本申請公開了漏洞檢測方法和裝置。該方法的一具體實施方式包括：獲取發向目標服務器的包括目標統一資源定位符和統一資源定位符參數的第一超文本傳輸協議請求；根據預設的腳本修改統一資源定位符參數的值，并向目標服務器發送修改后的第一超文本傳輸協議請求，其中，修改后的第一超文本傳輸協議請求用于對目標服務器執行跨站攻擊操作；向目標服務器發送包括目標統一資源定位符的第二超文本傳輸協議請求；響應于接收到目標服務器返回的第二超文本傳輸協議請求的響應消息，檢測響應消息是否與腳本匹配；若匹配，則確定出目標服務器存在漏洞。該實施方式實現了統一資源定位符的安全漏洞檢測，有效保障檢測過程的準確性和完備性并極大地提高了測試效率。

技術領域

本申請涉及計算機技術領域，具體涉及互聯網技術領域，尤其涉及漏洞檢測方法和裝置。

背景技術

WEB(萬維網)端作為互聯網應用系統的入口，其安全性非常重要，WEB服務的安全可以有效保護用戶的財產、隱私等個人信息。XSS(Cross Site Script，跨站腳本攻擊)類型的安全漏洞是其中最為常見的一種，進一步又可以分為反射型XSS(Reflection XSS)，存儲型XSS(Persistent XSS)和基于DOM的XSS(DOM Based XSS)，現有的安全掃描工具，并不能支持存儲型XSS漏洞。

對于存儲型XSS漏洞須要測試人工進行檢測。人工檢測的過程，須要反復修改參數值，測試過程的準確性和完備性都得不到保障，并且效率低。

發明內容

本申請的目的在于提出一種改進的漏洞檢測方法和裝置，來解決以上背景技術部分提到的技術問題。

第一方面，本申請實施例提供了一種漏洞檢測方法，該方法包括：獲取發向目標服務器的包括目標統一資源定位符和統一資源定位符參數的第一超文本傳輸協議請求；根據預設的腳本修改統一資源定位符參數的值，并向目標服務器發送修改后的第一超文本傳輸協議請求，其中，修改后的第一超文本傳輸協議請求用于對目標服務器執行跨站攻擊操作；向目標服務器發送包括目標統一資源定位符的第二超文本傳輸協議請求，并接收目標服務器返回的第二超文本傳輸協議請求的響應消息；檢測響應消息是否與腳本匹配；若匹配，則確定出目標服務器存在漏洞。

在一些實施例中，該方法還包括：響應于確定出目標服務器存在漏洞，向目標用戶的終端推送目標統一資源定位符和統一資源定位符參數。

在一些實施例中，第一超文本傳輸協議請求包括多個統一資源定位符參數；以及根據預設的腳本修改統一資源定位符參數的值，包括：通過預設的正則表達式庫從第一超文本傳輸協議請求中解析出多個統一資源定位符參數；根據預設的腳本修改至少一個統一資源定位符參數。

在一些實施例中，統一資源定位符參數具有檢測標志，用于標識統一資源定位符參數是否已檢測過，預設的腳本包括多個不同的腳本，每次跨站攻擊操作時使用一個腳本；以及該方法還包括：若不匹配，將已經用于修改檢測標志為未檢測的統一資源定位符參數值的腳本更換為未用于修改檢測標志為未檢測的統一資源定位符參數值的腳本，并執行如下檢測步驟：根據更換后的腳本修改檢測標志為未檢測的統一資源定位符參數；向目標服務器發送修改后的第一超文本傳輸協議請求；向目標服務器發送包括目標統一資源定位符的第二超文本傳輸協議請求，并接收目標服務器返回的第二超文本傳輸協議請求的響應消息；檢測響應消息是否與腳本匹配；若匹配，則確定出目標服務器存在漏洞；若不匹配，則繼續執行上述檢測步驟，直到更換完每個腳本，然后設置被修改的統一資源定位符參數的檢測標志為已檢測，將被修改的統一資源定位符參數值恢復成修改前的統一資源定位符參數值，并繼續執行上述檢測步驟，直到檢測完每個統一資源定位符參數。

在一些實施例中，腳本包括預設的字符串；以及檢測響應消息是否與腳本匹配，包括：檢測響應消息是否包括預設的字符串；若包括，則響應消息與腳本匹配；若不包括，則響應消息與腳本不匹配。