于页面dom的构建,就会产生dom型xss漏洞。目前,在对一个网站服务器进行安全漏洞检测时,通常会检测网站服务器在向客户端推送页面时,是否可以有效的滤掉页面中存在的dom型xss漏洞,如果网站服务器过滤掉了页面中存在的dom型xss漏洞,则说明网站服务器不存在安全漏洞,否则,说明网站服务器存在安全漏洞。在现有技术中,检测网站服务器是否可以有效的过滤掉页面中存在的dom型xss漏洞的方法有以下两种。第一种、构造dom型xss漏洞,并判断网站服务器是否可以过滤掉构造的该dom型xss漏洞,具体如图1所示。图1为现有技术中的第一种检测漏洞的过程,具体包括以下步骤:SlOl:检测装置获得待检测URL。S102:在该待检测URL的参数中添加预设的特殊字符串。S103:检测装置生成用于访问添加了特殊字符串的待检测URL的超文本传输协议(Hyper Text Transport Proto ...
【技术保护点】
一种检测漏洞的方法,其特征在于,包括:检测装置获得待检测统一资源定位符URL,在所述待检测URL的参数中添加预设的特殊字符串,所述特殊字符串中包括定位字符串和检测字符串;并生成用于访问添加了所述特殊字符串的待检测URL的超文本传输协议HTTP请求,并在所述HTTP请求中添加所述特殊字符串;以及采用添加了所述特殊字符串的HTTP请求对添加了所述特殊字符串的待检测URL进行访问,并接收所述待检测URL对应的网站服务器返回的页面;所述检测装置模拟浏览器对所述页面进行加载,查找加载后的页面的超文本标记语言HTML代码中包含的定位字符串,确定查找到的定位字符串所定位出的检测位置;如果加载后的页面的HTML代码中的检测位置上存在检测字符串,则确定所述待检测URL对应的网站服务器存在安全漏洞,如果加载后的页面的HTML代码中的检测位置上不存在检测字符串,或者存在将检测字符串转译或编码后的代码,则确定所述待检测URL对应的网站服务器不存在安全漏洞。
【技术特征摘要】
1.一种检测漏洞的方法,其特征在于,包括: 检测装置获得待检测统一资源定位符URL,在所述待检测URL的参数中添加预设的特殊字符串,所述特殊字符串中包括定位字符串和检测字符串;并 生成用于访问添加了所述特殊字符串的待检测URL的超文本传输协议HTTP请求,并在所述HTTP请求中添加所述特殊字符串;以及 采用添加了所述特殊字符串的HTTP请求对添加了所述特殊字符串的待检测URL进行访问,并接收所述待检测URL对应的网站服务器返回的页面; 所述检测装置模拟浏览器对所述页面进行加载,查找加载后的页面的超文本标记语言HTML代码中包含的定位字符串,确定查找到的定位字符串所定位出的检测位置; 如果加载后的页面的HTML代码中的检测位置上存在检测字符串,则确定所述待检测URL对应的网站服务器存在安全漏洞,如果加载后的页面的HTML代码中的检测位置上不存在检测字符串,或者存在将检测字符串转译或编码后的代码,则确定所述待检测URL对应的网站服务器不存在安全漏洞。2.按权利要求1所述的方法,其特征在于,所述检测装置在模拟浏览器对所述页面进行加载之前,所述方法还包括: 获取所述待检测URL对应的页面,确定所述待检测URL对应的页面的HTML代码中存在满足指定条件的dom元素,其中,满足指定条件的dom元素为:同时存在输入点和输出点的dom j Li ο3.按权利要求1所述的方法,其特征在于,在所述待检测URL的参数中添加预设的特殊字符串,具体包括: 识别所述待检测URL中的每个参数和锚点;并 针对识别出的每个参数,在该参数后添加所述特殊字符串;以及 针对识别出的每个锚点,在该锚点中添加所述特殊字符串。4.按权利要求1所述的方法,其特征在于,在所述HTTP请求中添加所述特殊字符串,具体包括: 构造包含所述特殊字符串的Referer字段,并将所述Referer字段添加到所述HTTP请求的请求头中。5.按权利要求1所述的方法,其特征在于,生成用于访问添加了所述特殊字符串的待检测URL的HTTP请求之前,所述方法还包括: 在添加了所述特殊字符串的待检测URL中添加错误参数; 当加载后的页面的HTML代码中的检测位置上不存在检测字符串,或者存在将检测字符串转译或编码后的代码时,所述方法还包括: 如果加载后的页面的HTML代码中包含了所述错误参数,则确定所述待检测URL对应的网站服务器存在安全漏洞,如果加载后的页面的HTML代码中包含了将所述错误参数转译或编码后的代码,或者未包含所述错误参数,则确定所述...
【专利技术属性】
技术研发人员:罗诗尧,
申请(专利权)人:微梦创科网络科技中国有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。