本發明涉及一種網頁檢測方法，確定網頁可接收的參數?值對集合；以及為所述參數?值對集合中的每個參數?值對：構造在值中插入了特定腳本的參數?值對，設置要掃描的網站URL，啟動掃描引擎模塊，向需要檢測的URL構造并發送HTTP請求，并接收HTTP響應，保存在掃描引擎模塊，執行對應的漏洞檢測腳本模塊；漏洞檢測腳本模塊通過API從掃描引擎模塊，獲取步驟C中保存的HTTP請求和響應的數據，判斷所需檢測的網站是否存在漏洞，分析步驟C中保存的HTTP請求和響應的數據的源碼，查看是否存在惡意行為，根據各掃描引擎的掃描結果判斷所述網頁是否為惡意網頁，其用腳本語言來實現漏洞檢測策略并能檢測是否為惡意網站。

技術領域

本發明涉及網頁游覽應用領域，尤其涉及的是一種網頁檢測方法與掃描引擎置。

背景技術

隨著互聯網的發展，各種網絡應用層出不窮，在實現了各種功能的同時，也引入了各種安全漏洞，給攻擊者提供了方便。針對網站安全需求的不斷增長，出現了許多網站漏洞掃描器，掃描器通常會根據用戶提供的URL“爬行”整個網站，將網頁下載下來，再將網頁的內容進行檢測、分析以檢查網頁中是否有漏洞存在。

但是幾乎所有掃描器都面臨這樣的問題：(1)漏洞多種多樣，針對不同漏洞的檢測方法又各不相同，如何能夠合理設計掃描器，能最大限度的支持各種漏洞？(2)互聯網是一個高速發展的產業，隨時都可能會有新的網站安全漏洞產生出來，如何能夠快速的擴展掃描器以支持新的漏洞檢測方案？

現有掃描器大多使用靜態的配置文件用于描述各個漏洞的檢測策略。但是通常的配置文件往往缺乏靈活性，無法快速的擴展，也不便于安全研究人員使用。

發明內容

本發明的目的在于提供一種用腳本語言來實現漏洞檢測策略并能檢測是否為惡意網站的一種網頁檢測方法與掃描引擎置。

為實現上述目的，本發明提供如下技術方案：一種網頁檢測方法，具體包括下述步驟：

步驟A：確定網頁可接收的參數-值對集合；以及為所述參數-值對集合中的每個參數-值對：構造在值中插入了特定腳本的參數-值對；

步驟B設置要掃描的網站URL，選擇網站要檢測的安全漏洞類型；

步驟C：啟動掃描引擎模塊，向需要檢測的URL構造并發送HTTP請求，并接收HTTP響應；

步驟D：將步驟C中的HTTP請求和響應的所有數據，保存在掃描引擎模塊；

步驟E：根據用戶選擇的安全漏洞類型，分別執行對應的漏洞檢測腳本模塊；漏洞檢測腳本模塊通過API從掃描引擎模塊，獲取步驟C中保存的HTTP請求和響應的數據，漏洞檢測腳本模塊能根據獲取的數據判斷所需檢測的網站是否存在漏洞。

步驟F：分析步驟C中保存的HTTP請求和響應的數據的源碼，解析出所述網頁的標簽；

步驟G：將解析出的各個標簽按照不同類型輸入到對應的不同掃描引擎中進行掃描，查看是否存在惡意行為；

步驟H：根據各掃描引擎的掃描結果判斷所述網頁是否為惡意網頁。

進一步，步驟E中，漏洞檢測腳本模塊還能通過API來構造、發送新的HTTP請求，并根據得到的響應進行進一步的漏洞檢測。

進一步，所述基于腳本的網站漏洞掃描方法能配置每次掃描任務啟用哪些漏洞檢測腳本，用戶在任何時候，可以選擇檢測所有的漏洞，也可以只選擇一部分的漏洞，只有用戶選擇的漏洞，對應的腳本才會被執行。

一種網頁檢測方法的掃描引擎置，包括掃描引擎模塊和漏洞檢測腳本模塊，所述掃描引擎模塊能實現下述功能：

(1)構造和發送HTTP請求，接受HTTP響應；

(2)提供腳本語言的運行時環境；