一種網(wǎng)站漏洞在線驗(yàn)證方法及裝置制造方法
【專利摘要】本發(fā)明公開了一種網(wǎng)站漏洞在線驗(yàn)證方法及裝置��。本發(fā)明實(shí)施例通過獲取網(wǎng)站的漏洞網(wǎng)址�����,構(gòu)造漏洞檢測網(wǎng)址��;加載所述漏洞檢測網(wǎng)址以獲取響應(yīng)信息�����;提取并顯示所述響應(yīng)信息以驗(yàn)證所述網(wǎng)站漏洞���,使得可以驗(yàn)證漏洞是否真實(shí)存在�����,使得不懂網(wǎng)站安全的用戶不會(huì)懷疑這些漏洞的存在����,提高用戶體驗(yàn)。本發(fā)明實(shí)施例適于進(jìn)行漏洞在線演示時(shí)采用����。
【專利說明】一種網(wǎng)站漏洞在線驗(yàn)證方法及裝置
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及互聯(lián)網(wǎng)【技術(shù)領(lǐng)域】,尤其涉及一種網(wǎng)站漏洞在線驗(yàn)證方法及裝置���。
【背景技術(shù)】
[0002]漏洞是在硬件��、軟件、協(xié)議的具體實(shí)現(xiàn)或系統(tǒng)安全策略上存在的缺陷����,從而可以使攻擊者能夠在未授權(quán)的情況下訪問或破壞系統(tǒng)。漏洞掃描是指基于漏洞數(shù)據(jù)庫���,通過掃描等手段對指定的計(jì)算機(jī)系統(tǒng)或者網(wǎng)站等的安全脆弱性進(jìn)行檢測�����,發(fā)現(xiàn)可利用的漏洞的一種安全檢測或者滲透攻擊的行為?����,F(xiàn)有技術(shù)中�����,漏洞掃描平臺(tái)對網(wǎng)站進(jìn)行掃描時(shí)���,每天都能掃描出來大量的網(wǎng)站漏洞��,并在網(wǎng)站漏洞顯示頁面上顯示某個(gè)網(wǎng)站存在漏洞�,一般會(huì)在網(wǎng)站漏洞顯示頁面現(xiàn)實(shí)存在漏洞的鏈接��。
[0003]然而��,網(wǎng)站漏洞顯示頁面僅指出了某個(gè)網(wǎng)站存在漏洞���,無法通過鏈接很好的驗(yàn)證漏洞是否真實(shí)存在���,因此不懂網(wǎng)站安全的用戶可能以為這些漏洞是誤報(bào)。
【發(fā)明內(nèi)容】
[0004]鑒于上述問題���,提出了本發(fā)明以便提供一種克服上述問題或者至少部分地解決上述問題的一種網(wǎng)站漏洞在線驗(yàn)證方法及裝置���。
[0005]依據(jù)本發(fā)明的一個(gè)方面�����,提供了一種網(wǎng)站漏洞在線驗(yàn)證方法����,包括:
[0006]獲取網(wǎng)站的漏洞網(wǎng)址�����,構(gòu)造漏洞檢測網(wǎng)址�;
[0007]加載所述漏洞檢測網(wǎng)址以獲取響應(yīng)信息;
[0008]提取并顯示所述響應(yīng)信息以驗(yàn)證所述網(wǎng)站漏洞���。
[0009]可選的,所述獲取網(wǎng)站的漏洞網(wǎng)址���,包括:
[0010]對所述網(wǎng)站進(jìn)行漏洞掃描�,獲取所述網(wǎng)站存在漏洞的網(wǎng)址����。
[0011]所述構(gòu)造漏洞檢測網(wǎng)址,包括:
[0012]根據(jù)所述網(wǎng)站漏洞的類型構(gòu)造所述漏洞檢測網(wǎng)址�����。
[0013]可選的,所述根據(jù)網(wǎng)站漏洞的類型構(gòu)造所述漏洞檢測網(wǎng)址�����,包括:
[0014]若所述漏洞為信息泄露類漏洞�,則根據(jù)存在漏洞的網(wǎng)站的網(wǎng)址以及所述漏洞對應(yīng)的漏洞測試串,構(gòu)造所述漏洞檢測網(wǎng)址�����,所述漏洞測試串為用于檢測漏洞是否存在的字符串�。
[0015]可選的,所述根據(jù)網(wǎng)站漏洞的類型構(gòu)造所述漏洞檢測網(wǎng)址�,包括:
[0016]若所述漏洞為SQL注入漏洞,則直接采用漏洞網(wǎng)址作為漏洞檢測網(wǎng)址����。
[0017]可選的,所述根據(jù)網(wǎng)站漏洞的類型構(gòu)造所述漏洞檢測網(wǎng)址�,包括:
[0018]若所述漏洞為跨站漏洞,則直接采用漏洞網(wǎng)址作為漏洞檢測網(wǎng)址�����,并構(gòu)造表單及所需參數(shù),提交至所述漏洞檢測網(wǎng)址�����。
[0019]可選的���,所述構(gòu)造漏洞檢測網(wǎng)址�����,包括:
[0020]從漏洞庫中提取漏洞測試串構(gòu)造所述漏洞檢測網(wǎng)址�,所述漏洞庫至少包括HTTP請求方法�、漏洞測試串、漏洞測試表單及漏洞存在證明�。[0021]依據(jù)本發(fā)明的一個(gè)方面,提供了一種網(wǎng)站漏洞在線驗(yàn)證裝置��,包括:
[0022]獲取單元��,用于獲取網(wǎng)站的漏洞網(wǎng)址���;
[0023]構(gòu)造單元,用于根據(jù)獲取的所述漏洞網(wǎng)址,構(gòu)造漏洞檢測網(wǎng)址�;
[0024]加載單元,用于加載所述漏洞檢測網(wǎng)址以獲取響應(yīng)信息�;
[0025]顯示單元,用于提取并顯示所述響應(yīng)信息以驗(yàn)證所述網(wǎng)站漏洞�。
[0026]可選的,所述獲取單元�,用于:
[0027]對所述網(wǎng)站進(jìn)行漏洞掃描,獲取所述網(wǎng)站存在漏洞的網(wǎng)址�����。
[0028]可選的��,所述構(gòu)造單元�,用于:
[0029]根據(jù)所述網(wǎng)站漏洞的類型構(gòu)造所述漏洞檢測網(wǎng)址。
[0030]可選的���,所述構(gòu)造單元���,包括:
[0031]第一構(gòu)造模塊,用于若所述漏洞為信息泄露類漏洞�����,則根據(jù)存在漏洞的網(wǎng)站的網(wǎng)址以及所述漏洞對應(yīng)的漏洞測試串,構(gòu)造所述漏洞檢測網(wǎng)址����,所述漏洞測試串為用于檢測漏洞是否存在的字符串。
[0032]可選的���,所述構(gòu)造單元���,包括:
[0033]第二構(gòu)造模塊,用于若所述漏洞為SQL注入漏洞����,則直接采用漏洞網(wǎng)址作為漏洞檢測網(wǎng)址。
[0034]可選的����,所述構(gòu)造單元,包括:
[0035]第三構(gòu)造模塊����,用于若所述漏洞為跨站漏洞,則直接采用漏洞網(wǎng)址作為漏洞檢測網(wǎng)址��,并構(gòu)造表單及所需參數(shù)��,提交至所述漏洞檢測網(wǎng)址�����。
[0036]可選的�����,所述構(gòu)造單元����,用于:從漏洞庫中提取漏洞測試串構(gòu)造所述漏洞檢測網(wǎng)址,所述漏洞庫至少包括HTTP請求方法����、漏洞測試串、漏洞測試表單及漏洞存在證明�����。
[0037]本發(fā)明實(shí)施例提供一種網(wǎng)站漏洞在線驗(yàn)證方法及裝置���,通過獲取網(wǎng)站的漏洞網(wǎng)址�����,構(gòu)造漏洞檢測網(wǎng)址����;加載所述漏洞檢測網(wǎng)址以獲取響應(yīng)信息;提取并顯示所述響應(yīng)信息以驗(yàn)證所述網(wǎng)站漏洞��。與現(xiàn)有技術(shù)中網(wǎng)站漏洞顯示頁面僅指出了某個(gè)網(wǎng)站存在漏洞�,無法通過鏈接很好的驗(yàn)證漏洞是否真實(shí)存在,因此不懂網(wǎng)站安全的用戶可能以為這些漏洞是誤報(bào)相比�����,本發(fā)明實(shí)施例通過構(gòu)造漏洞檢測網(wǎng)址對漏洞進(jìn)行檢測�,可以驗(yàn)證漏洞是否真實(shí)存在,使得不懂網(wǎng)站安全的用戶不會(huì)懷疑這些漏洞的存在�����,提高用戶體驗(yàn)�����。
[0038]上述說明僅是本發(fā)明技術(shù)方案的概述��,為了能夠更清楚了解本發(fā)明的技術(shù)手段�����,而可依照說明書的內(nèi)容予以實(shí)施,并且為了讓本發(fā)明的上述和其它目的���、特征和優(yōu)點(diǎn)能夠更明顯易懂,以下特舉本發(fā)明的【具體實(shí)施方式】���。
【專利附圖】
【附圖說明】
[0039]通過閱讀下文優(yōu)選實(shí)施方式的詳細(xì)描述���,各種其他的優(yōu)點(diǎn)和益處對于本領(lǐng)域普通技術(shù)人員將變得清楚明了。附圖僅用于示出優(yōu)選實(shí)施方式的目的�����,而并不認(rèn)為是對本發(fā)明的限制�����。而且在整個(gè)附圖中��,用相同的參考符號表示相同的部件�。在附圖中:
[0040]圖1為本發(fā)明實(shí)施例提供的一種漏洞在線演示的方法的流程圖;
[0041]圖2為本發(fā)明實(shí)施例提供的漏洞掃描結(jié)果展示頁面示意圖��;
[0042]圖3為本發(fā)明實(shí)施例提供的漏洞詳情展示頁面示意圖;
[0043]圖4為本發(fā)明實(shí)施例提供的結(jié)果頁面示意圖��;[0044]圖5為本發(fā)明實(shí)施例提供的另一種漏洞在線演示的方法的流程圖�;
[0045]圖6為本發(fā)明實(shí)施例提供的一種漏洞在線演示的裝置的框圖;
[0046]圖7為本發(fā)明實(shí)施例提供的另一種漏洞在線演示的裝置的框圖���。
【具體實(shí)施方式】
[0047]下面將參照附圖更詳細(xì)地描述本公開的示例性實(shí)施例���。雖然附圖中顯示了本公開的示例性實(shí)施例,然而應(yīng)當(dāng)理解�,可以以各種形式實(shí)現(xiàn)本公開而不應(yīng)被這里闡述的實(shí)施例所限制。相反���,提供這些實(shí)施例是為了能夠更透徹地理解本公開�����,并且能夠?qū)⒈竟_的范圍完整的傳達(dá)給本領(lǐng)域的技術(shù)人員���。
[0048]本發(fā)明實(shí)施例提供一種漏洞在線演示的方法,該方法的執(zhí)行主體可以為服務(wù)器��,如圖1所示,該方法包括:
[0049]步驟101�����,獲取網(wǎng)站的漏洞網(wǎng)址�,構(gòu)造漏洞檢測網(wǎng)址。
[0050]可選的����,通過對網(wǎng)站進(jìn)行漏洞掃描�����,發(fā)現(xiàn)漏洞后���,獲取存在漏洞的網(wǎng)站的網(wǎng)址�����。網(wǎng)站的網(wǎng)址可以為統(tǒng)一資源定位符(Uniform Resource Locator, URL),但本發(fā)明不限定網(wǎng)站的網(wǎng)址為URL�,還可以為包括任何標(biāo)識網(wǎng)站網(wǎng)址的方式����。
[0051]可選的,可以通過網(wǎng)絡(luò)爬蟲獲取網(wǎng)站的網(wǎng)址�,S卩����,網(wǎng)絡(luò)爬蟲從網(wǎng)站所在的網(wǎng)站服務(wù)器抓取網(wǎng)址���。
[0052]本步驟包括:根據(jù)所述網(wǎng)站漏洞的類型構(gòu)造所述漏洞檢測網(wǎng)址���;或者,從漏洞庫中提取漏洞測試串構(gòu)造所述漏洞檢測網(wǎng)址�����,所述漏洞庫至少包括HTTP請求方法�����、漏洞測試串�、漏洞測試表單及漏洞存在證明。
[0053]步驟102����,加載所述漏洞檢測網(wǎng)址以獲取響應(yīng)信息。
[0054]本步驟包括:進(jìn)入前臺(tái)漏洞掃描后獲得的漏洞掃描結(jié)果展示頁面�,這個(gè)漏洞掃描結(jié)果展示頁面中包括網(wǎng)站的所有的漏洞信息。如圖2所示漏洞掃描結(jié)果展示頁面示意圖,包括存在漏洞頁面以及漏洞名稱���,其中存在漏洞頁面為http://bbs.webscan.#/對應(yīng)的頁面��,漏洞名稱為Flash配置不當(dāng)漏洞����,其后面還包括漏洞詳情圖標(biāo)�。可選的���,漏洞詳情圖標(biāo)可以設(shè)置為各種方式����,例如�,漏洞詳情圖標(biāo)為包括“漏洞詳情”字樣的圖標(biāo)����,或者漏洞詳情圖標(biāo)為包括圖案的圖標(biāo),在此不限定漏洞詳情圖標(biāo)的顯示方式����。
[0055]進(jìn)一步的,當(dāng)接收到用戶通過點(diǎn)擊所述漏洞掃描結(jié)果展示頁面中的漏洞詳情圖標(biāo)的操作后,進(jìn)入漏洞詳情展示頁面�����。
[0056]可選的�,如圖3所示,當(dāng)點(diǎn)擊漏洞詳情圖標(biāo)之后�,顯示漏洞詳情展示頁面。漏洞詳情展示頁面包括漏洞的詳細(xì)情況���,例如漏洞上線時(shí)間�、漏洞名稱����、漏洞類型、漏洞證據(jù)��、漏洞地址等等�����。在漏洞詳情展示頁面下方包括漏洞演示圖標(biāo)����,例如����,漏洞演示圖標(biāo)可以為包括“點(diǎn)這里跳轉(zhuǎn)���,進(jìn)行漏洞演示”字樣的圖標(biāo)�,或者��,漏洞演示圖標(biāo)為包括“漏洞演示”字樣的圖標(biāo)�����,或者�����,漏洞演示圖標(biāo)還可以為僅包括圖案的圖標(biāo)���,需要說明的是,漏洞演示圖標(biāo)還可以為其他樣式的圖標(biāo)�,在此不再一一贅述。
[0057]進(jìn)一步的�,當(dāng)接收到所述用戶通過點(diǎn)擊所述漏洞詳情展示頁面中的漏洞演示圖標(biāo)的操作后,加載所述檢測網(wǎng)址以獲得響應(yīng)信息����。
[0058]步驟103����,提取并顯示所述響應(yīng)信息以驗(yàn)證所述網(wǎng)站漏洞����。
[0059]所述漏洞詳情展示頁面中包括所述漏洞存在的證據(jù);[0060]當(dāng)所述響應(yīng)信息中的內(nèi)容與所述漏洞存在的證據(jù)相同時(shí)���,確定所述網(wǎng)站存在漏洞���;如圖4所示的加載所述檢測網(wǎng)址以獲得結(jié)果頁面,其中包括與漏洞存在的證據(jù)相同的內(nèi)容�,因此可以確定網(wǎng)站存在漏洞。
[0061]當(dāng)所述結(jié)果頁面中的內(nèi)容與所述漏洞存在的證據(jù)不相同時(shí)�,確定所述網(wǎng)站不存在漏洞。
[0062]本發(fā)明實(shí)施例提供一種網(wǎng)站漏洞在線驗(yàn)證方法���,通過獲取網(wǎng)站的漏洞網(wǎng)址��,構(gòu)造漏洞檢測網(wǎng)址�;加載所述漏洞檢測網(wǎng)址以獲取響應(yīng)信息��;提取并顯示所述響應(yīng)信息以驗(yàn)證所述網(wǎng)站漏洞,可以驗(yàn)證漏洞是否真實(shí)存在�����,使得不懂網(wǎng)站安全的用戶不會(huì)懷疑這些漏洞的存在����,提聞?dòng)脩趔w驗(yàn)。
[0063]本發(fā)明實(shí)施例提供一種網(wǎng)站漏洞在線驗(yàn)證方法���,該方法的執(zhí)行主體可以為服務(wù)器����,如圖5所示���,該方法包括:
[0064]步驟501���,對所述網(wǎng)站進(jìn)行漏洞掃描,掃描出所述網(wǎng)站存在漏洞��。
[0065]可選的�����,當(dāng)網(wǎng)站被掃描出存在漏洞時(shí)���,會(huì)在漏洞掃描結(jié)果展示頁面顯示存在漏洞的網(wǎng)址�����,存在漏洞的網(wǎng)站的網(wǎng)址為http://bbs.webscan.#/��。
[0066]步驟502��,獲取所述網(wǎng)站存在漏洞的網(wǎng)址����。
[0067]可選的�,可以通過網(wǎng)絡(luò)爬蟲獲取網(wǎng)站的網(wǎng)址,即網(wǎng)絡(luò)爬蟲從網(wǎng)站所在的網(wǎng)站服務(wù)器抓取網(wǎng)址�����。
[0068]步驟503�����,確定所述網(wǎng)站漏洞的類型�����。
[0069]可選的,網(wǎng)站漏洞的類型包括信息泄露類漏洞�、結(jié)構(gòu)化查詢語言(StructuredQuery Language, SQL)注入漏洞、跨站漏洞(Cross Site Scripting, CSS)����。
[0070]SQL注入漏洞可以用來從數(shù)據(jù)庫獲取敏感信息,或者利用數(shù)據(jù)庫的特性執(zhí)行添加用戶�、導(dǎo)出文件等一系列惡意操作,甚至有可能獲取數(shù)據(jù)庫乃至系統(tǒng)最高權(quán)限�����。
[0071]跨站漏洞是由于程序員在編寫程序時(shí)����,對一些變量沒有做充分的過濾,直接把用戶提交的數(shù)據(jù)送到SQL語句里執(zhí)行����,這樣導(dǎo)致黑客可以提交一些特意構(gòu)造的語句,黑客利用跨站漏洞輸入惡意的腳本代碼�����,當(dāng)惡意的代碼被執(zhí)行后就形成了所謂的跨站攻擊�。
[0072]步驟504,若所述漏洞為信息泄露類漏洞���,從漏洞庫中提取漏洞測試串�����。
[0073]可選的�,漏洞測試串是由編程人員手動(dòng)編輯的�����,可以在漏洞編輯過程中錄入���,所述漏洞測試串為用于檢測漏洞是否存在的字符串�,保存在漏洞庫中�。
[0074]所述漏洞庫至少包括超文本傳輸協(xié)議(Hypertext transfer protocol, HTTP)請求方法、漏洞測試串����、漏洞測試表單及漏洞存在證明。
[0075]需要說明的是,HTTP方法包括GET方法或者POST方法��。其中��,GET方法是從服務(wù)器上獲取數(shù)據(jù)����,即用于信息獲取,POST方法是向服務(wù)器傳送數(shù)據(jù)�。GET是將參數(shù)數(shù)據(jù)隊(duì)列加到提交表單的Action屬性所指的網(wǎng)址中,值和表單內(nèi)各個(gè)字段一一對應(yīng)��,GET請求的數(shù)據(jù)會(huì)附在網(wǎng)址之后即將數(shù)據(jù)放置在HTTP協(xié)議頭中�����,以�?分割URL和傳輸數(shù)據(jù),參數(shù)之間以&相連��。POST將表單內(nèi)各個(gè)字段與其內(nèi)容放置在HTML頭內(nèi)一起傳送到Action屬性所指的網(wǎng)址����,POST把提交的數(shù)據(jù)放置在HTTP包的包體中。
[0076]步驟505���,根據(jù)存在漏洞的網(wǎng)站的網(wǎng)址以及所述漏洞對應(yīng)的漏洞測試串����,構(gòu)造所述漏洞檢測網(wǎng)址,所述漏洞測試串為用于檢測漏洞是否存在的字符串���。
[0077]進(jìn)一步可選的,將所述漏洞測試串添加在所述網(wǎng)站的網(wǎng)址之后�,構(gòu)成漏洞檢測網(wǎng)址。
[0078]可選的���,例如��,存在漏洞的網(wǎng)站的網(wǎng)址為webscan.#/,漏洞對應(yīng)的漏洞測試串為.svn/entries,則構(gòu)造的檢測網(wǎng)址可以為 webscan.#/.svn/entries����。
[0079]步驟506�,若所述漏洞為SQL注入漏洞,則直接采用漏洞網(wǎng)址作為漏洞檢測網(wǎng)址��。
[0080]步驟507�����,若所述漏洞為跨站漏洞,則直接采用漏洞網(wǎng)址作為漏洞檢測網(wǎng)址��,并構(gòu)造表單及所需參數(shù)��,提交至所述漏洞檢測網(wǎng)址�����。
[0081]可選的�����,首先獲得網(wǎng)站中的一個(gè)表單網(wǎng)頁后���,抽取表單的提交方式(GET方式或POST方式)����、目標(biāo)鏈接即漏洞檢測網(wǎng)址和通用網(wǎng)關(guān)接口(Common Gateway Interface, CGI)參數(shù)���,根據(jù)這些信息進(jìn)行綜合分析�����,為表單配置輸入值�,提交給Web服務(wù)器執(zhí)行模擬攻擊。然后分析Web服務(wù)器的響應(yīng)����,確定Web站點(diǎn)是否存在漏洞。
[0082]GET方法不需要構(gòu)造表單��,POST方法需要構(gòu)造表單�,例如,如果是一個(gè)GET請求���,則直接請求整個(gè)檢測網(wǎng)址http://webscan.#/index.php?a=l就好了,如果是POST請求��,則請求的檢測網(wǎng)址為http://webscan.#/index, php,內(nèi)容為a=l�。
[0083]需要說明的是,步驟504以及步驟505��、步驟506����、步驟507為并列步驟,即構(gòu)造漏洞檢測網(wǎng)址的并列方案���,附圖5中以虛線框表示步驟506����、步驟507為可選步驟,當(dāng)然��,也可以虛線框表示步驟504以及步驟505��。
[0084]步驟508,調(diào)取并顯示漏洞掃描結(jié)果展示頁面���。 [0085]漏洞掃描結(jié)果展示頁面為在對網(wǎng)站進(jìn)行漏洞掃描時(shí)獲得的結(jié)果頁面�。當(dāng)執(zhí)行獲取檢測網(wǎng)址的操作時(shí)���,此頁面置于后臺(tái)��,當(dāng)獲取檢測網(wǎng)址之后�����,調(diào)取漏洞掃描結(jié)果展示頁面����,使其置于前臺(tái)�����,以便進(jìn)行漏洞在線演示。
[0086]步驟509�����,當(dāng)接收到用戶通過點(diǎn)擊所述漏洞掃描結(jié)果展示頁面中的漏洞詳情圖標(biāo)的操作后��,進(jìn)入漏洞詳情展示頁面����。
[0087]當(dāng)用戶希望查看漏洞詳情時(shí),則可以直接點(diǎn)擊所述漏洞掃描結(jié)果展示頁面中的漏洞詳情圖標(biāo)����,則服務(wù)器顯示漏洞詳情展示頁面。如圖3所示�����,漏洞詳情展示頁面中包括漏洞上線時(shí)間�����、漏洞名稱�、漏洞類型�、漏洞證據(jù)�����、漏洞地址等等����。
[0088]需要說明的是����,漏洞證據(jù)可以用于用戶判斷漏洞是否真實(shí)存在。
[0089]步驟510��,當(dāng)接收到所述用戶通過點(diǎn)擊所述漏洞詳情展示頁面中的漏洞演示圖標(biāo)的操作后�,加載所述漏洞檢測網(wǎng)址以獲得響應(yīng)信息。
[0090]步驟511�,提取并顯示所述響應(yīng)信息以驗(yàn)證所述網(wǎng)站漏洞。
[0091]所述響應(yīng)信息中中包括網(wǎng)站是否存在漏洞的證據(jù)�。
[0092]可選的,用戶點(diǎn)擊所述漏洞詳情展示頁面中的漏洞演示圖標(biāo)后�,服務(wù)器加載漏洞檢測網(wǎng)址。
[0093]可選的�,用戶可以根據(jù)響應(yīng)信息判斷漏洞是否真實(shí)存在。即所述漏洞詳情展示頁面中包括所述漏洞存在的證據(jù)�;當(dāng)所述響應(yīng)信息中的內(nèi)容與所述漏洞存在的證據(jù)相同時(shí),確定所述網(wǎng)站存在漏洞����;當(dāng)所述響應(yīng)信息中的內(nèi)容與所述漏洞存在的證據(jù)不相同時(shí)���,確定所述網(wǎng)站不存在漏洞。
[0094]本發(fā)明實(shí)施例提供一種漏洞在線演示的方法�����,通過根據(jù)存在漏洞的網(wǎng)站的網(wǎng)址,構(gòu)造漏洞檢測網(wǎng)址����;加載所述漏洞檢測網(wǎng)址以獲取響應(yīng)信息�;提取并顯示所述響應(yīng)信息以驗(yàn)證所述網(wǎng)站漏洞,從而可以解決現(xiàn)有技術(shù)中無法驗(yàn)證漏洞是否真實(shí)存在的問題�,使得不懂網(wǎng)站安全的用戶不會(huì)懷疑這些漏洞的存在����,提高用戶體驗(yàn)����。
[0095]本發(fā)明實(shí)施例提供一種漏洞在線演示的裝置,該裝置可以為服務(wù)器�,如圖6所示,該裝置包括:獲取單元601,構(gòu)造單元602,加載單元603,顯示單元604 �;
[0096]獲取單元601�,用于獲取網(wǎng)站的漏洞網(wǎng)址;
[0097]構(gòu)造單元602���,用于根據(jù)獲取的所述漏洞網(wǎng)址,構(gòu)造漏洞檢測網(wǎng)址����;
[0098]可選的����,網(wǎng)站的網(wǎng)址可以為統(tǒng)一資源定位符URL��,但本發(fā)明不限定網(wǎng)站的網(wǎng)址為URL,還可以為包括任何標(biāo)識網(wǎng)站網(wǎng)址的方式��。
[0099]例如���,網(wǎng)站的網(wǎng)址為webscan.#/,漏洞對應(yīng)的漏洞測試串為.svn/entries,則構(gòu)造的檢測網(wǎng)址可以為webscan.#/.svn/entries。
[0100]加載單元603,用于加載所述漏洞檢測網(wǎng)址以獲取響應(yīng)信息�����;
[0101 ] 顯示單元604���,用于提取并顯示所述響應(yīng)信息以驗(yàn)證所述網(wǎng)站漏洞��。
[0102]進(jìn)一步可選的�����,所述獲取單元601�����,用于對所述網(wǎng)站進(jìn)行漏洞掃描����,獲取所述網(wǎng)站存在漏洞的網(wǎng)址��。
[0103]進(jìn)一步可選的,所述構(gòu)造單元602��,用于根據(jù)所述網(wǎng)站漏洞的類型構(gòu)造所述漏洞檢測網(wǎng)址。
[0104]進(jìn)一步可選的�,如圖7所示,所述構(gòu)造單元602包括:第一構(gòu)造模塊6021�,第二構(gòu)造模塊6022,第三構(gòu)造模塊6023 ;
[0105]第一構(gòu)造模塊6021��,用于若所述漏洞為信息泄露類漏洞�����,則根據(jù)存在漏洞的網(wǎng)站的網(wǎng)址以及所述漏洞對應(yīng)的漏洞測試串�����,構(gòu)造所述漏洞檢測網(wǎng)址,所述漏洞測試串為用于檢測漏洞是否存在的字符串�����。
[0106]第二構(gòu)造模塊6022�,用于若所述漏洞為SQL注入漏洞�,則直接采用漏洞網(wǎng)址作為漏洞檢測網(wǎng)址。
[0107]第三構(gòu)造模塊6023��,用于若所述漏洞為跨站漏洞,則直接采用漏洞網(wǎng)址作為漏洞檢測網(wǎng)址���,并構(gòu)造表單及所需參數(shù)���,提交至所述漏洞檢測網(wǎng)址��。
[0108]進(jìn)一步可選的����,所述構(gòu)造單元602��,用于:從漏洞庫中提取漏洞測試串構(gòu)造所述漏洞檢測網(wǎng)址,所述漏洞庫至少包括HTTP請求方法��、漏洞測試串、漏洞測試表單及漏洞存在證明。
[0109]需要說明的是�����,HTTP方法包括GET方法或者POST方法�����。其中���,GET方法是從服務(wù)器上獲取數(shù)據(jù),即用于信息獲取,POST方法是向服務(wù)器傳送數(shù)據(jù)���。GET是將參數(shù)數(shù)據(jù)隊(duì)列加到提交表單的Action屬性所指的網(wǎng)址中�����,值和表單內(nèi)各個(gè)字段一一對應(yīng),GET請求的數(shù)據(jù)會(huì)附在網(wǎng)址之后即將數(shù)據(jù)放置在HTTP協(xié)議頭中����,以�?分割URL和傳輸數(shù)據(jù)���,參數(shù)之間以&相連。POST將表單內(nèi)各個(gè)字段與其內(nèi)容放置在HTML頭內(nèi)一起傳送到Action屬性所指的網(wǎng)址���,POST把提交的數(shù)據(jù)放置在HTTP包的包體中�。
[0110]需要說明的是��,附圖6或者附圖7所示裝置中���,其各個(gè)模塊的具體實(shí)施過程以及各個(gè)模塊之間的信息交互等內(nèi)容�,由于與本發(fā)明方法實(shí)施例基于同一發(fā)明構(gòu)思,可以參見方法實(shí)施例�����,在此不一一贅述��。
[0111]本發(fā)明實(shí)施例提供一種漏洞在線演示的裝置����,通過構(gòu)造單元根據(jù)存在漏洞的網(wǎng)站的網(wǎng)址,構(gòu)造漏洞檢測網(wǎng)址;加載單元���,用于加載所述漏洞檢測網(wǎng)址以獲取響應(yīng)信息;顯示單元���,用于提取并顯示所述響應(yīng)信息以驗(yàn)證所述網(wǎng)站漏洞�����,從而可以解決現(xiàn)有技術(shù)中無法驗(yàn)證漏洞是否真實(shí)存在的問題�����,使得不懂網(wǎng)站安全的用戶不會(huì)懷疑這些漏洞的存在��,提高用戶體驗(yàn)����。
[0112]ell��、根據(jù)權(quán)利要求10所述的裝置��,所述構(gòu)造單元,包括:
[0113]第一構(gòu)造模塊�,用于若所述漏洞為信息泄露類漏洞�����,則根據(jù)存在漏洞的網(wǎng)站的網(wǎng)址以及所述漏洞對應(yīng)的漏洞測試串,構(gòu)造所述漏洞檢測網(wǎng)址,所述漏洞測試串為用于檢測漏洞是否存在的字符串����。
[0114]cl2���、根據(jù)權(quán)利要求10所述的裝置����,所述構(gòu)造單元����,包括:
[0115]第二構(gòu)造模塊,用于若所述漏洞為SQL注入漏洞����,則直接采用漏洞網(wǎng)址作為漏洞檢測網(wǎng)址。
[0116]cl3����、根據(jù)權(quán)利要求10所述的裝置����,所述構(gòu)造單元�����,包括:
[0117]第三構(gòu)造模塊���,用于若所述漏洞為跨站漏洞�����,則直接采用漏洞網(wǎng)址作為漏洞檢測網(wǎng)址,并構(gòu)造表單及所需參數(shù),提交至所述漏洞檢測網(wǎng)址�。
[0118]cl4���、根據(jù)權(quán)利要求8-13中任一項(xiàng)所述的裝置,所述構(gòu)造單元���,用于:從漏洞庫中提取漏洞測試串構(gòu)造所述漏洞檢測網(wǎng)址���,所述漏洞庫至少包括HTTP請求方法�、漏洞測試串、漏洞測試表單及漏洞存在證明。
[0119]需說明的是�����,以上所描述的裝置實(shí)施例僅僅是示意性的�,其中所述作為分離部件說明的單元可以是或者也可以不是物理上分開的���,作為單元顯示的部件可以是或者也可以不是物理單元��,即可以位于一個(gè)地方���,或者也可以分布到多個(gè)網(wǎng)絡(luò)單元上�?����?梢愿鶕?jù)實(shí)際的需要選擇其中的部分或者全部模塊來實(shí)現(xiàn)本實(shí)施例方案的目的。本領(lǐng)域普通技術(shù)人員在不付出創(chuàng)造性勞動(dòng)的情況下�����,即可以理解并實(shí)施。
[0120]通過以上的實(shí)施方式的描述�,所屬領(lǐng)域的技術(shù)人員可以清楚地了解到本發(fā)明可借助軟件加必需的通用硬件的方式來實(shí)現(xiàn)�����,當(dāng)然也可以通過專用硬件包括專用集成電路、專用CPU、專用存儲(chǔ)器��、專用元器件等來實(shí)現(xiàn)����,但很多情況下前者是更佳的實(shí)施方式�?��;谶@樣的理解,本發(fā)明的技術(shù)方案本質(zhì)上或者說對現(xiàn)有技術(shù)做出貢獻(xiàn)的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來��,該計(jì)算機(jī)軟件產(chǎn)品存儲(chǔ)在可讀取的存儲(chǔ)介質(zhì)中,如計(jì)算機(jī)的軟盤���,U盤、移動(dòng)硬盤、只讀存儲(chǔ)器(ROM,Read-Only Memory)�、隨機(jī)存取存儲(chǔ)器(RAM,Random Access Memory)>磁碟或者光盤等����,包括若干指令用以使得一臺(tái)計(jì)算機(jī)設(shè)備(可以是個(gè)人計(jì)算機(jī)����,服務(wù)器���,或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個(gè)實(shí)施例所述的方法。
[0121]在此提供的算法和顯示不與任何特定計(jì)算機(jī)���、虛擬系統(tǒng)或者其它設(shè)備固有相關(guān)��。各種通用系統(tǒng)也可以與基于在此的示教一起使用��。根據(jù)上面的描述����,構(gòu)造這類系統(tǒng)所要求的結(jié)構(gòu)是顯而易見的���。此外�����,本發(fā)明也不針對任何特定編程語言�。應(yīng)當(dāng)明白���,可以利用各種編程語言實(shí)現(xiàn)在此描述的本發(fā)明的內(nèi)容���,并且上面對特定語言所做的描述是為了披露本發(fā)明的最佳實(shí)施方式��。
[0122]在此處所提供的說明書中���,說明了大量具體細(xì)節(jié)。然而,能夠理解���,本發(fā)明的實(shí)施例可以在沒有這些具體細(xì)節(jié)的情況下實(shí)踐��。在一些實(shí)例中�,并未詳細(xì)示出公知的方法、結(jié)構(gòu)和技術(shù)�,以便不模糊對本說明書的理解�。
[0123]類似地��,應(yīng)當(dāng)理解�,為了精簡本公開并幫助理解各個(gè)發(fā)明方面中的一個(gè)或多個(gè)�,在上面對本發(fā)明的示例性實(shí)施例的描述中���,本發(fā)明的各個(gè)特征有時(shí)被一起分組到單個(gè)實(shí)施例、圖���、或者對其的描述中����。然而���,并不應(yīng)將該公開的方法解釋成反映如下意圖:即所要求保護(hù)的本發(fā)明要求比在每個(gè)權(quán)利要求中所明確記載的特征更多的特征。更確切地說,如下面的權(quán)利要求書所反映的那樣,發(fā)明方面在于少于前面公開的單個(gè)實(shí)施例的所有特征�。因此���,遵循【具體實(shí)施方式】的權(quán)利要求書由此明確地并入該【具體實(shí)施方式】�,其中每個(gè)權(quán)利要求本身都作為本發(fā)明的單獨(dú)實(shí)施例�。
[0124]本領(lǐng)域那些技術(shù)人員可以理解�,可以對實(shí)施例中的設(shè)備中的模塊進(jìn)行自適應(yīng)性地改變并且把它們設(shè)置在與該實(shí)施例不同的一個(gè)或多個(gè)設(shè)備中?�?梢园褜?shí)施例中的模塊或單元或組件組合成一個(gè)模塊或單元或組件�����,以及此外可以把它們分成多個(gè)子模塊或子單元或子組件��。除了這樣的特征和/或過程或者單元中的至少一些是相互排斥之外���,可以采用任何組合對本說明書(包括伴隨的權(quán)利要求�、摘要和附圖)中公開的所有特征以及如此公開的任何方法或者設(shè)備的所有過程或單元進(jìn)行組合�。除非另外明確陳述,本說明書(包括伴隨的權(quán)利要求��、摘要和附圖)中公開的每個(gè)特征可以由提供相同��、等同或相似目的的替代特征來代替�。
[0125]此外�,本領(lǐng)域的技術(shù)人員能夠理解��,盡管在此所述的一些實(shí)施例包括其它實(shí)施例中所包括的某些特征而不是其它特征����,但是不同實(shí)施例的特征的組合意味著處于本發(fā)明的范圍之內(nèi)并且形成不同的實(shí)施例����。例如�,在下面的權(quán)利要求書中���,所要求保護(hù)的實(shí)施例的任意之一都可以以任意的組合方式來使用���。
[0126]本發(fā)明的各個(gè)部件實(shí)施例可以以硬件實(shí)現(xiàn)�����,或者以在一個(gè)或者多個(gè)處理器上運(yùn)行的軟件模塊實(shí)現(xiàn)�,或者以它們的組合實(shí)現(xiàn)。本發(fā)明還可以實(shí)現(xiàn)為用于執(zhí)行這里所描述的方法的一部分或者全部的設(shè)備或者裝置程序(例如,計(jì)算機(jī)程序和計(jì)算機(jī)程序產(chǎn)品)�。這樣的實(shí)現(xiàn)本發(fā)明的程序可以存儲(chǔ)在計(jì)算機(jī)可讀介質(zhì)上�����,或者可以具有一個(gè)或者多個(gè)信號的形式。這樣的信號可以從因特網(wǎng)網(wǎng)站上下載得到�,或者在載體信號上提供,或者以任何其他形式提供�����。
[0127]應(yīng)該注意的是上述實(shí)施例對本發(fā)明進(jìn)行說明而不是對本發(fā)明進(jìn)行限制�����,并且本領(lǐng)域技術(shù)人員在不脫離所附權(quán)利要求的范圍的情況下可設(shè)計(jì)出替換實(shí)施例���。在權(quán)利要求中���,不應(yīng)將位于括號之間的任何參考符號構(gòu)造成對權(quán)利要求的限制。單詞“包含”不排除存在未列在權(quán)利要求中的元件或步驟�����。位于元件之前的單詞“一”或“一個(gè)”不排除存在多個(gè)這樣的元件�。本發(fā)明可以借助于包括有若干不同元件的硬件以及借助于適當(dāng)編程的計(jì)算機(jī)來實(shí)現(xiàn)。在列舉了若干裝置的單元權(quán)利要求中��,這些裝置中的若干個(gè)可以是通過同一個(gè)硬件項(xiàng)來具體體現(xiàn)。單詞第一����、第二、以及第三等的使用不表示任何順序�����?���?蓪⑦@些單詞解釋為名稱。
【權(quán)利要求】
1.一種網(wǎng)站漏洞在線驗(yàn)證方法����,其包括:獲取網(wǎng)站的漏洞網(wǎng)址,構(gòu)造漏洞檢測網(wǎng)址�;加載所述漏洞檢測網(wǎng)址以獲取響應(yīng)信息;提取并顯示所述響應(yīng)信息以驗(yàn)證所述網(wǎng)站漏洞�����。
2.根據(jù)權(quán)利要求1所述的方法���,包括:所述獲取網(wǎng)站的漏洞網(wǎng)址�,包括:對所述網(wǎng)站進(jìn)行漏洞掃描,獲取所述網(wǎng)站存在漏洞的網(wǎng)址�。
3.根據(jù)權(quán)利要求1所述的方法����,所述構(gòu)造漏洞檢測網(wǎng)址,包括:根據(jù)所述網(wǎng)站漏洞的類型構(gòu)造所述漏洞檢測網(wǎng)址�。
4.根據(jù)權(quán)利要求3所述的方法,所述根據(jù)網(wǎng)站漏洞的類型構(gòu)造所述漏洞檢測網(wǎng)址����,包括:若所述漏洞為信息泄露類漏洞,則根據(jù)存在漏洞的網(wǎng)站的網(wǎng)址以及所述漏洞對應(yīng)的漏洞測試串�����,構(gòu)造所述漏洞檢測網(wǎng)址�,所述漏洞測試串為用于檢測漏洞是否存在的字符串。
5.根據(jù)權(quán)利要求3所述的方法�����,所述根據(jù)網(wǎng)站漏洞的類型構(gòu)造所述漏洞檢測網(wǎng)址��,包括:若所述漏洞為SQL注入漏洞�����,則直接采用漏洞網(wǎng)址作為漏洞檢測網(wǎng)址。
6.根據(jù)權(quán)利要求3所述的方法��,所述根據(jù)網(wǎng)站漏洞的類型構(gòu)造所述漏洞檢測網(wǎng)址�,包括:若所述漏洞為跨站漏洞,則直接采用漏洞網(wǎng)址作為漏洞檢測網(wǎng)址�,并構(gòu)造表單及所需參數(shù),提交至所述漏洞檢測網(wǎng)址���。
7.根據(jù)權(quán)利要求1-6中任一項(xiàng)所述的方法�,所述構(gòu)造漏洞檢測網(wǎng)址��,包括:從漏洞庫中提取漏洞測試串構(gòu)造所述漏洞檢測網(wǎng)址�,所述漏洞庫至少包括HTTP請求方法、漏洞測試串�����、漏洞測試表單及漏洞存在證明���。
8.一種網(wǎng)站漏洞在線驗(yàn)證裝置����,其包括:獲取單元�,用于獲取網(wǎng)站的漏洞網(wǎng)址�����;構(gòu)造單元���,用于根據(jù)獲取的所述漏洞網(wǎng)址���,構(gòu)造漏洞檢測網(wǎng)址;加載單元����,用于加載所述漏洞檢測網(wǎng)址以獲取響應(yīng)信息��;顯示單元��,用于提取并顯示所述響應(yīng)信息以驗(yàn)證所述網(wǎng)站漏洞����。
9.根據(jù)權(quán)利要求8所述的裝置,所述獲取單元����,用于:對所述網(wǎng)站進(jìn)行漏洞掃描,獲取所述網(wǎng)站存在漏洞的網(wǎng)址����。
10.根據(jù)權(quán)利要求8所述的裝置,所述構(gòu)造單元��,用于:根據(jù)所述網(wǎng)站漏洞的類型構(gòu)造所述漏洞檢測網(wǎng)址�。
【文檔編號】H04L29/06GK103647678SQ201310552910
【公開日】2014年3月19日 申請日期:2013年11月8日 優(yōu)先權(quán)日:2013年11月8日
【發(fā)明者】龍專, 蘇兵社 申請人:北京奇虎科技有限公司, 奇智軟件(北京)有限公司