一種檢測web頁面漏洞的方法及系統(tǒng)的制作方法
【技術(shù)領域】
[0001]本發(fā)明涉及網(wǎng)絡技術(shù)領域,特別是網(wǎng)絡安全技術(shù)領域����,具體為一種檢測web頁面漏洞的方法及系統(tǒng)。
【背景技術(shù)】
[0002]WEB漏洞通常是指網(wǎng)站程序上的漏洞��,可能是由于代碼編寫者在編寫代碼時考慮不周全等原因而造成的漏洞���,常見的WEB漏洞有Sql注入、Xss漏洞�����、上傳漏洞等����。如果網(wǎng)站存在WEB漏洞并被黑客攻擊者利用,攻擊者可以輕易控制整個網(wǎng)站�,并可進一步提權(quán)獲取網(wǎng)站服務器權(quán)限,控制整個服務器�����。
[0003]隨著html5的流行,web應用進入了一個親新的階段�����,內(nèi)容的動態(tài)化和實時共享讓阻擋不良內(nèi)容和惡意軟件變的更加復雜��,這對網(wǎng)站的安全存在極大的隱患��。目前的做法是很少有人關(guān)心web應用層上的信息安全攻擊�����,等出現(xiàn)問題后再直接關(guān)閉瀏覽器�����,其實現(xiàn)在有很大一部分攻擊都是發(fā)生在web應用層而非網(wǎng)絡層上?,F(xiàn)有技術(shù)的缺點是:一般是不做什么檢測,這當出現(xiàn)頁面解析欺騙時�����,瀏覽器處理多個函數(shù)競爭發(fā)生邏輯上的錯誤時會導致瀏覽器導航到另外的url地址,實際卻沒有加載響應頁面���,不僅給用戶使用帶了極大的不便也可能存在泄密��。
[0004]如何對web頁面漏洞進行檢測避免上述問題成為本領域技術(shù)人員亟待解決的問題�����。
【發(fā)明內(nèi)容】
[0005]鑒于以上所述現(xiàn)有技術(shù)的缺點���,本發(fā)明的目的在于提供一種檢測web頁面漏洞的方法及系統(tǒng),用于解決現(xiàn)有技術(shù)中對web頁面漏洞的檢測不方便且不安全的問題��。
[0006]為實現(xiàn)上述目的及其他相關(guān)目的�,本發(fā)明提供一種檢測web頁面漏洞的方法,用于在所述瀏覽器中輸入預設的網(wǎng)絡地址打開web頁面之前�����,所述檢測web頁面漏洞的方法包括:根據(jù)在所述瀏覽器中輸入的網(wǎng)絡地址虛擬訪問網(wǎng)頁���,并獲取所述網(wǎng)頁的源代碼;根據(jù)預設的漏洞檢測規(guī)則判斷所述網(wǎng)頁的源代碼是否存在頁面漏洞�����,若存在頁面漏洞,則進行頁面漏洞提示�����。
[0007]作為本發(fā)明的一種優(yōu)選方案���,所述頁面漏洞為頁面解析欺騙或/和頁面標簽欺騙����。
[0008]作為本發(fā)明的一種優(yōu)選方案���,判斷所述頁面解析欺騙的漏洞檢測規(guī)則包括:判斷獲取的所述網(wǎng)頁的源代碼中是否同時包括導航函數(shù)和對話框函數(shù)���。
[0009]作為本發(fā)明的一種優(yōu)選方案,判斷所述頁面解析欺騙的漏洞檢測規(guī)則包括:判斷獲取的所述網(wǎng)頁的源代碼中是否同時包括導航函數(shù)和寫頁面函數(shù)����。
[0010]作為本發(fā)明的一種優(yōu)選方案,所述頁面漏洞提示包括:對所述網(wǎng)頁的源代碼的漏洞部分進行標識�。
[0011]為實現(xiàn)上述目的,本發(fā)明還提供一種檢測web頁面漏洞的系統(tǒng)�,用于在所述瀏覽器中輸入預設的網(wǎng)絡地址打開web頁面之前,所述檢測web頁面漏洞的系統(tǒng)包括:網(wǎng)頁源代碼獲取模塊,用于根據(jù)在所述瀏覽器中輸入的網(wǎng)絡地址虛擬訪問網(wǎng)頁�,并獲取所述網(wǎng)頁的源代碼;漏洞檢測規(guī)則存儲模塊�����,用于存儲漏洞檢測規(guī)則��;漏洞檢測模塊�����,分別與所述標簽添加模塊和所述漏洞檢測規(guī)則存儲模塊相連���,用于根據(jù)預設的漏洞檢測規(guī)則判斷所述網(wǎng)頁的源代碼是否存在頁面漏洞����;提示模塊�����,與所述漏洞檢測模塊相連�����,用于在存在頁面漏洞時進行頁面漏洞提示�。
[0012]作為本發(fā)明的一種優(yōu)選方案,所述頁面漏洞為頁面解析欺騙或/和頁面標簽欺騙�。
[0013]作為本發(fā)明的一種優(yōu)選方案,在所述漏洞檢測規(guī)則存儲模塊中��,判斷所述頁面解析欺騙的漏洞檢測規(guī)則包括:判斷獲取的所述網(wǎng)頁的源代碼中是否同時包括導航函數(shù)和對話框函數(shù)��。
[0014]作為本發(fā)明的一種優(yōu)選方案�����,在所述漏洞檢測規(guī)則存儲模塊中�����,判斷所述頁面解析欺騙的漏洞檢測規(guī)則包括:判斷獲取的所述網(wǎng)頁的源代碼中是否同時包括導航函數(shù)和寫頁面函數(shù)�。
[0015]作為本發(fā)明的一種優(yōu)選方案,所述提示模塊包括:對所述網(wǎng)頁的源代碼的漏洞部分進行標識的標識提示單元��。
[0016]如上所述��,本發(fā)明的一種檢測web頁面漏洞的方法及系統(tǒng)����,具有以下有益效果:
[0017]1��、本發(fā)明提前檢測頁面網(wǎng)站的安全性�,實現(xiàn)自動化檢測頁面是否存在頁面標簽欺騙����、頁面解析欺騙等造成的漏洞帶來的網(wǎng)站的安全隱患,杜絕類似頁面標簽欺騙���、頁面解析欺騙類似造成的漏洞�,預防某些利用這些可能存在的漏洞實現(xiàn)域上面的欺騙��,發(fā)動釣魚攻擊��,保護用戶的隱私��,給用戶提供一個安全可靠的網(wǎng)站�。
[0018]2、本發(fā)明可以自動化檢測網(wǎng)頁并標識在可能存在的問題在第幾行���,為編程者節(jié)約了大量的時間����,提高了工作效率���。
[0019]3��、本發(fā)明簡單高效���,具有較強的通用性和實用性。
【附圖說明】
[0020]圖1顯示為本發(fā)明的檢測web頁面漏洞的方法的流程示意圖�����。
[0021]圖2顯示為本發(fā)明的檢測web頁面漏洞的系統(tǒng)的結(jié)構(gòu)示意圖��。
[0022]元件標號說明
[0023]I檢測web頁面漏洞的系統(tǒng)
[0024]11網(wǎng)頁源代碼獲取模塊
[0025]12漏洞檢測規(guī)則存儲模塊
[0026]13漏洞檢測模塊
[0027]14提示模塊
[0028]141 標識提示單元
[0029]511?513步驟
【具體實施方式】
[0030]以下通過特定的具體實例說明本發(fā)明的實施方式�,本領域技術(shù)人員可由本說明書所揭露的內(nèi)容輕易地了解本發(fā)明的其他優(yōu)點與功效。本發(fā)明還可以通過另外不同的【具體實施方式】加以實施或應用�,本說明書中的各項細節(jié)也可以基于不同觀點與應用,在沒有背離本發(fā)明的精神下進行各種修飾或改變��。
[0031]本發(fā)明的目的在于提供一種檢測web頁面漏洞的方法及系統(tǒng)���,用于解決現(xiàn)有技術(shù)中對web頁面漏洞的檢測不方便且不安全的問題�。以下將詳細闡述本發(fā)明的一種檢測web頁面漏洞的方法及系統(tǒng)的原理及實施方式����,使本領域技術(shù)人員不需要創(chuàng)造性勞動即可理解本發(fā)明的一種檢測web頁面漏洞的方法及系統(tǒng)����。
[0032]本實施例提供一種檢測web頁面漏洞的方法及系統(tǒng)����,提前檢測頁面網(wǎng)站的安全性,杜絕類似頁面標簽欺騙���、頁面解析欺騙類似造成的漏洞���,解決web頁面中某些注入漏洞和跨站腳本漏洞給網(wǎng)站安全帶來的威脅。
[0033]本實施例提供一種檢測web頁面漏洞的方法��,用于在所述瀏覽器中輸入預設的網(wǎng)絡地址打開web頁面之前����,具體地,如圖1所示����,所述檢測web頁面漏洞的方法包括以下步驟。
[0034]步驟S11�,根據(jù)在所述瀏覽器中輸入的網(wǎng)絡地址虛擬訪問網(wǎng)頁,并獲取所述網(wǎng)頁的源代碼��。
[0035]具體地,在本實施例中�,在執(zhí)行步驟Sll前,需要先在瀏覽器內(nèi)輸入網(wǎng)站地址�,來觸發(fā)本實施例中的檢測web頁面漏洞的方法�����,其中��,所述網(wǎng)站地址為任意可請求的有效網(wǎng)站鏈接地址�。
[0036]在步驟Sll中,根據(jù)在所述瀏覽器中輸入的網(wǎng)絡地址虛擬訪問網(wǎng)頁���,虛擬訪問網(wǎng)頁的目的是獲取網(wǎng)頁的源代碼��。
[0037]步驟S12�����,根據(jù)預設的漏洞檢測規(guī)則判斷所述網(wǎng)頁的源代碼是否存在頁面漏洞��,若存在頁面漏洞�����,則接著執(zhí)行步驟S13��,若不存在漏洞��,則結(jié)束本次對WEB頁面漏洞的檢測��。
[0038]具體地���,在本實施例中�����,所述頁面漏洞包括但不限于:頁面解析欺騙��、頁面標簽欺騙等常見web頁面漏洞���,也可以為其他常見的頁面漏洞。
[0039]頁面解析欺騙是由于導航函數(shù)和對話框函數(shù)之間的阻塞或?qū)Ш胶瘮?shù)和寫頁面函數(shù)之間的阻塞��,我們只要在規(guī)則里判斷是否同時包含window, open O和alert()���,window,open O和document, write O等類似的函數(shù)即可�。
[0040]目前現(xiàn)有技術(shù)中已經(jīng)有很多種web頁面漏洞檢測手段,可根據(jù)web頁面常見的漏洞采取相應的漏洞檢測手段���,再根據(jù)采取的漏洞檢測手段制定相應的漏洞檢測規(guī)則��。
[0041]具體地����,在本實施例中�,判斷所述頁面解析欺騙的漏洞檢測規(guī)則包括:判斷獲取的所述網(wǎng)頁的源代碼中是否同時包括導航函數(shù)和對話框函數(shù)��,或者判斷獲取的所述網(wǎng)頁的源代碼中是否同時包括導航函數(shù)和寫頁面函數(shù)���。其中�����,所述導航函數(shù)為window.0penO����,所述對話框函數(shù)為alert O��,所述寫頁面函數(shù)為document, write O���。
[0042]頁面標簽欺騙的漏洞檢測規(guī)則可采用現(xiàn)有技術(shù)中常見的漏洞檢測方法中的規(guī)則����,在此不再贅述。此外���,其他web頁面漏洞的漏洞檢測規(guī)則均可采用現(xiàn)有技術(shù)中常見的漏洞檢測方法中的規(guī)則����,在此不再贅述����。
[0043]本實施例的檢測web頁面漏洞的方法可以自動化檢測頁面是否存在頁面標簽欺騙、頁面解析欺騙等造成的漏洞帶來的網(wǎng)站的安全隱患�����,杜絕類似頁面標簽欺騙�、頁面解析欺騙類似造成的漏洞。
[0044]步驟S13��,在網(wǎng)頁的源代碼存在頁面漏洞時���,進行頁面漏洞提示�����。
[0045]具體地�����,在本實施例中����,所述頁面漏洞提示包括:對所述網(wǎng)頁的源代碼的漏洞部分進行標識,具體可在網(wǎng)頁的源代碼的具體出現(xiàn)漏洞的代碼行進行標識�,以便進行修改。
[0046]為使本領域技術(shù)人員進一步理解本實施例中的檢測web頁面漏洞的方法��,以下將