本发明专利技术公开一种伪静态网站安全检查方法和装置。该方法包括:获取伪静态网站的所有伪静态链接;对伪静态网站的所有伪静态链接进行伪静态参数标记;针对伪静态参数标记后的伪静态链接,通过加载不同漏洞类型的有效负载payload来检查所述伪静态链接是否存在漏洞。本发明专利技术可以准确获取到伪静态连接的参数值,以及实现对参数值进行准确payload攻击检查,从而实现了对伪静态网站的安全检查,解决了当前web漏洞扫描器无法提取伪静态网站参数值进行针对性检查的技术问题。
【技术实现步骤摘要】
伪静态网站安全检查方法和装置
本专利技术涉及网络安全领域,特别涉及一种伪静态网站安全检查方法和装置。
技术介绍
早期网站没有动态语言,例如(asp/jsp/)等等的支持,所有页面都是靠手工开发写HTML然后保存为扩展名为.html这种文件来供大家浏览,其访问地址可能是以.html结尾,然而这种效率及其低下,而且及其复杂。随后动态语言和数据库的产生,出现了交互型很强的网站,访问地址也就有‘?’。早期搜索引擎对于这些动态参数的形式页面不容易收录,于是会将这些动态页面转化成以html结尾的静态页面,这些页面是真正的静态页面,保存在服务器的硬盘上。因此随着数据的不断增加,会对网站的访问速度造成严重的影响,于是一种URLRewrite(统一资源定位符重写)即伪静态技术出现了,避免了真正静态文件的大量产生。相比于静态页面伪静态好处显而易见,真正的静态页面空间储存量大,进行删除或者更新这些html文件时可造成大量文件碎片,破坏磁盘坏道,而伪静态可以更好的缓解服务器的压力,增强搜索引擎对页面的收录;动态页面虽然可以实时更新,但是有时会导致死循环,对搜索引擎不友好,而伪静态却不会出现这种情况。在安全方面,伪静态链接的参数值形式各种各样,以至于当前市面上的web漏洞扫描器均无法提取其参数值进行针对性检查。
技术实现思路
鉴于以上技术问题,本专利技术提供了一种伪静态网站安全检查方法和装置,可以针对伪静态链接进行针对性安全检查。根据本专利技术的一个方面,提供一种伪静态网站安全检查方法,包括:获取伪静态网站的所有伪静态链接;对伪静态网站的所有伪静态链接进行伪静态参数标记;针对伪静态参数标记后的伪静态链接,通过加载不同漏洞类型的有效负载payload来检查所述伪静态链接是否存在漏洞。在本专利技术的一个实施例中,所述方法还包括:对伪静态网站的所有伪静态链接进行去重处理。在本专利技术的一个实施例中,所述对伪静态网站的所有伪静态链接进行伪静态参数标记包括:通过正则匹配和/或不同链接对比的方式,对伪静态网站的所有伪静态链接进行伪静态参数标记。在本专利技术的一个实施例中,所述通过加载不同漏洞类型的有效负载payload来检查所述伪静态链接是否存在漏洞之后,所述方法还包括:输出安全检查结果,其中,所述安全检查结果包括所述伪静态链接是否存在漏洞。在本专利技术的一个实施例中,所述获取伪静态网站的所有伪静态链接包括:通过爬虫爬取伪静态网站的所有伪静态链接。根据本专利技术的另一方面,提供一种伪静态网站安全检查装置,包括链接获取模块、参数标记模块和漏洞检查模块,其中:链接获取模块,用于获取伪静态网站的所有伪静态链接;参数标记模块,用于对伪静态网站的所有伪静态链接进行伪静态参数标记;漏洞检查模块,用于针对伪静态参数标记后的伪静态链接,通过加载不同漏洞类型的有效负载payload来检查所述伪静态链接是否存在漏洞。在本专利技术的一个实施例中,所述装置还包括去重模块,其中:去重模块,用于对伪静态网站的所有伪静态链接进行去重处理。在本专利技术的一个实施例中,参数标记模块用于通过正则匹配和/或不同链接对比的方式,对伪静态网站的所有伪静态链接进行伪静态参数标记。在本专利技术的一个实施例中,所述装置还包括检查结果输出模块,其中:检查结果输出模块,用于在漏洞检查模块通过加载不同漏洞类型的有效负载payload来检查所述伪静态链接是否存在漏洞之后,输出安全检查结果,其中所述安全检查结果包括所述伪静态链接是否存在漏洞。在本专利技术的一个实施例中,链接获取模块用于通过爬虫爬取伪静态网站的所有伪静态链接。本专利技术通过准确获取到伪静态连接的参数值,以及对参数值进行准确payload攻击检查,实现了对伪静态网站的安全检查。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本专利技术伪静态网站安全检查方法第一实施例的示意图。图2为本专利技术一个实施例中使用正则表达式标记参数值的示意图。图3为本专利技术一个实施例中通过对比不同链接标记参数值的示意图。图4为本专利技术一个实施例中伪静态注入的示意图。图5为本专利技术伪静态网站安全检查方法第二实施例的示意图。图6为本专利技术伪静态网站安全检查装置第一实施例的示意图。图7为本专利技术伪静态网站安全检查装置第二实施例的示意图。图8为本专利技术伪静态网站安全检查装置第三实施例的示意图。具体实施方式下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本专利技术及其应用或使用的任何限制。基于本专利技术中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本专利技术的范围。同时,应当明白,为了便于描述,附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为授权说明书的一部分。在这里示出和讨论的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它示例可以具有不同的值。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。图1为本专利技术伪静态网站安全检查方法第一实施例的示意图。优选的,本实施例可由本专利技术伪静态网站安全检查装置执行。该方法包括以下步骤:步骤101,获取伪静态网站的所有伪静态链接。在本专利技术的一个实施例中,步骤101可以包括:通过爬虫爬取伪静态网站的所有伪静态链接。其中,爬虫,又称为网络爬虫、网页蜘蛛、网络机器人、网页追逐者,用于按照一定的规则,自动地抓取万维网信息的程序或者脚本。在本专利技术的一个实施例中,步骤101可以包括:获取伪静态网站的所有链接;以及从所述所有链接中获取所有伪静态链接。步骤102,对伪静态网站的所有伪静态链接进行伪静态参数标记。在本专利技术的一个实施例中,步骤102可以包括:通过正则匹配和/或不同链接对比的方式,对伪静态网站的所有伪静态链接进行伪静态参数标记。在本专利技术的一个具体实施例中,步骤102可以包括:(1)通过正则匹配进行伪静态参数标记。伪静态网站的参数是隐藏在网站后缀URL中的,则可根据以下三种方式进行参数的提取:形式1:“http://www.example/article/123.html”通过正则表达式匹配出字符串中的“/”和“.html”,则中间值123为参数值。形式2:“http://www.exmple.com/test/123.htm”通过正则匹配URL中字符串“/”和“.htm”,提取中间值123为参数值。形式3:“http://www.example.com/test/123”可直接通过匹配字符串“/”和“$”进行参数的筛选。例如:在本专利技术图2所示的实施例中,本文档来自技高网...
【技术保护点】
一种伪静态网站安全检查方法,其特征在于,包括:获取伪静态网站的所有伪静态链接;对伪静态网站的所有伪静态链接进行伪静态参数标记;针对伪静态参数标记后的伪静态链接,通过加载不同漏洞类型的有效负载payload来检查所述伪静态链接是否存在漏洞。
【技术特征摘要】
1.一种伪静态网站安全检查方法,其特征在于,包括:获取伪静态网站的所有伪静态链接;对伪静态网站的所有伪静态链接进行伪静态参数标记;针对伪静态参数标记后的伪静态链接,通过加载不同漏洞类型的有效负载payload来检查所述伪静态链接是否存在漏洞。2.根据权利要求1所述的方法,其特征在于,还包括:对伪静态网站的所有伪静态链接进行去重处理。3.根据权利要求1或2所述的方法,其特征在于,所述对伪静态网站的所有伪静态链接进行伪静态参数标记包括:通过正则匹配和/或不同链接对比的方式,对伪静态网站的所有伪静态链接进行伪静态参数标记。4.根据权利要求1或2所述的方法,其特征在于,所述通过加载不同漏洞类型的有效负载payload来检查所述伪静态链接是否存在漏洞之后,还包括:输出安全检查结果,其中,所述安全检查结果包括所述伪静态链接是否存在漏洞。5.根据权利要求1或2所述的方法,其特征在于,所述获取伪静态网站的所有伪静态链接包括:通过爬虫爬取伪静态网站的所有伪静态链接。6.一种伪静态网站安全检查装置,其特征在于,包括链接获取模...
【专利技术属性】
技术研发人员:王欣宇,王琪强,魏渊,
申请(专利权)人:中国电信股份有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。