本發明公開一種網站漏洞智能檢測方法，所述方法包括：獲取用戶提交的網址；對用戶提交的網址進行分析，確定待分析網址鏈接；對所述待分析網址鏈接分別進行SQL注入漏洞檢測、存儲型XSS注入漏洞檢測和CSRF漏洞檢測，獲得漏洞檢測結果；以實現快速針對中小型網站進行漏洞檢測。

技術領域

本發明涉及漏洞檢測技術領域，特別是涉及一種網站漏洞智能檢測方法。

背景技術

SQL注入漏洞形成的主要原因是web應用程序對用戶輸入的審核不夠嚴格，使得攻擊者能夠通過構造查詢語句向數據庫服務器發起請求，執行非授權的惡意查詢，獲取相應的數據信息。

XSS攻擊全稱跨站腳本攻擊，是一種在web應用中的計算機安全漏洞，它允許惡意web用戶將代碼植入到提供給其它用戶使用的頁面中，主要分為存儲型XSS、反射型XSS和DOM型XSS。其中存儲型XSS形成原因主要是系統前端的提交表單中未對用戶輸入的內容進行過濾，造成用戶輸入的非法語句如獲取當前登錄用戶信息的js語句存儲至服務器數據庫，致使每個登錄該網站的用戶進入到此頁面時都會執行攻擊者設計好的js，從而造成了存儲型XSS攻擊。

CSRF全稱跨站請求偽造攻擊，指攻擊者通過用戶的瀏覽器來注入額外的網絡請求，來破壞一個網站會話的完整性的攻擊過程。

目前，測試SQL漏洞、XSS漏洞和CSRF漏洞都有相關的工具。其中針對SQL注入漏洞的工具有sqlmap，這是一個開源的滲透測試工具，可以用來進行自動化檢測，利用SQL注入漏洞，獲取數據庫服務器的權限。另外還有web應用攻擊集成平臺如burpsuite，這款集成平臺包含了許多工具，所有工具都共享一個請求，并能處理對應的HTTP消息、持久性、認證、代理、日志、警報。最后還有專業漏洞利用框架如BeFF，它的全稱是：the Browserexploitation frameworkproject，是一個用于合法研究和測試目的的專業瀏覽器漏洞利用框架，它允許有經驗的滲透測試人員或系統管理員對目標進行攻擊測試，攻擊成功以后會加載瀏覽器劫持會話。目前針對SQL漏洞、XSS漏洞、CSRF漏洞的檢測方法均是針對大型網站進行檢測的，且檢測效率低。

發明內容

本發明的目的是提供了一種網站漏洞智能檢測方法，以實現快速對中小型網站進行漏洞檢測。

為實現上述目的，本發明提供了一種網站漏洞智能檢測方法，所述方法包括：

獲取用戶提交的網址；

對用戶提交的網址進行分析，確定待分析網址鏈接；

對所述待分析網址鏈接分別進行SQL注入漏洞檢測、存儲型XSS注入漏洞檢測和CSRF漏洞檢測，獲得漏洞檢測結果。

可選的，所述對用戶提交的網址進行分析，確定待分析網址鏈接，具體包括：

判斷用戶提交的網址對應的響應碼是否與預存網址對應的響應碼一致；如果用戶提交的網址對應的響應碼與預存網址對應的響應碼一致，則跳轉到用戶提交的網址對應的頁面，并創建請求；如果用戶提交的網址對應的響應碼與預存網址對應的響應碼不一致，則跳轉到錯誤頁面；

根據所述請求獲取網址的源碼；

通過廣度優先算法獲取所述源碼中所有鏈接；

將所有鏈接進行分類，分為有效鏈接和錯誤鏈接；所述有效鏈接包括文件鏈接和待分析網址鏈接；

去除所述有效鏈接中文件鏈接，獲得待分析網址鏈接。

可選的，所述對所述待分析網址鏈接分別進行SQL注入漏洞檢測，具體包括：

對所述待分析網址鏈接進行數字型SQL注入漏洞檢測；

對所述待分析網址鏈接進行字符型SQL注入漏洞檢測；