本申請公開了一種漏洞檢測方法及裝置。其中，該方法包括：獲取訪問信息，其中，訪問信息中記錄有用于訪問網站的訪問地址；基于訪問地址，確定訪問地址中允許返回預定類型數據的疑似漏洞地址；對疑似漏洞地址進行漏洞掃描，識別疑似漏洞地址是否造成信息泄露。本申請解決了現有技術中存在的漏洞檢測效率較低的技術問題。

技術領域

本申請涉及計算機領域，具體而言，涉及一種漏洞檢測方法及裝置。

背景技術

隨著電子商務的蓬勃發展，隱私信息泄露問題日益引發用戶的關切，因隱私信息泄露而導致的網絡詐騙行為層出不窮。就電商平臺而言，用戶的隱私信息一般為用戶的購物訂單信息、歷史購物行為等業務數據信息。

一般，電商平臺記錄的訪問行為可以分為授權訪問和未授權訪問，其中，授權訪問是指用戶登錄電商平臺之后，合法地訪問自己的業務數據信息，且用戶所使用的瀏覽器cookie(網站為了辨別用戶身份、進行session跟蹤而儲存在用戶本地終端上的數據)中會標示當前用戶的身份；未授權訪問是指任何人在未登錄電商平臺的情況下，可以訪問到一般為授權訪問才能訪問到業務數據信息，此時，訪問者所使用的瀏覽器cookie中不包含任何用戶身份認證信息。因此，未授權訪問是導致用戶隱私信息泄露的一條主要途徑，而導致未授權訪問時有發生的原因，則是由于電商平臺用于展現用戶敏感信息的web頁面沒有做合適、必要的用戶身份認證。

針對上述問題，現有技術一般采用web漏洞掃描器或者WVS(Web VulnerabilityScanner，自動化web應用程序安全測試工具)對電商平臺用于展現用戶敏感信息的web頁面進行漏洞檢測，該漏洞檢測的主要方式為黑盒掃描，但是，該種方式一般只能發現常見的因web配置錯誤而導致的漏洞，而無法發現業務層面的漏洞，此外，web漏洞掃描器只能依靠爬蟲進行URL(Uniform Resource Locator，統一資源定位符)爬取，還可能存在URL覆蓋率不全的情形；現有技術還提供了一種人工黑盒測試的漏洞檢測方式，具體是指通過人工方式對電商平臺系統內的所有web頁面進行訪問，該種方式雖然具備相對較高的漏洞檢測準確率，但是存在耗時長、效率低、人力資源耗費較大以及URL覆蓋率較低的問題。

綜上所述，現有技術的漏洞檢測準確性較差、覆蓋不全且極為低效，因此，現有技術中存在漏洞檢測效率較低的技術問題。

發明內容

本申請實施例提供了一種漏洞檢測方法及裝置，以至少解決現有技術中存在的漏洞檢測效率較低的技術問題。

根據本申請實施例的一個方面，提供了一種漏洞檢測方法，包括：獲取網站的訪問信息和敏感信息，其中，所述訪問信息中記錄有用于訪問所述網站的訪問地址；基于所述訪問地址和所述敏感信息，確定所述訪問地址中被允許返回所述敏感信息的疑似漏洞地址；對所述疑似漏洞地址進行漏洞掃描，識別所述疑似漏洞地址是否造成信息泄露。

根據本申請實施例的另一方面，還提供了一種漏洞檢測裝置，包括：獲取單元，用于獲取網站的訪問信息和敏感信息，其中，所述訪問信息中記錄有用于訪問所述網站的訪問地址；確定單元，用于基于所述訪問地址和所述敏感信息，確定所述訪問地址中被允許返回所述敏感信息的疑似漏洞地址；處理單元，用于對所述疑似漏洞地址進行漏洞掃描，識別所述疑似漏洞地址是否造成信息泄露。

在本申請實施例中，采用獲取網站的訪問信息和敏感信息，其中，訪問信息中記錄有用于訪問網站的訪問地址；基于訪問地址和敏感信息，確定訪問地址中允許返回預定類型數據的疑似漏洞地址；對疑似漏洞地址進行漏洞掃描，識別疑似漏洞地址是否造成信息泄露的方式，通過獲取網站的訪問信息和敏感信息，從而基于訪問信息中記錄的用于訪問網站的訪問地址和敏感信息確定訪問地址中允許返回預定類型數據的疑似漏洞地址，達到了對疑似漏洞地址進行漏洞掃描以識別疑似漏洞地址是否造成信息泄露的目的，從而實現了降低人力資源成本、增強漏洞檢測的準確性、提升漏洞檢測的覆蓋率以及檢測效率的技術效果，進而解決了現有技術中存在的漏洞檢測效率較低的技術問題。

附圖說明