本發明公開利用微擾法的客戶端動態URL相關腳本字符串檢測系統。本發明可以有效、快速地檢測出網頁頁面中是否存在客戶端動態URL，并進一步找出與客戶端動態URL網頁源碼(腳本部分)的字符串的關系位置關系，并將其關系進行保存，可用于基于URL跳變的web主動防御系統，以便在跳變過程能將這些字符串進行跳變，實現對客戶端腳本動態生成URL的跳變，從而解決客戶端腳本的兼容性問題，在實現安全防御同時保障網站業務的正常運行。

技術領域

本發明屬于計算機技術領域，涉及利用微擾法的客戶端動態URL相關腳本字符串檢測系統及其方法。

背景技術

URL，統一資源定位符，唯一的標識萬維網上的某個資源。通常，表示資源位置的URL是維持不變的，這極大地方便了黑客們對系統發起攻擊，因為攻擊目標的地址始終不變，其中的攻擊如CSRF攻擊，XSS注入攻擊等。近年來XSS，目錄遍歷，CSRF，SQL攻擊對網絡安全的影響非常嚴重，而這些攻擊都是基于URL。為此，中國專利CN106657044A提出了一種用于提高網站系統安全防御的網頁地址跳變方法，該技術能夠有效提高網站系統得防護能力。但一些網站應用系統中會由客戶端瀏覽器引擎生成一些動態URL，上述專利所提出的技術無法對這些URL進行跳變。對于此類網站應用系統，中國專利CN106657044A所描述的方法會攔截這些客戶端動態生成的URL，導致一些正常業務無法運行，即該專利所描述方法與會生成動態URL的客戶端腳本存在兼容性問題。為了進一步提高網站系統的防護能力，解決客戶端腳本的兼容性問題，本專利提出了一種利用微擾法的客戶端動態URL相關腳本字符串檢測系統，目的是找出在客戶端瀏覽器引擎中生成的URL(如通過AJAX加載URL)與網頁腳本源碼中字符串的關系，以便在跳變過程能將這些字符串進行跳變，實現對客戶端腳本動態生成URL的跳變，從而解決客戶端腳本的兼容性問題。

術語定義

1、靜態URL：請求返回的頁面源碼中存在的URL，如<ahref＝”http://www.baidu.com/？q＝123”>。

2、客戶端動態URL：請求返回的頁面源碼和腳本經過瀏覽器腳本渲染后動態生成的URL，如通過ajax，請求服務器的某個地址，接收返回結果通過函數插入頁面一些<a>標簽，并設置其href屬性。與服務器端動態生成URL和靜態URL不同，客戶端動態URL是瀏覽器引擎進行渲染后動態生成的。

3、無頭瀏覽器引擎：即headless browser,是一種沒有界面的瀏覽器引擎，其功能跟普通瀏覽器引擎基本一致，如JS渲染。最常見的無頭瀏覽器有PhantomJS等。

4、測試URL：需要測試是否含有客戶端動態URL的網頁地址。

5、外部鏈接腳本：請求的測試頁面中，對其他腳本文件通過鏈接載入。如在請求測試的頁面中，存在<script src＝’a.js’>,則a.js為外部鏈接腳本。

發明內容

本發明利用用微擾法對客戶端動態URL相關腳本字符串進行檢測，具體解決方案是：(1)獲取一個網頁的頁面源碼，并判斷該網頁頁面是否會在客戶端經瀏覽器引擎生成客戶端動態URL；(2)找出這些客戶端動態URL；(3)找出該網頁源碼(腳本部分)中與這些客戶端動態URL相關的字符串。

本發明系統包括設置在代理服務器上的URL關鍵字查找模塊、腳本替換模塊、URL地址替換模塊，以及設置在客戶端上的URL檢查模塊、URL存儲模塊，其中：

URL關鍵字查找模塊，用于檢測網頁源碼(腳本部分)中是否有客戶端動態URL中含有的關鍵字，并返回檢測到的關鍵字在網頁源碼中的位置信息。其中關鍵字包括路徑名和文件名，如http://baidu.com/akey/bkey/index.html含有akey、bkey(路徑名)和index.html(文件名)關鍵字。