本發(fā)明公開(kāi)了一種針對(duì)使用AJAX技術(shù)網(wǎng)站的安全檢測(cè)方法和裝置，涉及網(wǎng)絡(luò)安全及爬蟲(chóng)領(lǐng)域。其中的方法包括：通過(guò)代理工具監(jiān)聽(tīng)本地端口；啟動(dòng)模擬瀏覽器工具通過(guò)端口請(qǐng)求鏈接；通過(guò)監(jiān)聽(tīng)本地端口獲取頁(yè)面鏈接，頁(yè)面鏈接中包含AJAX請(qǐng)求鏈接；對(duì)頁(yè)面鏈接中包含的AJAX請(qǐng)求鏈接進(jìn)行安全檢查。本發(fā)明能夠解決針對(duì)AJAX技術(shù)網(wǎng)站的安全檢測(cè)問(wèn)題。

技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)安全及爬蟲(chóng)領(lǐng)域，尤其涉及一種針對(duì)使用AJAX技術(shù)網(wǎng)站的安全檢測(cè)方法和裝置。

背景技術(shù)

AJAX即“Asynchronous Javascript And XML”(異步JavaScript和XML)，是指一種創(chuàng)建交互式網(wǎng)頁(yè)應(yīng)用的網(wǎng)頁(yè)開(kāi)發(fā)技術(shù)。通過(guò)在后臺(tái)與服務(wù)器進(jìn)行少量數(shù)據(jù)交換，AJAX可以使網(wǎng)頁(yè)實(shí)現(xiàn)異步更新。這意味著可以在不重新加載整個(gè)網(wǎng)頁(yè)的情況下，對(duì)網(wǎng)頁(yè)的某部分進(jìn)行更新。傳統(tǒng)的網(wǎng)頁(yè)(不使用AJAX)如果需要更新內(nèi)容，必須重載整個(gè)網(wǎng)頁(yè)頁(yè)面。

網(wǎng)絡(luò)爬蟲(chóng)是一個(gè)自動(dòng)提取網(wǎng)頁(yè)的程序，它為搜索引擎從萬(wàn)維網(wǎng)上下載網(wǎng)頁(yè)，是搜索引擎的重要組成。傳統(tǒng)爬蟲(chóng)從一個(gè)或若干初始網(wǎng)頁(yè)的URL(Uniform Resource Locator，統(tǒng)一資源定位符)開(kāi)始，獲得初始網(wǎng)頁(yè)上的URL，在抓取網(wǎng)頁(yè)的過(guò)程中，不斷從當(dāng)前頁(yè)面上抽取新的URL放入隊(duì)列，直到滿(mǎn)足系統(tǒng)的一定停止條件。聚焦爬蟲(chóng)的工作流程較為復(fù)雜，需要根據(jù)一定的網(wǎng)頁(yè)分析算法過(guò)濾與主題無(wú)關(guān)的鏈接，保留有用的鏈接并將其放入等待抓取的URL隊(duì)列。然后，它將根據(jù)一定的搜索策略從隊(duì)列中選擇下一步要抓取的網(wǎng)頁(yè)URL，并重復(fù)上述過(guò)程，直到達(dá)到系統(tǒng)的某一條件時(shí)停止。另外，所有被爬蟲(chóng)抓取的網(wǎng)頁(yè)將會(huì)被系統(tǒng)存貯，進(jìn)行一定的分析、過(guò)濾，并建立索引，以便之后的查詢(xún)和檢索；對(duì)于聚焦爬蟲(chóng)來(lái)說(shuō)，這一過(guò)程所得到的分析結(jié)果還可能對(duì)以后的抓取過(guò)程給出反饋和指導(dǎo)。

Web2.0的興起，主流網(wǎng)站都開(kāi)始采用AJAX技術(shù)，一般網(wǎng)絡(luò)安全檢測(cè)手段都是利用傳統(tǒng)爬蟲(chóng)通過(guò)解析頁(yè)面來(lái)獲取鏈接，而AJAX請(qǐng)求需要webkit hook才能抓取到鏈接，直接導(dǎo)致傳統(tǒng)安全檢測(cè)手段無(wú)法使用。

發(fā)明內(nèi)容

本發(fā)明要解決的一個(gè)技術(shù)問(wèn)題是一種針對(duì)使用AJAX技術(shù)網(wǎng)站的安全檢測(cè)方法和裝置能夠解決針對(duì)AJAX技術(shù)網(wǎng)站的安全檢測(cè)問(wèn)題。

根據(jù)本發(fā)明一方面，提出一種針對(duì)使用AJAX技術(shù)網(wǎng)站的安全檢測(cè)方法，包括：通過(guò)代理工具監(jiān)聽(tīng)本地端口；啟動(dòng)模擬瀏覽器工具通過(guò)端口請(qǐng)求鏈接；通過(guò)監(jiān)聽(tīng)本地端口獲取頁(yè)面鏈接，頁(yè)面鏈接中包含AJAX請(qǐng)求鏈接；對(duì)頁(yè)面鏈接中包含的AJAX請(qǐng)求鏈接進(jìn)行安全檢查。

進(jìn)一步地，通過(guò)代理工具監(jiān)聽(tīng)本地端口之前還包括：生成CA證書(shū)，獲取https請(qǐng)求。

進(jìn)一步地，對(duì)頁(yè)面鏈接進(jìn)行解析包括：利用廣度優(yōu)先解析頁(yè)面鏈接。

進(jìn)一步地，該方法還包括：將AJAX請(qǐng)求鏈接發(fā)送至數(shù)據(jù)庫(kù)，并對(duì)AJAX請(qǐng)求鏈接進(jìn)行去重處理。

進(jìn)一步地，對(duì)AJAX請(qǐng)求鏈接進(jìn)行安全檢查包括：在AJAX請(qǐng)求鏈接的參數(shù)值設(shè)置替換符；使用有效載荷payload替換AJAX請(qǐng)求鏈接中的替換符；在訪(fǎng)問(wèn)AJAX請(qǐng)求鏈接時(shí)，如果返回的內(nèi)容包含payload相關(guān)信息，則確定AJAX請(qǐng)求鏈接存在漏洞。

根據(jù)本發(fā)明的另一方面，還提出一種針對(duì)使用AJAX技術(shù)網(wǎng)站的安全檢測(cè)裝置，包括：端口監(jiān)聽(tīng)單元，用于通過(guò)代理工具監(jiān)聽(tīng)本地端口；請(qǐng)求鏈接獲取單元，用于啟動(dòng)模擬瀏覽器工具通過(guò)端口請(qǐng)求鏈接；網(wǎng)頁(yè)分析單元，用于通過(guò)監(jiān)聽(tīng)本地端口獲取頁(yè)面鏈接，頁(yè)面鏈接中包含AJAX請(qǐng)求鏈接；安全檢查單元，用于對(duì)AJAX請(qǐng)求鏈接進(jìn)行安全檢查。

進(jìn)一步地，該裝置還包括：https請(qǐng)求獲取單元，用于生成CA證書(shū)，獲取https請(qǐng)求。

進(jìn)一步地，網(wǎng)頁(yè)分析單元還用于利用廣度優(yōu)先解析頁(yè)面鏈接，獲取AJAX請(qǐng)求鏈接。

進(jìn)一步地，該裝置還包括去重處理單元；去重處理單元用于對(duì)AJAX請(qǐng)求鏈接進(jìn)行去重處理。