本發明涉及JS敏感信息技術領域，且公開了一種JS敏感信息泄露檢測方法、裝置、設備及介質，包括以下步驟：1)獲取待檢測網站的URL；2)通過聚焦網絡爬蟲搜索URL，聚焦JS文件，抓取出JS文件；3)再利用增量式爬蟲技術提取敏感信息源，根據現有敏感信息源標準建立數據字典，并排出免檢信息。本發明的優點在于，通過提取JS文件源代碼中.html、.do與.action關鍵詞，將這些主要包含敏感信息的關鍵詞匯進行掃描，可以繞開一些與敏感信息無關的詞匯，從而提檢測速度，降低對資源的占用，而對未帶有敏感信息的.html、.do與.action關鍵詞則將其所對應的JS文件其他源代碼導入數據字典進行二次掃描，提高對敏感信息泄露的檢測的全面性準確性，同時提高了檢測效率。

技術領域

本發明涉及JS敏感信息技術領域，具體為一種JS敏感信息泄露檢測方法、裝置、設備及介質。

背景技術

JavaScript作為一種相當簡單但功能強大的客戶端腳本語言，本質是一種解釋型語言。所以，其執行原理是邊解釋邊運行。上述特性就決定了 JavaScript與一些服務器腳本語言(如ASP、PHP)以及編譯型語言(如C、 C++)不同，其源代碼可以輕松被任何人獲取到。一些粗心的開發者將各式敏感信息存儲在JavaScript腳本中，由于JS的特性，攻擊者可以對這些信息一覽無余，從而導致對WEB服務和用戶隱私造成不同程度的威脅。

目前的的檢測方法的還存在以下問題：

目前的的檢測方法依然需要人工對每一個網頁源代碼進行查看，并進行搜索，非常費時費力；

目前檢測對照敏感信息的關鍵詞都是當下的敏感信息，但是敏感信息的范圍是隨時間推移而發生變化的，當下檢測未發現敏感信息JS文件在將來可能會出現敏感信息，而現有方式就會導致其逃脫檢測。

發明內容

(一)解決的技術問題

針對現有技術的不足，本發明提供了一種JS敏感信息泄露檢測方法、裝置、設備及介質，具備檢測速度快等優點，解決了檢測效率低的問題。

(二)技術方案

為實現上述檢測速度快的目的，本發明提供如下技術方案：一種JS敏感信息泄露檢測方法，包括以下步驟：

1)獲取待檢測網站的URL；

2)通過聚焦網絡爬蟲搜索URL，聚焦JS文件，抓取出JS文件；

3)再利用增量式爬蟲技術提取敏感信息源，根據現有敏感信息源標準建立數據字典，并排出免檢信息；

4)將所有JS文件的源代碼編組，錄入數據庫，并列出.html、.do與.action 的關鍵詞單元；

6)將帶有.html、.do與.action的關鍵詞單元導入數據字典進行一次掃描；

5)帶有敏感信息的.html、.do與.action關鍵詞將在數據庫中所對應的 JS文件進行標注，未帶有敏感信息的.html、.do與.action關鍵詞則將其所對應的JS文件其他源代碼導入數據字典進行二次掃描；

6)將二次掃描后帶有敏感信息的詞組所對應的JS文件進行標注，其他文件保留于數據庫中；

7)將所標注JS文件通過抓包軟件查看服務器響應內容，從而獲取敏感信息。

優選的，所述增量式爬蟲技術提取敏感信息源，其所只在需要的時候爬行更新的頁面，并不重新爬行沒有發生改變的頁面。

優選的，所述通過聚焦網絡爬蟲搜索URL，其只向設定好的與JS文件相關的網頁進行選擇性爬行。

優選的，所述JS文件的源代碼編組，將所有的源代碼進行集中統計整理，所述.html、.do與.action的關鍵詞單元與其母體編組對應。