本申請涉及安全檢測技術(shù)領(lǐng)域，尤其涉及一種用于檢測網(wǎng)站中網(wǎng)頁的安全漏洞的方法及裝置。

背景技術(shù)：

檢測網(wǎng)站中網(wǎng)頁的安全漏洞是用于及時(shí)發(fā)現(xiàn)網(wǎng)站中網(wǎng)頁可能存在的安全隱患，以便采用相應(yīng)的措施消除該安全隱患。所述安全漏洞例如，XSS(Cross Site Scripting，跨站腳本攻擊，為避免與其他英文縮寫存在名字沖突，國際慣例將CSS統(tǒng)一稱為XSS)，該XSS是在網(wǎng)站的正常HTML(HyperText Mark-up Language，超級文本標(biāo)記語言)中插入惡意HTML代碼，當(dāng)用戶瀏覽對應(yīng)網(wǎng)站時(shí)，被惡意插入的HTML代碼會被執(zhí)行，從而達(dá)到惡意攻擊的目的。

目前的檢測網(wǎng)站中網(wǎng)頁的安全漏洞的方法是將具體的檢測規(guī)則編碼到程序中，即，密封于代碼模塊中。由于網(wǎng)絡(luò)開發(fā)技術(shù)更新較快，且各種新的安全漏洞層出不窮，因此，需要不斷更新檢測規(guī)則。該更新操作需要熟悉相應(yīng)語言的專業(yè)技術(shù)人員修改代碼來實(shí)現(xiàn)，其對技術(shù)人員要求較高，且更新周期較長，使得該網(wǎng)站中網(wǎng)頁的安全漏洞的檢測方法不夠靈活。

因此，已有的檢測網(wǎng)站中網(wǎng)頁的安全漏洞的方法由于無法做到檢測規(guī)則的靈活更新，使得該檢測方法不能及時(shí)檢測出新的安全漏洞，從而降低了該網(wǎng)站中網(wǎng)頁的安全漏洞的檢測方法的可靠性。

技術(shù)實(shí)現(xiàn)要素：

本申請解決的技術(shù)問題之一是提供一種用于檢測網(wǎng)站中網(wǎng)頁的安全漏洞的方法及裝置，能夠靈活更新檢測規(guī)則，以檢測出各種安全漏洞，提升了檢測的可靠性。

根據(jù)本申請一方面的一個(gè)實(shí)施例，提供了一種用于檢測網(wǎng)站中網(wǎng)頁的安全漏洞的方法，包括：

獲取所述網(wǎng)站的特征信息；

依據(jù)所述特征信息獲取配置文件，所述配置文件包含檢測網(wǎng)站中網(wǎng)頁的安全漏洞的規(guī)則；

基于所獲取的配置文件中的所述規(guī)則，對所述網(wǎng)站中的網(wǎng)頁進(jìn)行安全漏洞檢測。

根據(jù)本申請另一方面的一個(gè)實(shí)施例，提供了一種用于檢測網(wǎng)站中網(wǎng)頁的安全漏洞的裝置，包括：

特征信息獲取單元，用于獲取所述網(wǎng)站的特征信息；

配置文件獲取單元，用于依據(jù)所述特征信息獲取配置文件，所述配置文件包含檢測網(wǎng)站中網(wǎng)頁的安全漏洞的規(guī)則；

檢測單元，用于基于所獲取的配置文件中的所述規(guī)則，對所述網(wǎng)站中的網(wǎng)頁進(jìn)行安全漏洞檢測。

本申請實(shí)施例通過配置文件存放檢測網(wǎng)站中網(wǎng)頁的安全漏洞的規(guī)則，而不是硬編碼于程序中，使用者可以靈活的更新檢測規(guī)則，而無需受程序語言的限制，使得該檢測方法能夠及時(shí)檢測出各種安全漏洞，有效提高了網(wǎng)站中網(wǎng)頁的安全漏洞檢測方法的可靠性。

另外，本實(shí)施例通過獲取網(wǎng)站的特征信息，并依據(jù)獲取的特征信息獲取存放檢測規(guī)則的配置文件，使得網(wǎng)站中網(wǎng)頁的安全漏洞的檢測更有針對性，能夠?yàn)榫W(wǎng)站中網(wǎng)頁選擇匹配的檢測規(guī)則，從而提高網(wǎng)站中網(wǎng)頁的安全漏洞檢測的準(zhǔn)確性。

本領(lǐng)域普通技術(shù)人員將了解，雖然下面的詳細(xì)說明將參考圖示實(shí)施例、附圖進(jìn)行，但本申請并不僅限于這些實(shí)施例。而是，本申請的范圍是廣泛的，且意在僅通過后附的權(quán)利要求限定本申請的范圍。

附圖說明

通過閱讀參照以下附圖所作的對非限制性實(shí)施例所作的詳細(xì)描述，本申請的其它特征、目的和優(yōu)點(diǎn)將會變得更明顯：

圖1是根據(jù)本申請一個(gè)實(shí)施例的用于檢測網(wǎng)站中網(wǎng)頁的安全漏洞的方法的流程圖。

圖2是根據(jù)本申請一個(gè)實(shí)施例的檢測網(wǎng)站中網(wǎng)頁的安全漏洞的規(guī)則對應(yīng)的流程圖。

圖3是根據(jù)本申請一個(gè)實(shí)施例的用于檢測網(wǎng)站中網(wǎng)頁的安全漏洞的裝置的結(jié)構(gòu)示意圖。

圖4是根據(jù)本申請一個(gè)實(shí)施例的特征信息獲取單元結(jié)構(gòu)示意圖。

圖5是根據(jù)本申請一個(gè)實(shí)施例的檢測單元結(jié)構(gòu)示意圖。

附圖中相同或相似的附圖標(biāo)記代表相同或相似的部件。

具體實(shí)施方式

在更加詳細(xì)地討論示例性實(shí)施例之前應(yīng)當(dāng)提到的是，一些示例性實(shí)施例被描述成作為流程圖描繪的處理或方法。雖然流程圖將各項(xiàng)操作描述成順序的處理，但是其中的許多操作可以被并行地、并發(fā)地或者同時(shí)實(shí)施。此外，各項(xiàng)操作的順序可以被重新安排。當(dāng)其操作完成時(shí)所述處理可以被終止，但是還可以具有未包括在附圖中的附加步驟。所述處理可以對應(yīng)于方法、函數(shù)、規(guī)程、子例程、子程序等等。

所述計(jì)算機(jī)設(shè)備包括用戶設(shè)備與網(wǎng)絡(luò)設(shè)備。其中，所述用戶設(shè)備包括但不限于電腦、智能手機(jī)、PDA等；所述網(wǎng)絡(luò)設(shè)備包括但不限于單個(gè)網(wǎng)絡(luò)服務(wù)器、多個(gè)網(wǎng)絡(luò)服務(wù)器組成的服務(wù)器組或基于云計(jì)算(Cloud Computing)的由大量計(jì)算機(jī)或網(wǎng)絡(luò)服務(wù)器構(gòu)成的云，其中，云計(jì)算是分布式計(jì)算的一種，由一群松散耦合的計(jì)算機(jī)集組成的一個(gè)超級虛擬計(jì)算機(jī)。其中，所述計(jì)算機(jī)設(shè)備可單獨(dú)運(yùn)行來實(shí)現(xiàn)本申請，也可接入網(wǎng)絡(luò)并通過與網(wǎng)絡(luò)中的其他計(jì)算機(jī)設(shè)備的交互操作來實(shí)現(xiàn)本申請。其中，所述計(jì)算機(jī)設(shè)備所處的網(wǎng)絡(luò)包括但不限于互聯(lián)網(wǎng)、廣域網(wǎng)、城域網(wǎng)、局域網(wǎng)、VPN網(wǎng)絡(luò)等。

需要說明的是，所述用戶設(shè)備、網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)等僅為舉例，其他現(xiàn)有的或今后可能出現(xiàn)的計(jì)算機(jī)設(shè)備或網(wǎng)絡(luò)如可適用于本申請，也應(yīng)包含在本申請保護(hù)范圍以內(nèi)，并以引用方式包含于此。

后面所討論的方法(其中一些通過流程圖示出)可以通過硬件、軟件、 固件、中間件、微代碼、硬件描述語言或者其任意組合來實(shí)施。當(dāng)用軟件、固件、中間件或微代碼來實(shí)施時(shí)，用以實(shí)施必要任務(wù)的程序代碼或代碼段可以被存儲在機(jī)器或計(jì)算機(jī)可讀介質(zhì)(比如存儲介質(zhì))中。(一個(gè)或多個(gè))處理器可以實(shí)施必要的任務(wù)。

這里所公開的具體結(jié)構(gòu)和功能細(xì)節(jié)僅僅是代表性的，并且是用于描述本申請的示例性實(shí)施例的目的。但是本申請可以通過許多替換形式來具體實(shí)現(xiàn)，并且不應(yīng)當(dāng)被解釋成僅僅受限于這里所闡述的實(shí)施例。

應(yīng)當(dāng)理解的是，雖然在這里可能使用了術(shù)語“第一”、“第二”等等來描述各個(gè)單元，但是這些單元不應(yīng)當(dāng)受這些術(shù)語限制。使用這些術(shù)語僅僅是為了將一個(gè)單元與另一個(gè)單元進(jìn)行區(qū)分。舉例來說，在不背離示例性實(shí)施例的范圍的情況下，第一單元可以被稱為第二單元，并且類似地第二單元可以被稱為第一單元。這里所使用的術(shù)語“和/或”包括其中一個(gè)或更多所列出的相關(guān)聯(lián)項(xiàng)目的任意和所有組合。

應(yīng)當(dāng)理解的是，當(dāng)一個(gè)單元被稱為“連接”或“耦合”到另一單元時(shí)，其可以直接連接或耦合到所述另一單元，或者可以存在中間單元。與此相對，當(dāng)一個(gè)單元被稱為“直接連接”或“直接耦合”到另一單元時(shí)，則不存在中間單元。應(yīng)當(dāng)按照類似的方式來解釋被用于描述單元之間的關(guān)系的其他詞語(例如“處于...之間”相比于“直接處于...之間”，“與...鄰近”相比于“與...直接鄰近”等等)。

這里所使用的術(shù)語僅僅是為了描述具體實(shí)施例而不意圖限制示例性實(shí)施例。除非上下文明確地另有所指，否則這里所使用的單數(shù)形式“一個(gè)”、“一項(xiàng)”還意圖包括復(fù)數(shù)。還應(yīng)當(dāng)理解的是，這里所使用的術(shù)語“包括”和/或“包含”規(guī)定所陳述的特征、整數(shù)、步驟、操作、單元和/或組件的存在，而不排除存在或添加一個(gè)或更多其他特征、整數(shù)、步驟、操作、單元、組件和/或其組合。

還應(yīng)當(dāng)提到的是，在一些替換實(shí)現(xiàn)方式中，所提到的功能/動作可以按照不同于附圖中標(biāo)示的順序發(fā)生。舉例來說，取決于所涉及的功能/動作，相繼示出的兩幅圖實(shí)際上可以基本上同時(shí)執(zhí)行或者有時(shí)可以按照相反的順序來執(zhí)行。

本申請實(shí)施例中所述URL(Uniform Resource Locator，統(tǒng)一資源定位符)，其包含從互聯(lián)網(wǎng)上得到的資源的位置信息以及瀏覽器對該位置信息的處理方法，互聯(lián)網(wǎng)上的每個(gè)文件都有一個(gè)唯一的URL。

下面結(jié)合附圖對本申請的技術(shù)方案作進(jìn)一步詳細(xì)描述。

圖1是根據(jù)本申請一個(gè)實(shí)施例的檢測網(wǎng)站中網(wǎng)頁安全漏洞的方法的流程圖，該方法可由網(wǎng)絡(luò)側(cè)設(shè)備執(zhí)行，例如，可以使用專門用于檢測網(wǎng)站中網(wǎng)頁安全漏洞的服務(wù)器執(zhí)行，或使用已有的執(zhí)行各功能的網(wǎng)絡(luò)側(cè)服務(wù)器執(zhí)行，所述已有的執(zhí)行各功能的網(wǎng)絡(luò)側(cè)服務(wù)器包括但不限于：網(wǎng)站服務(wù)器或安全認(rèn)證服務(wù)器等等。該方法主要包括如下步驟：

S10、獲取網(wǎng)站的特征信息；

S11、依據(jù)所述特征信息獲取配置文件，所述配置文件包含檢測網(wǎng)站中網(wǎng)頁的安全漏洞的規(guī)則；

S12、基于所獲取的配置文件中的所述規(guī)則，對所述網(wǎng)站中網(wǎng)頁進(jìn)行安全漏洞檢測。

下面對上述各步驟做進(jìn)一步詳細(xì)介紹。

本實(shí)施例所述的方法可在獲取到網(wǎng)站中網(wǎng)頁的HTML信息后的任一時(shí)刻執(zhí)行。例如，在網(wǎng)頁加載過程中或網(wǎng)頁加載完成后執(zhí)行。

步驟S10中所述的網(wǎng)站的特征信息為依據(jù)網(wǎng)站中網(wǎng)頁的HTML或URL提取的網(wǎng)站各種特征參數(shù)，用于作為獲取配置文件的依據(jù)。且該特征信息包括但不限于以下至少一項(xiàng)：網(wǎng)站所使用的開發(fā)語言、網(wǎng)站所屬的應(yīng)用類型、網(wǎng)站服務(wù)器類型(或稱為web服務(wù)器)、網(wǎng)站模塊類型。

其中，網(wǎng)站所使用的開發(fā)語言包括已有的各種網(wǎng)站開發(fā)語言，例如，ASP(Active Server Pages，動態(tài)服務(wù)器頁面)、PHP(Hypertext Preprocessor，超級文本預(yù)處理語言)、JSP(Java Server Pages，Java服務(wù)器頁面)等。

本實(shí)施例針對網(wǎng)站所使用的開發(fā)語言，可基于網(wǎng)站中網(wǎng)頁的URL中的文件名獲取。例如，針對一個(gè)網(wǎng)頁的URL為http://host/default.php？name＝Andy&style＝1的網(wǎng)站，其文件名為“default.php”，通過該文件名可獲知該網(wǎng)站所使用的開發(fā)語言是PHP語言。

其中，網(wǎng)站所屬的應(yīng)用類型包括但不限于：論壇、電子商務(wù)、郵件、 CMS(Content Management System，內(nèi)容管理系統(tǒng))等等。本申請實(shí)施例可為每一應(yīng)用類型預(yù)設(shè)相應(yīng)的類型特征(每一應(yīng)用類型可對應(yīng)至少一個(gè)類型特征)，符合該類型特征的網(wǎng)站即屬于該應(yīng)用類型。則對應(yīng)的獲取網(wǎng)站所屬的應(yīng)用類型的方法可以為：

提取網(wǎng)站中網(wǎng)頁的HTML中的指定參數(shù)，將所述指定參數(shù)與預(yù)設(shè)的應(yīng)用類型集中的應(yīng)用類型的類型特征匹配，將類型特征匹配的應(yīng)用類型作為獲取的所述網(wǎng)站所屬的應(yīng)用類型。

例如，提取網(wǎng)站中網(wǎng)頁的HTML中的指定參數(shù)為：提取Powered by對應(yīng)的參數(shù)為Discuz；將該參數(shù)“Discuz”與預(yù)設(shè)的應(yīng)用類型集中各應(yīng)用類型的類型特征比對，發(fā)現(xiàn)其與預(yù)設(shè)的論壇對應(yīng)的類型特征“Discuz”相符，則可確定該網(wǎng)站所屬的應(yīng)用類型為論壇。

其中，本實(shí)施例所述的服務(wù)器類型包括但不限于：Apache、Tomcat、Lighttpd、Nginx、Jetty、IIS、Jboss、Resin等等。在網(wǎng)頁的HTML中會攜帶服務(wù)器類型信息，即該服務(wù)器類型信息可直接從網(wǎng)頁的HTML中獲取。例如，網(wǎng)頁的HTML中攜帶的服務(wù)器類型信息為：server:Apache，則可獲知該網(wǎng)站的服務(wù)器類型為Apache。

其中，所述的網(wǎng)站模塊類型包括但不限于：jk、python、rails、perl、fastcgi等等。在網(wǎng)站中網(wǎng)頁的HTTP(HyperText Transfer Protocol，超文本傳輸協(xié)議)中攜帶有網(wǎng)站模塊類型信息，也就是基于網(wǎng)頁的HTTP協(xié)議中攜帶的網(wǎng)站模塊類型信息可獲取網(wǎng)站模塊類型。例如，在網(wǎng)頁的HTTP協(xié)議中攜帶的網(wǎng)站模塊類型信息為：mod_python，則可獲知該網(wǎng)站模塊類型為python。

可以理解的是，執(zhí)行步驟S10獲取網(wǎng)站的特征信息的目的在于，可以依據(jù)獲取的網(wǎng)站的特征信息來獲取用于進(jìn)行網(wǎng)站中網(wǎng)頁的安全漏洞掃描的配置文件，因此，所獲取的網(wǎng)站的特征信息并不局限于上面所列舉的幾種，能夠作為選擇配置文件的條件的其他網(wǎng)站的特征信息也同樣包含在內(nèi)。

步驟S11中所述的配置文件用于保存檢測網(wǎng)站中網(wǎng)頁的安全漏洞的規(guī)則。也就是，本申請實(shí)施例將檢測網(wǎng)站中網(wǎng)頁的安全漏洞的規(guī)則保存于配置文件中，而不是硬編碼于程序中，這樣便于靈活更新所述規(guī)則，而無需 受程序語言的限制。其中，一個(gè)配置文件中可以保存至少一個(gè)用于檢測網(wǎng)站中網(wǎng)頁的安全漏洞的規(guī)則。

另外，本申請實(shí)施例可以針對具有不同特征信息的網(wǎng)站的網(wǎng)頁設(shè)置不同的檢測安全漏洞的規(guī)則。這樣就存在多個(gè)配置文件，其中，可由配置服務(wù)器來統(tǒng)一管理所述多個(gè)配置文件，如通過該配置服務(wù)器來更新配置文件中的規(guī)則，并將各配置文件下發(fā)給各檢測設(shè)備(如網(wǎng)絡(luò)側(cè)服務(wù)器或稱網(wǎng)站服務(wù)器)。在各檢測設(shè)備實(shí)際執(zhí)行網(wǎng)站中網(wǎng)頁的安全漏洞檢測時(shí)，需從多個(gè)配置文件中獲取到匹配的配置文件，以依照其中的規(guī)則來對網(wǎng)站中網(wǎng)頁的安全漏洞進(jìn)行檢測。本申請實(shí)施例可依據(jù)步驟S10中獲取的網(wǎng)站的特征信息來獲取配置文件，具體的，獲取包含與網(wǎng)站的特征信息相符的進(jìn)行安全漏洞檢測的規(guī)則的配置文件。例如，若獲取的網(wǎng)站特征信息中包含網(wǎng)站所使用的開發(fā)語言，則選擇包含針對所述網(wǎng)站所使用的開發(fā)語言進(jìn)行安全漏洞檢測的規(guī)則的配置文件；若獲取的網(wǎng)站特征信息中包含網(wǎng)站所屬的應(yīng)用類型，則選擇包含針對所述應(yīng)用類型進(jìn)行安全漏洞檢測的規(guī)則的配置文件。

其中，依據(jù)所述特征信息獲取配置文件的一種實(shí)施例可以為：

預(yù)先存儲有網(wǎng)站的特征信息與配置文件的對應(yīng)關(guān)系，在依據(jù)網(wǎng)站的特征信息獲取配置文件時(shí)，參照預(yù)先存儲的網(wǎng)站的特征信息與配置文件的對應(yīng)關(guān)系，依據(jù)所述特征信息獲取配置文件。若獲取的網(wǎng)站的特征信息為多個(gè)，且依據(jù)所述多個(gè)特征信息能夠獲取到共同的配置文件，則選擇該共同的配置文件，也就是選擇多個(gè)特征信息對應(yīng)的配置文件的交集作為獲取的配置文件；若依據(jù)所述多個(gè)特征信息不能獲取到共同的配置文件，則將所述多個(gè)特征信息對應(yīng)的多個(gè)配置文件作為獲取的配置文件，也就是選擇多個(gè)特征信息對應(yīng)的配置文件的并集作為獲取的配置文件。

本申請實(shí)施例可結(jié)合所獲取的網(wǎng)站特征信息來選擇配置文件，從而可以選擇與待檢測網(wǎng)站中網(wǎng)頁匹配的配置文件來進(jìn)行安全漏洞的檢測，可有效提高安全漏洞檢測的準(zhǔn)確可靠性。

本實(shí)施例所述的檢測網(wǎng)站中網(wǎng)頁的安全漏洞的規(guī)則如圖2中所示，其可包括如下主要步驟：

S20、對網(wǎng)站中網(wǎng)頁的URL加入干擾信息；

所述對網(wǎng)站中網(wǎng)頁的URL加入干擾信息，即模擬其中一種安全漏洞在原URL中加入干擾信息。例如，針對URL為：

http://host/default.php？name＝Andy&style＝1的網(wǎng)站，其對應(yīng)的網(wǎng)頁的HTML內(nèi)容如下：

<html lang＝“zh”>

<head>

<title>welcome.</title>

<link rel＝“stylesheet”href＝“/xss/skin xss.php？style＝1”type＝“tex/xss”>

</head>

<body>

<h2>

你好

Andy1

</h2>

</body>

</html>

上面的HTML內(nèi)容中包含有name和style兩個(gè)參數(shù)的值，在對URL加入干擾信息時(shí)，可以針對該兩個(gè)參數(shù)(name和style)分別加入干擾信息。對參數(shù)name加入干擾信息后得到的URL可為如下兩個(gè)：

http://host/default.php？name＝Andy<script>alert(xss)；</script>&style＝1

http://host/default.php？name＝<script>alert(xss)；</script>&style＝1

對參數(shù)style加入干擾信息后得到的URL可為如下兩個(gè)：

http://host/default.php？name＝Andy&style＝1<script>alert(xss)；</script>

http://host/default.php？name＝Andy&style＝<script>alert(xss)；</script>

S21、發(fā)送帶有加入干擾信息后的URL的請求；

即請求加入干擾信息后的網(wǎng)站URL對應(yīng)的資源，如請求上述加入干擾信息后的四個(gè)URL對應(yīng)的資源。

S22、接收來自網(wǎng)站服務(wù)器的響應(yīng)信息，若響應(yīng)信息中包含漏洞特征， 則確定所述網(wǎng)站的網(wǎng)頁存在安全漏洞。

所述響應(yīng)信息即發(fā)送加入干擾信息后接收到的對應(yīng)的資源，可通過判斷響應(yīng)信息中是否包含所述干擾信息來檢測原URL(被加入干擾信息前的URL)是否存在安全漏洞。若響應(yīng)信息中存在干擾信息，則表明該網(wǎng)站沒有對干擾信息進(jìn)行過濾，則存在安全漏洞。

以上述加入干擾信息后的第一個(gè)URL(http://host/default.php？name＝Andy<script>alert(xss)；</script>&style＝1)請求對應(yīng)的響應(yīng)信息為例，該響應(yīng)信息對應(yīng)的HTML內(nèi)容如下：

<html lang＝“zh”>

<head>

<title>welcome.</title>

<link rel＝“stylesheet”href＝“/xss/skin xss.php？style＝1”type＝“tex/xss”>

</head>

<body>

<h2>

你好

Andy<script>alert(xss)；</script>1

</h2>

</body>

</html>

從上面的響應(yīng)信息可以看出，步驟20中加入的干擾信息被加入到響應(yīng)信息中，即網(wǎng)頁沒有對加入的干擾信息進(jìn)行過濾，則可認(rèn)為被加入干擾信息前的URL存在安全漏洞。

上述檢測網(wǎng)站中網(wǎng)頁的安全漏洞的規(guī)則僅為發(fā)明人所列舉的一種實(shí)例，實(shí)際應(yīng)用中可設(shè)置各種不同的規(guī)則。其中，不同的配置文件中的檢測網(wǎng)站中網(wǎng)頁的安全漏洞的規(guī)則在如下的至少一個(gè)方面不同：

1)向網(wǎng)站中網(wǎng)頁的URL加入的干擾信息不同；

例如，針對不同的參數(shù)加入干擾信息，或針對同一參數(shù)加入不同的干擾信息。

2)發(fā)送帶有加入干擾信息后的URL的請求的數(shù)目不同；

也就是構(gòu)造的加入干擾信息的URL的個(gè)數(shù)不同；

3)漏洞特征不同；

也就是分析響應(yīng)信息中通過不同的漏洞特征來檢測是否存在安全漏洞，所述漏洞特征包括但不限于：加入的干擾信息、對加入的干擾信息的變形、或加入的干擾信息的一部分等等。

步驟S12即為基于所獲取的配置文件中的規(guī)則對所述網(wǎng)站中網(wǎng)頁進(jìn)行安全漏洞檢測，具體檢測方法同上面規(guī)則介紹中所述，此處不再贅述。

本申請實(shí)施例通過配置文件存放檢測網(wǎng)站中網(wǎng)頁的安全漏洞的規(guī)則，而不是硬編碼于程序中，使用者可以靈活的更新檢測規(guī)則，而無需受程序語言的限制，使得該檢測方法能夠及時(shí)檢測出各種安全漏洞，有效提高了網(wǎng)站中網(wǎng)頁的安全漏洞檢測方法的可靠性。另外，本實(shí)施例通過獲取網(wǎng)站的特征信息，并依據(jù)獲取的特征信息獲取存放檢測規(guī)則的配置文件，使得網(wǎng)站中網(wǎng)頁的安全漏洞的檢測更有針對性，能夠?yàn)榫W(wǎng)站中網(wǎng)頁選擇匹配的檢測規(guī)則，從而提高網(wǎng)站中網(wǎng)頁的安全漏洞檢測的準(zhǔn)確性。

本申請實(shí)施例還提供一種與上述用于檢測網(wǎng)站中網(wǎng)頁的安全漏洞的方法對應(yīng)的裝置，如圖3中所述為所述裝置的結(jié)構(gòu)示意圖，該裝置主要包括：

特征信息獲取單元30，用于獲取所述網(wǎng)站的特征信息；

配置文件獲取單元31，用于依據(jù)所述特征信息獲取配置文件，所述配置文件包含檢測網(wǎng)站中網(wǎng)頁的安全漏洞的規(guī)則；

檢測單元32，用于基于所獲取的配置文件中的所述規(guī)則，對所述網(wǎng)站中的網(wǎng)頁進(jìn)行安全漏洞檢測。

下面對上述單元的具體功能做進(jìn)一步詳細(xì)介紹。

所述的網(wǎng)站的特征信息包括但不限于以下至少一項(xiàng)：網(wǎng)站所使用的開發(fā)語言、網(wǎng)站所屬的應(yīng)用類型、網(wǎng)站服務(wù)器類型(或稱為web服務(wù)器)、網(wǎng)站模塊類型。

其中，網(wǎng)站所使用的開發(fā)語言包括已有的各種網(wǎng)站開發(fā)語言，例如， ASP(Active Server Pages，動態(tài)服務(wù)器頁面)、PHP(Hypertext Preprocessor，超級文本預(yù)處理語言)、JSP(Java Server Pages，Java服務(wù)器頁面)等。

所述特征信息獲取單元30被配置為：基于所述網(wǎng)站中的網(wǎng)頁的統(tǒng)一資源定位符中的文件名獲取網(wǎng)站所使用的開發(fā)語言。

其中，網(wǎng)站所屬的應(yīng)用類型包括但不限于：論壇、電子商務(wù)、郵件、CMS(Content Management System，內(nèi)容管理系統(tǒng))等等。本申請實(shí)施例可為每一應(yīng)用類型預(yù)設(shè)相應(yīng)的類型特征(每一應(yīng)用類型可對應(yīng)至少一個(gè)類型特征)，符合該類型特征的網(wǎng)站即屬于該應(yīng)用類型。為獲取網(wǎng)站所屬的應(yīng)用類型，如圖4中所示，所述特征信息獲取單元30被配置為包括如下子單元：

提取子單元301，用于提取網(wǎng)站中的網(wǎng)頁的超級文本標(biāo)記語言中的指定參數(shù)；

匹配子單元302，用于將所述指定參數(shù)與預(yù)設(shè)應(yīng)用類型集中的應(yīng)用類型的類型特征匹配；

獲取子單元303，用于將類型特征匹配的應(yīng)用類型作為獲取的所述網(wǎng)站所屬的應(yīng)用類型。

其中，本實(shí)施例所述的服務(wù)器類型包括但不限于：Apache、Tomcat、Lighttpd、Nginx、Jetty、IIS、Jboss、Resin等等。在網(wǎng)頁的HTML中會攜帶服務(wù)器類型信息。因此，所述特征信息獲取單元30被配置為：基于網(wǎng)站中的網(wǎng)頁的超級文本標(biāo)記語言中攜帶的服務(wù)器信息獲取網(wǎng)站服務(wù)器類型。

其中，所述的網(wǎng)站模塊類型包括但不限于：jk、python、rails、perl、fastcgi等等。在網(wǎng)站中網(wǎng)頁的HTTP(HyperText Transfer Protocol，超文本傳輸協(xié)議)中攜帶有網(wǎng)站模塊類型信息。因此，所述特征信息獲取單元30被配置為：基于所述網(wǎng)站服務(wù)器通信所用的超文本傳輸協(xié)議中攜帶的網(wǎng)站模塊類型信息獲取網(wǎng)站模塊類型。

所述的配置文件用于保存檢測網(wǎng)站中網(wǎng)頁的安全漏洞的規(guī)則。也就是，本申請實(shí)施例將檢測網(wǎng)站中網(wǎng)頁的安全漏洞的規(guī)則保存于配置文件中，而不是硬編碼于程序中，這樣便于靈活更新所述規(guī)則，而無需受程序語言的 限制。其中，一個(gè)配置文件中可以保存至少一個(gè)用于檢測網(wǎng)站中網(wǎng)頁的安全漏洞的規(guī)則。

另外，本申請實(shí)施例可以針對具有不同特征信息的網(wǎng)站的網(wǎng)頁設(shè)置不同的檢測安全漏洞的規(guī)則。這樣就存在多個(gè)配置文件，其中，可由配置服務(wù)器來統(tǒng)一管理所述多個(gè)配置文件，如通過該配置服務(wù)器來更新配置文件中的規(guī)則，并將各配置文件下發(fā)給各檢測設(shè)備(如網(wǎng)絡(luò)側(cè)服務(wù)器或稱網(wǎng)站服務(wù)器)。在實(shí)際執(zhí)行網(wǎng)站中網(wǎng)頁的安全漏洞檢測時(shí)，配置文件獲取單元31需從多個(gè)配置文件中獲取到匹配的配置文件，以依照其中的規(guī)則來對網(wǎng)站中網(wǎng)頁的安全漏洞進(jìn)行檢測。

一種實(shí)施例預(yù)先存儲有網(wǎng)站的特征信息與配置文件的對應(yīng)關(guān)系，所述配置文件獲取單元31被配置為：參照預(yù)先存儲的網(wǎng)站的特征信息與配置文件的對應(yīng)關(guān)系，依據(jù)所述特征信息獲取配置文件。若獲取的網(wǎng)站的特征信息為多個(gè)，且依據(jù)所述多個(gè)特征信息能夠獲取到共同的配置文件，則選擇該共同的配置文件，也就是選擇多個(gè)特征信息對應(yīng)的配置文件的交集作為獲取的配置文件；若依據(jù)所述多個(gè)特征信息不能獲取到共同的配置文件，則將所述多個(gè)特征信息對應(yīng)的多個(gè)配置文件作為獲取的配置文件，也就是選擇多個(gè)特征信息對應(yīng)的配置文件的并集作為獲取的配置文件。

本申請實(shí)施例可結(jié)合所獲取的網(wǎng)站特征信息來選擇配置文件，從而可以選擇與待檢測網(wǎng)站中網(wǎng)頁匹配的配置文件來進(jìn)行安全漏洞的檢測，可有效提高安全漏洞檢測的準(zhǔn)確可靠性。

所述檢測單元32一種實(shí)施例的結(jié)構(gòu)示意圖如圖5中所示，主要包括：

加擾子單元321，用于對網(wǎng)站中網(wǎng)頁的統(tǒng)一資源定位符加入干擾信息；

請求子單元322，用于發(fā)送帶有加入干擾信息后的統(tǒng)一資源定位符的請求；

接收及檢測子單元323，用于接收來自網(wǎng)站服務(wù)器的響應(yīng)信息，若響應(yīng)信息中包含漏洞特征，則確定所述網(wǎng)站的網(wǎng)頁存在安全漏洞，

其中不同的配置文件中的檢測網(wǎng)站中網(wǎng)頁的安全漏洞的規(guī)則在如下的至少一個(gè)方面不同：

向網(wǎng)站中網(wǎng)頁的統(tǒng)一資源定位符加入的干擾信息不同；

發(fā)送帶有加入干擾信息后的統(tǒng)一資源定位符的請求的數(shù)目不同；

漏洞特征不同。

本申請實(shí)施例通過配置文件存放檢測網(wǎng)站中網(wǎng)頁的安全漏洞的規(guī)則，而不是硬編碼于程序中，使用者可以靈活的更新檢測規(guī)則，而無需受程序語言的限制，使得該檢測方法能夠及時(shí)檢測出各種安全漏洞，有效提高了網(wǎng)站中網(wǎng)頁的安全漏洞檢測方法的可靠性。

另外，本實(shí)施例通過獲取網(wǎng)站的特征信息，并依據(jù)獲取的特征信息獲取存放檢測規(guī)則的配置文件，使得網(wǎng)站中網(wǎng)頁的安全漏洞的檢測更有針對性，能夠?yàn)榫W(wǎng)站中網(wǎng)頁選擇匹配的檢測規(guī)則，從而提高網(wǎng)站中網(wǎng)頁的安全漏洞檢測的準(zhǔn)確性。

需要注意的是，本申請可在軟件和/或軟件與硬件的組合體中被實(shí)施，例如，可采用專用集成電路(ASIC)、通用目的計(jì)算機(jī)或任何其他類似硬件設(shè)備來實(shí)現(xiàn)。在一個(gè)實(shí)施例中，本申請的軟件程序可以通過處理器執(zhí)行以實(shí)現(xiàn)上文所述步驟或功能。同樣地，本申請的軟件程序(包括相關(guān)的數(shù)據(jù)結(jié)構(gòu))可以被存儲到計(jì)算機(jī)可讀記錄介質(zhì)中，例如，RAM存儲器，磁或光驅(qū)動器或軟磁盤及類似設(shè)備。另外，本申請的一些步驟或功能可采用硬件來實(shí)現(xiàn)，例如，作為與處理器配合從而執(zhí)行各個(gè)步驟或功能的電路。

另外，本申請的一部分可被應(yīng)用為計(jì)算機(jī)程序產(chǎn)品，例如計(jì)算機(jī)程序指令，當(dāng)其被計(jì)算機(jī)執(zhí)行時(shí)，通過該計(jì)算機(jī)的操作，可以調(diào)用或提供根據(jù)本申請的方法和/或技術(shù)方案。而調(diào)用本申請的方法的程序指令，可能被存儲在固定的或可移動的記錄介質(zhì)中，和/或通過廣播或其他信號承載媒體中的數(shù)據(jù)流而被傳輸，和/或被存儲在根據(jù)所述程序指令運(yùn)行的計(jì)算機(jī)設(shè)備的工作存儲器中。在此，根據(jù)本申請的一個(gè)實(shí)施例包括一個(gè)裝置，該裝置包括用于存儲計(jì)算機(jī)程序指令的存儲器和用于執(zhí)行程序指令的處理器，其中，當(dāng)該計(jì)算機(jī)程序指令被該處理器執(zhí)行時(shí)，觸發(fā)該裝置運(yùn)行基于前述根據(jù)本申請的多個(gè)實(shí)施例的方法和/或技術(shù)方案。

對于本領(lǐng)域技術(shù)人員而言，顯然本申請不限于上述示范性實(shí)施例的細(xì)節(jié)，而且在不背離本申請的精神或基本特征的情況下，能夠以其他的具體形式實(shí)現(xiàn)本申請。因此，無論從哪一點(diǎn)來看，均應(yīng)將實(shí)施例看作是示范性 的，而且是非限制性的，本申請的范圍由所附權(quán)利要求而不是上述說明限定，因此旨在將落在權(quán)利要求的等同要件的含義和范圍內(nèi)的所有變化涵括在本申請內(nèi)。不應(yīng)將權(quán)利要求中的任何附圖標(biāo)記視為限制所涉及的權(quán)利要求。此外，顯然“包括”一詞不排除其他單元或步驟，單數(shù)不排除復(fù)數(shù)。系統(tǒng)權(quán)利要求中陳述的多個(gè)單元或裝置也可以由一個(gè)單元或裝置通過軟件或者硬件來實(shí)現(xiàn)。第一，第二等詞語用來表示名稱，而并不表示任何特定的順序。