[發明專利]網站安全檢測方法和裝置在審
| 申請號: | 201810851917.0 | 申請日: | 2018-07-27 |
| 公開(公告)號: | CN109033838A | 公開(公告)日: | 2018-12-18 |
| 發明(設計)人: | 張馳 | 申請(專利權)人: | 平安科技(深圳)有限公司 |
| 主分類號: | G06F21/56 | 分類號: | G06F21/56;G06F21/57;G06F17/30 |
| 代理公司: | 廣州三環專利商標代理有限公司 44202 | 代理人: | 郝傳鑫;熊永強 |
| 地址: | 518000 廣東省深圳市福田區福*** | 國省代碼: | 廣東;44 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 超文本傳輸 可擴展 網站系統 交互流量 方法和裝置 返回數據 網絡爬蟲 網站安全 超文本傳輸協議 安全檢測 方式獲取 流量數據 模擬目標 目標方式 全面檢測 數據包括 異步加載 瀏覽器 檢測 觸發 截取 網站 傳輸 | ||
1.一種網站安全檢測方法,其特征在于,包括:
通過網絡爬蟲觸發對網站系統的可擴展超文本傳輸請求,所述網絡爬蟲通過模擬目標方式獲取所述網站系統的數據,所述目標方式為瀏覽器通過超文本傳輸協議HTTP請求獲取所述網站系統的數據的方式;
截取所述可擴展超文本傳輸請求以及所述可擴展超文本傳輸請求對應的返回數據,以獲取所述可擴展超文本傳輸請求對應的交互流量數據,所述交互流量數據包括所述可擴展超文本傳輸請求和所述返回數據;
根據所述交互流量數據對所述網站系統進行安全檢測。
2.根據權利要求1所述的方法,其特征在于,所述根據所述交互流量數據對所述網站系統進行安全檢測包括:
從所述交互流量數據中獲取統一資源定位符URL;
根據目標漏洞對應的攻擊載荷以及所述URL對所述網站系統進行安全檢測。
3.根據權利要求2所述的方法,其特征在于,所述根據目標漏洞對應的攻擊載荷以及所述URL對所述網站系統進行安全檢測包括:
根據所述目標漏洞對應的攻擊載荷對所述URL進行改寫得到安全測試URL;
向所述網站系統對應的后臺服務器提交所述安全測試URL;
根據所述后臺服務器返回的第一返回數據確定所述網站系統是否存在所述目標漏洞,所述第一返回數據為所述安全測試URL對應的返回數據。
4.根據權利要求2所述的方法,其特征在于,所述根據目標漏洞對應的攻擊載荷以及所述URL對所述網站系統進行安全檢測包括:
在所述URL中確定存在參數的第一URL;
將所述第一URL中的參數修改為所述目標漏洞對應的攻擊載荷;
向所述網站系統對應的后臺服務器提交修改參數后的第一URL;
根據所述后臺服務器返回的第二返回數據確定所述網站系統是否存在所述目標漏洞,所述第二返回數據為所述修改參數后的第一URL對應的返回數據。
5.根據權利要求1所述的方法,其特征在于,所述根據所述交互流量數據對所述網站系統進行安全檢測包括:
從所述交互流量數據中獲取post請求對應的數據;
根據目標漏洞對應的攻擊載荷以及所述post請求對應的數據對所述網站系統進行安全檢測。
6.根據權利要求5所述的方法,其特征在于,所述根據目標漏洞對應的攻擊載荷以及所述post請求對應的數據對所述網站系統進行安全檢測包括:
在所述post請求對應的數據中添加所述目標漏洞對應的攻擊載荷;
向所述網站系統對應的后臺服務器提交添加所述目標漏洞對應的攻擊載荷后的post請求;
根據所述后臺服務器返回的第三返回數據確定所述網站系統是否存在所述目標漏洞,所述第三返回數據為添加所述目標漏洞對應的攻擊載荷后的post請求對應的返回數據。
7.根據權利要求1-6任一項所述的方法,其特征在于,所述截取所述可擴展超文本傳輸請求對應以及所述可擴展超文本傳輸請求對應的返回數據包括:
備份所述網絡爬蟲的可擴展超文本傳輸請求對象下的所有方法和所有屬性;
通過方法重寫覆蓋所述可擴展超文本傳輸請求對象得到所述可擴展超文本傳輸請求對象對應的可擴展超文本傳輸請求對象代理;
通過所述可擴展超文本傳輸請求對象代理截取所述可擴展超文本傳輸請求對應以及所述可擴展超文本傳輸請求對應的返回數據。
8.一種網站安全檢測裝置,其特征在于,包括:
請求觸發模塊,用于通過網絡爬蟲觸發對網站系統的可擴展超文本傳輸請求,所述網絡爬蟲通過模擬目標方式獲取所述網站系統的數據,所述目標方式為瀏覽器通過超文本傳輸協議HTTP請求獲取所述網站系統的數據的方式;
流量截取模塊,用于截取所述可擴展超文本傳輸請求以及所述可擴展超文本傳輸請求對應的返回數據,以獲取所述可擴展超文本傳輸請求對應的交互流量數據,所述交互流量數據包括所述可擴展超文本傳輸請求和所述返回數據;
安全檢測模塊,用于根據所述交互流量數據對所述網站系統進行安全檢測。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于平安科技(深圳)有限公司,未經平安科技(深圳)有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201810851917.0/1.html,轉載請聲明來源鉆瓜專利網。
