【技术实现步骤摘要】
本申请涉及通信及计算机领域,尤其涉及漏洞检测方法和设备。
技术介绍
漏洞是指一个系统存在的弱点或缺陷,系统对特定威胁攻击或危险事件的敏感性,或进行攻击的威胁作用的可能性。漏洞可能来自应用软件或操作系统设计时的缺陷或编码时产生的错误,也可能来自业务在交互处理过程中的设计缺陷或逻辑流程上的不合理之处。这些缺陷、错误或不合理之处可能被有意或无意地利用,从而对一个组织的资产或运行造成不利影响,如信息系统被攻击或控制,重要资料被窃取,用户数据被篡改,系统被作为入侵其他主机系统的跳板。从目前发现的漏洞来看,应用软件中的漏洞远远多于操作系统中的漏洞,特别是WEB应用系统中的漏洞更是占信息系统漏洞中的绝大多数。UXSS(Universal Cross-site Scripting,通用跨站脚本攻击)漏洞属于通用型XSS(Cross Site Scripting,跨站脚本攻击)漏洞,是由于浏览器本身或者浏览器插件存在漏洞而导致的XSS,不需要网站有漏洞才能攻击,在有漏洞的浏览器上浏览任意网站都会受到攻击,因此危害巨大。今年8月底,一个国外网站暴露了安卓系统(Android)上的一...
【技术保护点】
一种漏洞检测方法,其中,所述漏洞检测方法包括:获取漏洞的信息;对所述漏洞的信息所对应的验证性测试代码进行处理,并将处理后的验证性测试代码集成到集成页面中;利用受测对象加载所述集成页面,并触发所述处理后的验证性测试代码自动检测;以及生成所述受测对象是否存在漏洞的结果以及存在漏洞时的相应漏洞的信息。
【技术特征摘要】
1.一种漏洞检测方法,其中,所述漏洞检测方法包括:获取漏洞的信息;对所述漏洞的信息所对应的验证性测试代码进行处理,并将处理后的验证性测试代码集成到集成页面中;利用受测对象加载所述集成页面,并触发所述处理后的验证性测试代码自动检测;以及生成所述受测对象是否存在漏洞的结果以及存在漏洞时的相应漏洞的信息。2.根据权利要求1所述的漏洞检测方法,其中,获取漏洞的信息包括:采用爬虫技术从网络中获取所述漏洞的信息。3.根据权利要求2所述的漏洞检测方法,其中,获取漏洞的信息包括:在网络中搜索提供漏洞的信息的网站;监控所述提供漏洞的信息的网站是否有漏洞的信息更新;以及当有漏洞的信息更新时,则爬取该漏洞的信息和验证性测试代码。4.根据权利要求1至3中任一项所述的漏洞检测方法,其中,对所述漏洞的信息所对应的验证性测试代码进行处理包括:增加用于触发所述验证性测试代码进行自动检测的代码;以及增加用于在自动检测过程中自动调用被检测网页的代码。5.根据权利要求1或3中任一项所述的漏洞检测方法,其中,对所述漏洞的信息所对应的验证性测试代码进行处理包括:将所述漏洞的信息所对应的验证性测试代码插入具有自动检测指令的页面模板。6.根据权利要求1至5中任一项所述的漏洞检测方法,其中,将处理后的验证性测试代码集成到集成页面包括:采用页面框架将处理后的验证性测试代码集成到集成页面中。7.根据权利要求1至6中任一项所述的漏洞检测方法,其中,利用受测对象加载所述集成页面包括:获取漏洞检测请求,并根据所述漏洞检测请求,请求利用所述漏洞检测请求所对应的受测对象加载所述集成页面。8.根据权利要求7所述的漏洞检测方法,其中,所述漏洞检测请求由具有所述受测对象的用户设备发起,且生成的所述受测对象是否存在漏洞的结果以及存在漏洞时的相应漏洞的信息由该用户设备获取并展示。9.根据权利要求1至8中任一项所述的漏洞检测方法,其中,触发所述处理后的验证性测试代码自动检测包括:并行触发所有处理后的验证性测试代码自动检测。10.根据权利要求1至9中任一项所述的漏洞检测方法,其中,所述漏洞的信息包括漏洞名称、漏洞类型、漏洞编号及漏洞地址中的一种或任意组合。11.根据权利要求1至10中任一项所述的漏洞检测方法,其中,所述漏洞为UXSS漏洞。12.一种用于漏洞检测的漏洞检测设备,其中,所述漏...
【专利技术属性】
技术研发人员:李天祥,
申请(专利权)人:阿里巴巴集团控股有限公司,
类型:发明
国别省市:开曼群岛;KY
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。