欧美在线观看视频网站,亚洲熟妇色自偷自拍另类,啪啪伊人网,中文字幕第13亚洲另类,中文成人久久久久影院免费观看 ,精品人妻人人做人人爽,亚洲a视频

一種網站漏洞檢測方法及裝置、計算機裝置及存儲介質與流程

文檔序號:11180641閱讀:259來源:國知局
一種網站漏洞檢測方法及裝置、計算機裝置及存儲介質與流程

本發(fā)明涉及網絡安全領域,具體涉及一種網站漏洞檢測方法及裝置、計算機裝置及存儲介質。



背景技術:

隨著網頁(web)技術的不斷進步與發(fā)展,web應用程序承載了越來越多的業(yè)務,而隨之而來的是web應用所面臨的越來越復雜的安全問題。入侵者在入侵一個網站后,往往通過在網站中植入webshell的方式,來實現對網站進行長期控制的目的。

對于webshell的理解,“web”指的是服務器開放web服務的服務器,“shell”指的是取得對服務器某種程度上的操作權限。簡單的說,webshell是以asp、php、jsp、cgi等網頁文件形式存在的一種命令執(zhí)行環(huán)境,也可以稱作是一種網頁后門,webshell是web入侵的腳本攻擊工具。通常入侵者向網站中植入webshell時會經歷以下幾個步驟:首先是信息收集,找到目標網站的相關信息;然后是漏洞檢測,利用收集到的信息,找到可以利用的漏洞,比如具有上傳漏洞的web頁面;之后是漏洞利用,利用檢測到的具有漏洞的web頁面,進行webshell上傳,以在網站中植入webshell。webshell上傳方式一般采用生成新的惡意web頁面,或者在正常的web頁面中植入惡意的web代碼來實現。入侵者在網站中植入webshell之后,可以通過訪問web頁面的形式訪問該腳本文件,來執(zhí)行需要的惡意操作,如執(zhí)行操作系統(tǒng)命令、文件管理等,從而達到對網站進行長期控制的目的。

在網站遭受到植入webshell后,需要查找到webshell并進行清除,用以及時消除對web服務器的危害?,F有技術提出了大量針對webshell的檢測方法,比如,基于webshell特征的檢測,即webshell通過某些關鍵函數實現對系統(tǒng)文件的需改,以及調用操作系統(tǒng)命令,可以以這些關鍵函數為特征進行webshell檢測,比如eval()等能夠執(zhí)行命令的函數進行匹配;比如基于頁面關聯關系的檢測,由于webshell為攻擊者植入的網頁后門,在網站目錄下,其他頁面的關聯關系中,可能不存在包含該webshell的頁面,也不存在webshell包含本網站內其他頁面鏈接的情況,即可視為該webshell為孤立頁面,基于這一特點,通過梳理頁面關聯關系的方式找出網站中存在的孤立頁面,該孤立頁面即為webshell。

但是,webshell大多數情況下是由web頁面的脆弱性漏洞植入的,現有技術只能用于找到webshell,無法找到入侵者植入webshell時利用的具有漏洞的web頁面,這樣就不能幫助網站管理者消除根源的漏洞,難以消除webshell的威脅。



技術實現要素:

本發(fā)明提供一種網站漏洞檢測方法及裝置、計算機裝置及存儲介質,用于解決現有技術無法找到入侵者植入webshell時利用的具有漏洞的web頁面的問題。

本發(fā)明實施例的一方面提供了一種網站漏洞檢測方法,包括:

當目標網站中的第一網頁web頁面接受訪問時,若所述第一web頁面產生第二web頁面,所述第二web頁面為新生成的頁面或者被修改的頁面,那么在第一日志中記錄關聯訪問信息,所述關聯訪問信息關聯記錄有所述第一web頁面和所述第二web頁面;

檢測所述目標網站中的webshell頁面;

若在所述第一日志中存在記錄有所述webshell頁面的目標關聯訪問信息,則根據所述目標關聯訪問信息確定與所述webshell頁面關聯記錄的web頁面為目標web頁面,所述目標web頁面具有安全漏洞,所述webshell頁面利用所述目標web頁面的安全漏洞植入所述目標網站。

可選的,所述第一日志中記錄的關聯訪問信息還包括訪問時間和訪問源的身份信息;

若在所述第一日志中存在記錄有所述webshell頁面的目標關聯訪問信息,所述方法還包括:

在所述目標關聯訪問信息中確定第一訪問源的身份信息。

可選的,在檢測所述目標網站中的webshell頁面之前,所述方法還包括:

在第二日志中記錄訪問源對所述目標網站的訪問信息,所述訪問信息包括訪問時間、訪問目的頁面的頁面標識以及訪問源的身份信息;

在所述目標關聯訪問信息中確定第一訪問源的身份信息之后,所述方法還包括:

在所述第二日志中根據所述第一訪問源的身份信息查找所述第一訪問源對所述目標網站的第一訪問信息。

可選的,檢測到所述目標網站中的webshell頁面之后,所述方法還包括:

在所述第二日志中查找記錄有所述webshell頁面的目標訪問信息;

在所述目標訪問信息中確定第二訪問源的身份信息;

在所述第二日志中根據所述第二訪問源的身份信息查找所述第二訪問源對所述目標網站的第二訪問信息。

可選的,所述身份信息包括互聯網協(xié)議地址ip地址和/或用戶代理ua。

本發(fā)明實施例的第二方面提供了一種網站漏洞檢測裝置,包括:

第一記錄模塊,用于當目標網站中的第一網頁web頁面接受訪問時,若所述第一web頁面產生第二web頁面,所述第二web頁面為新生成的頁面或者被修改的頁面,在第一日志中記錄關聯訪問信息,所述關聯訪問信息關聯記錄有所述第一web頁面和所述第二web頁面;

檢測模塊,用于檢測所述目標網站中的webshell頁面;

第一確定模塊,用于若在所述第一日志中存在記錄有所述webshell頁面的目標關聯訪問信息,根據所述目標關聯訪問信息確定與所述webshell頁面關聯記錄的web頁面為目標web頁面,所述目標web頁面具有安全漏洞,所述webshell頁面利用所述目標web頁面的安全漏洞植入所述目標網站。

可選的,所述第一日志中記錄的關聯訪問信息還包括訪問時間和訪問源的身份信息;

所述裝置還包括:

確定單元,用于若在所述第一日志中存在記錄有所述webshell頁面的目標關聯訪問信息,在所述目標關聯訪問信息中確定第一訪問源的身份信息。

可選的,所述裝置還包括:

第二記錄模塊,用于在第二日志中記錄訪問源對所述目標網站的訪問信息,所述訪問信息包括訪問時間、訪問目的頁面的頁面標識以及訪問源的身份信息;

第一查找模塊,用于在所述第二日志中根據所述第一訪問源的身份信息查找所述第一訪問源對所述目標網站的第一訪問信息。

可選的,所述裝置還包括:

第二查找模塊,檢測到所述目標網站中的webshell頁面之后,在所述第二日志中查找記錄有所述webshell頁面的目標訪問信息;

第二確定模塊,用于在所述目標訪問信息中確定第二訪問源的身份信息;

第二查找模塊,用于在所述第二日志中根據所述第二訪問源的身份信息查找所述第二訪問源對所述目標網站的第二訪問信息。

本發(fā)明實施例的第三方面提供了一種計算機裝置,所述計算機裝置包括處理器,所述處理器用于執(zhí)行存儲器中存儲的計算機程序時實現如權利要求1至5中任意一項所述方法的步驟。

本發(fā)明實施例的第四方面提供了一種計算機可讀存儲介質,其上存儲有計算機程序,所述計算機程序被處理器執(zhí)行時實現如權利要求1至5中任意一項所述方法的步驟。

從以上技術方案可以看出,本發(fā)明實施例具有以下優(yōu)點:

本發(fā)明提供的網站漏洞檢測方法中,當目標網站中的第一web頁面接受訪問時,若目標網站中存在第二web頁面,第二web頁面為新生成的頁面或者被修改的頁面,那么可以在第一日志中記錄關聯訪問信息,關聯訪問信息關聯記錄第一web頁面和第二web頁面,之后可以進行webshell檢測,檢測到webshell頁面之后,可以在第一日志中進行查找,若在第一日志中查找到與webshell頁面關聯記錄的目標web頁面,那么可以確定目標web頁面具有安全漏洞,webshell頁面利用安全漏洞植入目標網站,之后網站管理者可以對目標web頁面的安全漏洞進行修復,避免入侵者再次利用目標web頁面植入webshell,從而減少webshell對目標網站的威脅。

附圖說明

圖1是本發(fā)明網站漏洞檢測方法一個實施例示意圖;

圖2是本發(fā)明訪問信息記錄方法一個實施例示意圖;

圖3是本發(fā)明webshell攻擊過程分析方法一個實施例示意圖;

圖4是本發(fā)明由網關和網站服務器共同執(zhí)行的漏洞檢測方法一個實施例示意圖;

圖5是本發(fā)明網站漏洞檢測裝置一個實施例示意圖;

圖6是本發(fā)明網站漏洞檢測裝置另一個實施例示意圖;

圖7是本發(fā)明計算機裝置一個實施例示意圖。

具體實施方式

本發(fā)明實施例提供了一種網站漏洞檢測方法及裝置、計算機裝置及存儲介質,用于查找網站中webshell的植入原因,以幫助網站管理者修復相應的安全漏洞。

為了使本技術領域的人員更好地理解本發(fā)明方案,下面將結合本發(fā)明實施例中的附圖,對本發(fā)明實施例中的技術方案進行清楚、完整地描述,顯然,所描述的實施例僅僅是本發(fā)明一部分的實施例,而不是全部的實施例?;诒景l(fā)明中的實施例,本領域普通技術人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例,都應當屬于本發(fā)明保護的范圍。

本發(fā)明的說明書和權利要求書及上述附圖中的術語“第一”、“第二”、“第三”、“第四”等(如果存在)是用于區(qū)別類似的對象,而不必用于描述特定的順序或先后次序。應該理解這樣使用的數據在適當情況下可以互換,以便這里描述的實施例能夠以除了在這里圖示或描述的內容以外的順序實施。此外,術語“包括”和“具有”以及他們的任何變形,意圖在于覆蓋不排他的包含,例如,包含了一系列步驟或單元的過程、方法、系統(tǒng)、產品或設備不必限于清楚地列出的那些步驟或單元,而是可包括沒有清楚地列出的或對于這些過程、方法、產品或設備固有的其它步驟或單元。

webshell大多數情況下是由web頁面的脆弱性漏洞植入的,現有技術只能用于找到webshell,無法找到入侵者植入webshell時利用的具有漏洞的web頁面,這樣就不能幫助網站管理者消除根源的漏洞,也就無法消除webshell的威脅。為了解決現有技術的缺陷,幫助網站管理者找到入侵者植入webshell時利用的具有安全漏洞的web頁面,我們需要首先分析一下入侵者利用webshell對網站進行攻擊的過程:

(1)webshell植入前的鋪墊工作:

攻擊過程的前期,入侵者入侵網站后,通常會對網站內容進行掃描,以確定網站上的web組件和web頁面等,之后進行安全漏洞的檢測,比如檢測到具有文件上傳漏洞的目標web頁面。

(2)webshell植入階段:

入侵者確定目標web頁面之后,可以訪問目標web頁面,進行上傳操作,可以生成新的惡意web文件或者在正常的web文件中植入惡意的web代碼,從而形成webshell頁面,實現在網站中植入webshell。

(3)webshell的利用階段:

入侵者在網站中植入webshell之后,可以訪問網站中的webshell頁面,執(zhí)行需要的惡意操作。

由于在入侵者利用webshell對網站進行的攻擊的過程中,關鍵在于確定具有安全漏洞的目標web頁面,之后入侵者通過訪問目標web頁面,進行上傳操作,以生成新的惡意web文件或者在正常的web文件中植入惡意的web代碼,從而形成webshell頁面,實現在網站中植入webshell,利用植入的webshell進行惡意操作。因此,為了避免webshell再次利用目標web頁面植入網站,對網站構成威脅,需要幫助網站管理者查找確定webshell植入所利用的具有安全漏洞的目標web頁面,使得網站管理者對目標web頁面的安全漏洞進行修復。而現有技術對webshell的檢測只是針對階段(3)的,無法幫助網站管理者查找確定webshell植入所利用的具有安全漏洞的目標web頁面。

為了解決現有技術的不足,本發(fā)明提供一種網站漏洞檢測方法,請參閱圖1,本發(fā)明網站漏洞檢測方法一個實施例包括:

101、當目標網站中的第一web頁面接受訪問時,若第一web頁面產生第二web頁面,第二web頁面為新生成的頁面或者被修改的頁面,那么在第一日志中記錄關聯訪問信息,關聯訪問信息關聯記錄有第一web頁面和第二web頁面;

終端可以對目標網站中的web頁面進行訪問,當目標網站中的某個web頁面(為了方便描述,之后將此web頁面稱作第一web頁面)被訪問時,若目標網站中有新生成的web頁面或者原有的web頁面被修改(為了方便描述,之后將此時新生成的web頁面或者發(fā)生修改的原web頁面稱作第二web頁面),那么網站漏洞檢測裝置可以在第一日志中記錄關聯訪問信息,關聯訪問信息關聯記錄有第一web頁面和第二web頁面,或者說關聯訪問信息至少包括關聯頁面信息,記錄的關聯頁面信息用以表明第一web頁面和第二web頁面的頁面標識以及關聯關系。比如,關聯頁面信息可以為:第一web頁面的頁面標識為a,第二web頁面的頁面標識為b,第一web頁面被訪問時,產生第二web頁面。其中,web頁面的頁面標識用以確定web頁面在目標網站上的位置,web頁面的頁面標識可以為web頁面的網絡地址,比如統(tǒng)一資源定位符url,也可以為web頁面在硬盤上的存儲路徑,比如絕對路徑,只要通過記錄的web頁面的頁面標識能夠找到第一web頁面和第二web頁面即可。

102、檢測目標網站中的webshell頁面;

網站漏洞檢測裝置可以利用webshell檢測方法檢測到目標網站中的webshell頁面。采用的webshell檢測方法可以為關鍵字檢查,其成功率主要依賴檢測者webshell特征庫的大小和強弱;也可以為文件狀態(tài)對比,定期掃描服務器上文件的變化,甚至對比每一個文件當前和歷史的md5數值,快速定位可疑文件;還可以為運行特征檢測,識別webshell可以從一些反常的請求行為上做判斷,比如非工作時間無明顯業(yè)務參數的連續(xù)腳本文件請求等。webshell檢測方法已經比較成熟,本發(fā)明不具體限定采用的webshell檢測方法。

103、若在第一日志中存在記錄有webshell頁面的目標關聯訪問信息,則根據目標關聯訪問信息確定與webshell頁面關聯記錄的web頁面為目標web頁面,目標web頁面具有安全漏洞,webshell頁面利用目標web頁面的安全漏洞植入目標網站。

檢測到目標網站中的webshell頁面之后,網站漏洞檢測裝置可以在第一日志中查找webshell頁面,若存在,則確定與webshell頁面關聯記錄的目標web頁面具有安全漏洞,webshell頁面是利用目標web頁面的安全漏洞植入目標網站的。網站漏洞檢測裝置確定目標web頁面之后,可以通知目標網站的管理者,管理者可以根據目標web頁面進行目標網站的漏洞修復。

本發(fā)明提供的網站漏洞檢測方法中,當目標網站中的第一web頁面接受訪問時,若目標網站中存在第二web頁面,第二web頁面為新生成的頁面或者被修改的頁面,那么可以在第一日志中記錄關聯訪問信息,關聯訪問信息包括關聯頁面信息,關聯頁面信息用以表明第一web頁面和第二web頁面頁面標識以及關聯關系,之后可以進行webshell檢測,檢測到webshell頁面之后,可以在第一日志中進行查找,若在第一日志中查找到與webshell頁面關聯記錄的目標web頁面,那么可以確定目標web頁面具有安全漏洞,webshell頁面利用安全漏洞植入目標網站,之后網站管理者可以對目標web頁面的安全漏洞進行修復,避免入侵者再次利用目標web頁面植入webshell,從而減少webshell對目標網站的威脅。

目標web頁面為webshell植入所利用的有安全漏洞的頁面,找到目標web頁面,可以幫助目標網站的管理者找到和定位出webshell的植入原因,從而輔助目標網站的管理者對目標網站的安全漏洞進行修復。但是,了解入侵者利用webshell對網站進行攻擊的階段(1),對于幫助管理者找到webshell的植入原因也有很大作用,可以幫助管理者更加全面的掌握入侵者的入侵路徑,還有可能幫助管理者找到其他的安全漏洞,從而進行更加有效的修復,更大程度的減少webshell對目標網站的威脅。

請參閱圖2,本發(fā)明訪問信息記錄方法一個實施例包括:

201、接收到第一訪問源對目標網站中的第一web頁面的訪問請求時,檢測第一web頁面是否產生第二web頁面,第二web頁面為新生成的頁面或者被修改的頁面,若是,則執(zhí)行步驟202,若否,則執(zhí)行步驟203;

終端可以對目標網站中的web頁面進行訪問,當第一web頁面接受第一訪問源的訪問時,網站服務器檢測第一web頁面的操作情況,判斷第一web頁面是否產生第二web頁面,第二web頁面為新生成的頁面或者被修改的頁面,當第一web頁面生成第二web頁面或修改第二web頁面時,執(zhí)行步驟202,若否,則執(zhí)行步驟203。

202、在第一日志中記錄關聯訪問信息;

若第一訪問源對第一web頁面進行訪問時,產生第二web頁面,第二web頁面為新生成的web頁面,或原來存在的被修改的頁面。此時可以在第一日志中記錄關聯訪問信息,關聯訪問信息可以包括關聯頁面信息、第一訪問源的身份信息以及訪問時間,關聯頁面信息用以表明第一web頁面和第二web頁面的頁面標識,以及第一web頁面與第二web頁面的關聯關系,即第一web頁面接受訪問時,產生第二web頁面,第二web頁面為新生成的頁面或者被修改的頁面。

web頁面的頁面標識用以確定web頁面在目標網站上的位置,web頁面的頁面標識可以為web頁面的網絡地址,比如統(tǒng)一資源定位符url,也可以為web頁面在硬盤上的存儲路徑,比如絕對路徑,只要通過記錄的web頁面的頁面標識能夠找到第一web頁面和第二web頁面即可。

第一訪問源的身份信息可以包括互聯網協(xié)議地址ip地址和用戶代理(useragent,簡稱ua)中的至少一個。用戶代理是一個特殊字符串頭,使得服務器能夠識別客戶使用的操作系統(tǒng)及版本、cpu類型、瀏覽器及版本、瀏覽器渲染引擎、瀏覽器語言、瀏覽器插件等。優(yōu)選的是同時記錄第一訪問源的ip地址和用戶代理,本發(fā)明實施例以第一日志中記錄的第一訪問源的身份信息同時包括訪問源的ip地址和用戶代理為例進行說明。

203、在第二日志中記錄第一訪問源對目標網站的訪問信息。

若第一訪問源對第一web頁面進行訪問時,未產生第二web頁面,第二web頁面為新生成的web頁面,或原來存在的被修改的頁面,那么可以在第二日志中記錄第一訪問源對目標網站的訪問信息,訪問信息可以包括訪問時間、第一web頁面的頁面標識以及第一訪問源的身份信息等。

步驟203用于記錄訪問源對目標網站的訪問信息,因此,在實際使用中,步驟203不限于在步驟201得到判斷結果之后執(zhí)行,也可以在步驟201之前執(zhí)行,只要能夠記錄訪問源對目標網站的訪問信息即可,具體時序不做限定。

利用步驟201至步驟203,網站漏洞檢測裝置可以得到第一日志和第二日志,也就是關聯訪問信息和訪問源對目標網站的訪問信息,網站漏洞檢測裝置在檢測到webshell之后,可以利用第一日志和第二日志進行webshell攻擊過程的分析。請參閱圖3,本發(fā)明webshell攻擊過程分析方法一個實施例包括:

301、檢測目標網站中的web頁面a為webshell頁面;

網站漏洞檢測裝置可以利用webshell檢測方法檢測到目標網站中的webshell頁面。采用的webshell檢測方法可以為關鍵字檢查,其成功率主要依賴檢測者webshell特征庫的大小和強弱;也可以為文件狀態(tài)對比,定期掃描服務器上文件的變化,甚至對比每一個文件當前和歷史的md5數值,快速定位可疑文件;還可以為運行特征檢測,識別webshell可以從一些反常的請求行為上做判斷,比如非工作時間無明顯業(yè)務參數的連續(xù)腳本文件請求等。webshell檢測方法已經比較成熟,本發(fā)明不具體限定采用的webshell檢測方法。假設檢測到web頁面a為webshell頁面。

302、在第一日志中查找包括web頁面a的目標關聯訪問信息;

檢測到web頁面a為webshell頁面時,可以在第一日志中查找web頁面a的目標關聯訪問信息。假設目標關聯訪問信息包括:2017年6月1日10點8分,訪問目標web頁面,目標web頁面的url為url1,訪問源a的ip為ip1、ua為ua1,發(fā)生修改或新生成web頁面a,web頁面a的url為url2。

303、在目標關聯訪問信息中確定與web頁面a關聯記錄的目標web頁面的頁面標識以及訪問源a的身份信息;

在第一日志中查找到包括web頁面a的目標關聯訪問信息之后,可以在目標關聯訪問信息中確定與web頁面a關聯記錄的目標web頁面的頁面標識以及訪問源的身份信息。在本發(fā)明實施例中,確定的目標web頁面的頁面標識為url1,訪問源的ip地址為ip1,用戶代理為ua1。

依據webshell攻擊的規(guī)律,可以確定目標web頁面具有安全漏洞,訪問源利用目標web頁面的安全漏洞植入webshell頁面。

304、在第二日志中根據訪問源a的身份信息查找訪問源a對目標網站的訪問信息;

在第二日志中根據訪問源a的身份信息可以查找到訪問源a對目標網站的訪問信息,作為舉例,查找到的訪問信息可以如下:(需要說明的是,由于身份信息包括ip地址和用戶代理,在本發(fā)明實施例中,以ip地址相同的訪問源作為相同的訪問源)

2017年6月1日8點45分,訪問源a訪問web頁面b,訪問源a的ip為ip1、ua為ua1,web頁面b的url為url3;

2017年6月1日8點50分,訪問源a訪問web頁面c,訪問源a的ip為ip1、ua為ua1,web頁面c的url為url4;

2017年6月1日8點58分,訪問源a訪問web頁面d,訪問源a的ip為ip1、ua為ua1,web頁面d的url為url5;

2017年6月1日10點8分,訪問源a訪問目標web頁面,訪問源a的ip為ip1、ua為ua1,目標web頁面的url為url1;

2017年6月2日11點5分,訪問源a訪問web頁面a,訪問源a的ip為ip1、ua為ua2,第二web頁面的url為url2;

2017年6月2日12點7分,訪問源a訪問web頁面e,訪問源a的ip為ip1、ua為ua2,web頁面e的url為url6。

305、針對webshell進行告警以及攔截,并輸出訪問源a對目標網站的訪問信息。

在實際應用中,網站漏洞檢測裝置查找到webshell之后,可以針對檢測到的webshell進行告警以及攔截,以使得網站的管理者可以盡快查看webshell的檢測結果,并自動對基于webshell的攻擊行為進行攔截。在確定目標web頁面之后,網站漏洞檢測裝置可以查找到訪問源a對目標網站的訪問信息,之后可以輸出給目標網站的管理者,管理者可以根據目標web頁面以及訪問源a對目標網站的訪問信息對webshell的攻擊過程進行更加全面的了解,之后有助于對目標網站進行更加有效的修復,更大程度的減少webshell對目標網站的威脅。

在步驟304展示的訪問信息中,可以看到,訪問源a訪問目標web頁面、web頁面a以及web頁面e時,ua信息與之前的ua信息不同,這是因為,入侵者在進行webshell攻擊的過程中,可能使用不同的ua,比如之前使用搜狗瀏覽器訪問目標網站,之后使用ie瀏覽器訪問目標網站。即便如此,由于不同瀏覽器的操作界面不同,入侵者因自身的使用習慣,其使用的瀏覽器往往有重復性,因此入侵者對目標網站進行訪問時,其訪問源的ua也具有一定規(guī)律性,可能幫助管理者分析入侵者的攻擊過程。

另外,入侵者在進行webshell攻擊的過程中,可能還會使用不同的ip地址,比如階段(1)和階段(2)在公司的終端上實施,那么入侵者對目標網站進行訪問時目標網站檢測到的訪問源為訪問源a,其ip地址為ip1,階段(3)入侵者在家里的終端上實施,那么入侵者對目標網站進行訪問時目標網站檢測到的訪問源b的ip地址為ip2。此時,為了更加全面的了解入侵者對目標網站的攻擊過程,網站漏洞檢測裝置還可以在第二日志中根據訪問源b的身份信息查找訪問源b對目標網站的訪問信息。之后,管理者可以根據目標web頁面、訪問源a對目標網站的訪問信息以及訪問源b對目標網站的訪問信息對webshell的攻擊過程進行更加全面的了解,之后有助于對目標網站進行更加有效的修復。

在圖3對應的實施例中,步驟305可以向網站的管理者輸出訪問源a對目標網站的訪問信息,管理者需要根據輸出的訪問信息對入侵者的攻擊過程進行分析,但是,往往輸出的訪問信息信息量很大,并且,由于難以界定攻擊過程開始的時間節(jié)點,因此需要分析的訪問信息信息量巨大,完全由人工分析,效率過低。

為了幫助管理者快速分析入侵者的攻擊過程,網站漏洞檢測裝置在查找到訪問源a對目標網站的訪問信息之后,可以對訪問進行自動分析,比如可以采用分類器,對訪問信息進行分類,判斷哪些訪問信息屬于攻擊過程的階段(1),哪些訪問信息屬于攻擊過程的階段(2),哪些訪問信息屬于攻擊過程的階段(3)。更加具體的,可以判斷哪些訪問信息屬于階段(1)中的掃描行為,哪些訪問信息屬于階段(1)中的漏洞檢測行為,等等。分析結果可以采用圖表的方式來展示,比如,可以以時間為軸,生成webshell攻擊過程的示意圖,使得展示結果更加形象,提高管理者對訪問信息的分析效率。

上述網站漏洞檢測裝置可以為網站服務器,但是,入侵者在攻擊網站的過程中,傾向于清除網站服務器中存儲的日志信息,以干擾網站管理者對安全漏洞的修復,在這種情況下,若將上述實施例中記錄的第一日志和第二日志存儲在目標網站的服務器中,第一日志和第二日志的內容容易被篡改或者被清除。從這個角度考慮,網站漏洞檢測裝置可以包括網關和網站服務器,第一日志和第二日志存儲于網關中。為了提高漏洞檢測的有效性,優(yōu)選的,由網關執(zhí)行更多的漏洞檢測步驟。出于這種考慮,請參閱圖4,為本發(fā)明提供的由網關和網站服務器共同執(zhí)行的漏洞檢測方法:

401、當網關接收到對目標網站中第一web頁面的訪問請求時,網關在第二日志中記錄第一訪問源對目標網站的訪問信息;

當網關接收到第一訪問源對目標網站中第一web頁面的訪問請求時,網關在第二日志中記錄第一訪問源對目標網站的訪問信息,訪問信息可以包括訪問時間、第一web頁面的絕對路徑以及第一訪問源的第一ip地址等。

訪問信息中的第一web頁面的絕對路徑為web頁面的頁面標識的一種。web頁面的頁面標識可以為web頁面的網絡地址,比如統(tǒng)一資源定位符url,也可以為web頁面在硬盤上的存儲路徑,比如絕對路徑,只要通過記錄的web頁面的頁面標識能夠找到第一web頁面和第二web頁面即可。在實際使用中,訪問信息中也可以記錄第一web頁面其他類型的頁面標識。

訪問信息中第一訪問源的第一ip地址為訪問源的身份信息的一種。第一訪問源的身份信息可以包括互聯網協(xié)議地址ip地址和用戶代理(useragent,簡稱ua)中的至少一個,實際使用中,訪問信息中也可以記錄第一訪問源的其他類型的身份信息。

402、網關對第一web頁面進行webshell特征庫匹配檢測,判斷第一web頁面是否為webshell頁面,若是,則執(zhí)行步驟407,若否,則執(zhí)行步驟403;

網關接收到對目標網站中第一web頁面的訪問請求之后,可以對第一web頁面進行webshell特征庫匹配檢測,特征庫匹配檢測可以包括危險函數檢測、危險文件后綴檢測、敏感文件名檢測和內容關鍵字檢測中的至少一種檢測,根據檢測結果可以判斷第一web頁面是否為webshell頁面,若是,則執(zhí)行步驟407,若否,則執(zhí)行步驟403。

需要說明的是,現有技術中webshell檢測方法已有很多,步驟402采用的webshell特征庫匹配檢測只是其中一種,在實際使用中還可以采用其他檢測方法,此處不做具體限定。

403、網關允許訪問請求通過;

若判定第一web頁面不是webshell頁面,那么網關允許訪問請求通過,之后目標網站的網站服務器中的第一web頁面可以接受第一訪問源的訪問。

404、網站服務器檢測第一web頁面是否產生第二web頁面,第二web頁面為新生成的頁面或者被修改的頁面,若是,則執(zhí)行步驟405,若否,則執(zhí)行步驟412;

當第一web頁面接受第一訪問源的訪問時,網站服務器檢測第一web頁面的操作情況,判斷第一web頁面是否產生第二web頁面,第二web頁面為新生成的頁面或者被修改的頁面,當第一web頁面生成第二web頁面或修改第二web頁面時,則執(zhí)行步驟405,若否,則執(zhí)行其他操作,比如網站服務器可以不對此次訪問信息進行記錄,也可以對此次訪問信息進行記錄,此處不做具體限定。

405、網站服務器在第一日志中記錄關聯訪問信息;

若第一web頁面產生第二web頁面,則網站服務器在第一日志中記錄關聯訪問信息,關聯訪問信息包括關聯頁面信息、第一訪問源的身份信息、訪問時間等,關聯頁面信息用以表明第一web頁面和第二web頁面的頁面標識,以及第一web頁面與第二web頁面的關聯關系,即第一web頁面接受訪問時,產生第二web頁面,第二web頁面為新生成的頁面或者被修改的頁面。在本發(fā)明實施例中,web頁面的頁面標識指web頁面的url。

406、網站服務器將第一日志上傳至網關;

網站服務器在第一日志中記錄關聯訪問信息后,將第一日志上傳至網關,網關對存儲的第一日志進行更新,以增加此次新記錄的關聯訪問信息。

407、網關在第一日志中查找是否存在包括第一web頁面的目標關聯訪問信息,若是,則執(zhí)行步驟408,若否,則執(zhí)行步驟411;

若步驟402判定第一web頁面是webshell頁面,則網關在存儲的第一日志中查找是否存在包括第一web頁面的目標關聯訪問信息,若存在,則執(zhí)行步驟408,若不存在,則說明webshell不是通過web頁面訪問方式植入的,可能通過遠程桌面或病毒等方式植入的,此時執(zhí)行步驟411。目標關聯訪問信息可以包括目標關聯頁面信息、第二訪問源的第二ip、訪問時間等,目標關聯頁面信息包括目標web頁面和第一web頁面的url,以及目標web頁面與第一web頁面的關聯關系,即目標web頁面接受訪問時,產生第一web頁面,第一web頁面為新生成的頁面或者被修改的頁面。

408、網關在目標關聯訪問信息中確定與第一web頁面關聯記錄的目標web頁面的頁面標識以及第二訪問源的第二ip地址;

若第一web頁面為webshell頁面,且在第一日志中的目標關聯訪問信息中表明目標web頁面產生第一web頁面,那么可以判定目標web頁面具有安全漏洞,第二訪問源利用目標web頁面的安全漏洞植入第一web頁面。此時可以在目標關聯訪問信息中確定與第一web頁面關聯記錄的目標web頁面的url以及第兒訪問源的第二ip地址。

409、網關根據第二ip地址在第二日志中查找第二訪問源對目標網站的訪問信息;

網關確定目標web頁面的頁面標識以及第二訪問源的第二ip地址之后,可以根據第二ip地址在第二日志中查找第二訪問源對目標網站的訪問信息。

410、網關對目標關聯訪問信息以及第二訪問源對目標網站的訪問信息進行分類,生成webshell攻擊過程示意圖;

為了幫助管理者快速分析入侵者的攻擊過程,網站漏洞檢測裝置在查找到第二訪問源對目標網站的訪問信息之后,可以對訪問信息進行自動分析,比如可以采用分類器,對訪問信息進行分類,判斷哪些訪問信息屬于攻擊過程的階段(1),哪些訪問信息屬于攻擊過程的階段(2),哪些訪問信息屬于攻擊過程的階段(3)。更加具體的,可以判斷哪些訪問信息屬于階段(1)中的掃描行為,哪些訪問信息屬于階段(1)中的漏洞檢測行為,等等。分析結果可以以時間為軸,生成webshell攻擊過程的示意圖,使得展示結果更加形象。

411、網關進行webshell告警及webshell攻擊攔截;

若步驟406中,網關在第一日志中未查找到包括webshell頁面的目標關聯訪問信息,那么步驟411中網關進行webshell告警的方式僅為通知管理者第一web文件為webshell文件,目標網站受到webshell攻擊。

若步驟406中,網關在第一日志中查找到包括webshell頁面的目標關聯訪問信息,經過步驟407至410之后,網關還可以得到目標web頁面的頁面標識、第一訪問源對目標網站的訪問信息以及webshell攻擊過程示意圖,此時網關進行webshell告警的方式除了通知管理者第一web文件為webshell文件,目標網站受到webshell攻擊以外,還可以向管理者輸出以下三類信息中的至少一類信息:目標web頁面的頁面標識、第一訪問源對目標網站的訪問信息以及webshell攻擊過程示意圖。為了使得管理者能夠更加全面的了解此次webshell攻擊過程,優(yōu)選的是同時輸出上述三類信息。

網關確定第一web頁面為webshell頁面之后,可以對webshell攻擊進行攔截。

在本發(fā)明實施例中,webshell的檢測是在網關接收到對目標網站中第一web頁面的訪問請求后針對第一web頁面進行的,在實際使用中,網關也可以不對訪問請求進行webshell檢測,而是定期對網站服務器進行webshell檢測。

上面對本發(fā)明實施例中網站漏洞檢測方法進行了描述,下面對本發(fā)明實施例中的裝置進行描述。

請參閱圖5,本發(fā)明實施例中網站漏洞檢測裝置的一個實施例包括:

第一記錄模塊501,用于當目標網站中的第一網頁web頁面接受訪問時,若第一web頁面產生第二web頁面,第二web頁面為新生成的頁面或者被修改的頁面,在第一日志中記錄關聯訪問信息,關聯訪問信息關聯記錄有第一web頁面和第二web頁面;

檢測模塊502,用于檢測目標網站中的webshell頁面;

第一確定模塊503,用于若在第一日志中存在記錄有webshell頁面的目標關聯訪問信息,根據目標關聯訪問信息確定與webshell頁面關聯記錄的web頁面為目標web頁面,目標web頁面具有安全漏洞,webshell頁面利用目標web頁面的安全漏洞植入目標網站。

請參閱圖6,本發(fā)明實施例中網站漏洞檢測裝置的另一個實施例包括:

第一記錄模塊601,用于當目標網站中的第一網頁web頁面接受訪問時,若第一web頁面產生第二web頁面,第二web頁面為新生成的頁面或者被修改的頁面,在第一日志中記錄關聯訪問信息,關聯訪問信息關聯記錄有第一web頁面和第二web頁面;

檢測模塊602,用于檢測目標網站中的webshell頁面;

第一確定模塊603,用于若在第一日志中存在記錄有webshell頁面的目標關聯訪問信息,根據目標關聯訪問信息確定與webshell頁面關聯記錄的web頁面為目標web頁面,目標web頁面具有安全漏洞,webshell頁面利用目標web頁面的安全漏洞植入目標網站;

第二確定模塊604,用于若在第一日志中存在記錄有webshell頁面的目標關聯訪問信息,在目標關聯訪問信息中確定第一訪問源的身份信息;

第二記錄模塊605,用于在第二日志中記錄訪問源對目標網站的訪問信息,訪問信息包括訪問時間、訪問目的頁面的頁面標識以及訪問源的身份信息;

第一查找模塊606,用于在第二日志中根據第一訪問源的身份信息查找第一訪問源對目標網站的第一訪問信息;

第二查找模塊607,檢測到目標網站中的webshell頁面之后,在第二日志中查找記錄有webshell頁面的目標訪問信息;

第三確定模塊608,用于在目標訪問信息中確定第二訪問源的身份信息;

第二查找模塊609,用于在第二日志中根據第二訪問源的身份信息查找第二訪問源對目標網站的第二訪問信息。

本發(fā)明實施例還提供了一種計算機裝置7,如圖7所示,為了便于說明,僅示出了與本發(fā)明實施例相關的部分,具體技術細節(jié)未揭示的,請參照本發(fā)明實施例方法部分。該計算機裝置7可以為網站服務器、網關或者網站服務器和網關組成的系統(tǒng)。

參考圖7,計算機裝置7包括:電源710、存儲器720、顯示單元730、處理器740以及存儲在存儲器720中并可在處理器740上運行的計算機程序。所述處理器740執(zhí)行計算機程序時實現上述各個信息處理方法實施例中的步驟,例如圖1所示的步驟101至103。或者,所述處理器執(zhí)行所述計算機程序時實現上述各裝置實施例中各模塊或單元的功能。

示例性的,所述計算機程序可以被分割成一個或多個模塊/單元,所述一個或者多個模塊/單元被存儲在所述存儲器中,并由所述處理器執(zhí)行,以完成本發(fā)明。所述一個或多個模塊/單元可以是能夠完成特定功能的一系列計算機程序指令段,該指令段用于描述所述計算機程序在所述計算機裝置中的執(zhí)行過程。例如,參照圖5對應的實施例,所述計算機程序可以被分割成第一記錄模塊,檢測模塊和第一確定模塊,各模塊具體功能如下:

第一記錄模塊,用于當目標網站中的第一網頁web頁面接受訪問時,若所述第一web頁面產生第二web頁面,所述第二web頁面為新生成的頁面或者被修改的頁面,在第一日志中記錄關聯訪問信息,所述關聯訪問信息關聯記錄有所述第一web頁面和所述第二web頁面;

檢測模塊,用于檢測所述目標網站中的webshell頁面;

第一確定模塊,用于若在所述第一日志中存在記錄有所述webshell頁面的目標關聯訪問信息,根據所述目標關聯訪問信息確定與所述webshell頁面關聯記錄的web頁面為目標web頁面,所述目標web頁面具有安全漏洞,所述webshell頁面利用所述目標web頁面的安全漏洞植入所述目標網站。

本領域技術人員可以理解,圖7中示出的結構并不構成對計算機裝置7的限定,可以包括比圖示更多或更少的部件,或者組合某些部件,或者不同的部件布置,例如所述計算機裝置還可以包括輸入輸出設備、網絡接入設備、總線等。

所稱處理器可以是中央處理單元(centralprocessingunit,cpu),還可以是其他通用處理器、數字信號處理器(digitalsignalprocessor,dsp)、專用集成電路(applicationspecificintegratedcircuit,asic)、現成可編程門陣列(field-programmablegatearray,fpga)或者其他可編程邏輯器件、分立門或者晶體管邏輯器件、分立硬件組件等。通用處理器可以是微處理器或者該處理器也可以是任何常規(guī)的處理器等,所述處理器是所述計算機裝置的控制中心,利用各種接口和線路連接整個計算機裝置的各個部分。

所述存儲器可用于存儲所述計算機程序和/或模塊,所述處理器通過運行或執(zhí)行存儲在所述存儲器內的計算機程序和/或模塊,以及調用存儲在存儲器內的數據,實現所述計算機裝置的各種功能。所述存儲器可主要包括存儲程序區(qū)和存儲數據區(qū),其中,存儲程序區(qū)可存儲操作系統(tǒng)、至少一個功能所需的應用程序(比如聲音播放功能、圖像播放功能等)等;存儲數據區(qū)可存儲根據手機的使用所創(chuàng)建的數據(比如音頻數據、電話本等)等。此外,存儲器可以包括高速隨機存取存儲器,還可以包括非易失性存儲器,例如硬盤、內存、插接式硬盤,智能存儲卡(smartmediacard,smc),安全數字(securedigital,sd)卡,閃存卡(flashcard)、至少一個磁盤存儲器件、閃存器件、或其他易失性固態(tài)存儲器件。

所述計算機裝置集成的模塊/單元如果以軟件功能單元的形式實現并作為獨立的產品銷售或使用時,可以存儲在一個計算機可讀取存儲介質中。基于這樣的理解,本發(fā)明實現上述實施例方法中的全部或部分流程,也可以通過計算機程序來指令相關的硬件來完成,所述的計算機程序可存儲于一計算機可讀存儲介質中,該計算機程序在被處理器執(zhí)行時,可實現上述各個方法實施例的步驟。其中,所述計算機程序包括計算機程序代碼,所述計算機程序代碼可以為源代碼形式、對象代碼形式、可執(zhí)行文件或某些中間形式等。所述計算機可讀介質可以包括:能夠攜帶所述計算機程序代碼的任何實體或裝置、記錄介質、u盤、移動硬盤、磁碟、光盤、計算機存儲器、只讀存儲器(rom,read-onlymemory)、隨機存取存儲器(ram,randomaccessmemory)、電載波信號、電信信號以及軟件分發(fā)介質等。需要說明的是,所述計算機可讀介質包含的內容可以根據司法管轄區(qū)內立法和專利實踐的要求進行適當的增減,例如在某些司法管轄區(qū),根據立法和專利實踐,計算機可讀介質不包括電載波信號和電信信號。

所屬領域的技術人員可以清楚地了解到,為描述的方便和簡潔,上述描述的系統(tǒng),裝置和單元的具體工作過程,可以參考前述方法實施例中的對應過程,在此不再贅述。

所述的幾個實施例中,應該理解到,所揭露的系統(tǒng),裝置和方法,可以通過其它的方式實現。例如,以上所描述的裝置實施例僅僅是示意性的,例如,單元的劃分,僅僅為一種邏輯功能劃分,實際實現時可以有另外的劃分方式,例如多個單元或組件可以結合或者可以集成到另一個系統(tǒng),或一些特征可以忽略,或不執(zhí)行。另一點,所顯示或討論的相互之間的耦合或直接耦合或通信連接可以是通過一些接口,裝置或單元的間接耦合或通信連接,可以是電性,機械或其它的形式。

作為分離部件說明的單元可以是或者也可以不是物理上分開的,作為單元顯示的部件可以是或者也可以不是物理單元,即可以位于一個地方,或者也可以分布到多個網絡單元上??梢愿鶕嶋H的需要選擇其中的部分或者全部單元來實現本實施例方案的目的。

另外,在本發(fā)明各個實施例中的各功能單元可以集成在一個處理單元中,也可以是各個單元單獨物理存在,也可以兩個或兩個以上單元集成在一個單元中。上述集成的單元既可以采用硬件的形式實現,也可以采用軟件功能單元的形式實現。

以上,以上實施例僅用以說明本發(fā)明的技術方案,而非對其限制;盡管參照前述實施例對本發(fā)明進行了詳細的說明,本領域的普通技術人員應當理解:其依然可以對前述各實施例所記載的技術方案進行修改,或者對其中部分技術特征進行等同替換;而這些修改或者替換,并不使相應技術方案的本質脫離本發(fā)明各實施例技術方案的精神和范圍。

當前第1頁1 2 
網友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點贊!
1
化德县| 油尖旺区| 南安市| 凭祥市| 察雅县| 成武县| 临夏县| 新绛县| 安国市| 孟连| 竹溪县| 历史| 厦门市| 湖南省| 兴山县| 当雄县| 康平县| 福贡县| 嘉义县| 清涧县| 法库县| 灵山县| 潍坊市| 徐水县| 宜宾市| 宜春市| 临沧市| 汉寿县| 类乌齐县| 佳木斯市| 青阳县| 武义县| 竹北市| 宜良县| 梁河县| 白山市| 五峰| 阿拉尔市| 德清县| 田林县| 怀柔区|