本发明专利技术公开了一种基于浏览器扩展的网站安全检测方法、装置、终端及存储介质,该方法包括:浏览器扩展获取目标网站测试过程中产生的与注册请求事件对应的链接信息;基于配置信息,从所述链接信息中提取与所述配置信息对应的链接信息;将所述配置信息对应的链接信息发送给云端平台;接收所述云端平台对所述链接信息进行的漏洞检测结果。本发明专利技术提供的基于浏览器扩展的网站安全检测方法、装置、终端及存储介质,无需爬虫,无需接入流量即可实现网站安全检测。
A Web Site Security Detection Method and Terminal Based on Browser Extension
【技术实现步骤摘要】
一种基于浏览器扩展的网站安全检测方法及终端
本专利技术涉及网站安全检测
,特别涉及一种基于浏览器扩展的网站安全检测方法、装置、终端及存储介质。
技术介绍
传统的网站安全检测类产品的主要产品形式为漏洞扫描系统,其主要工作原理是,通过技术方法自动化获取网站中的各个链接,并将这些链接作为输入,传递给漏洞扫描器相应的漏洞检测插件,并最终返回检测结果。因此,链接的获取能力直接决定了整个漏洞扫描系统的检测能力,即便检测插件再丰富再强大,但链接的获取能力很差,也只能是无的放矢,无处发力。传统漏扫产品的链接获取方案一般有两种,一种是通过爬虫模块,根据给定的网站域名,主动爬取网站中的页面链接。一种是接入在网站的流量入口处,被动地从访问流量中提取链接。爬虫方式面临的问题有:基于html解析技术,无法获取js执行、页面渲染、事件触发、ajax等动态生成的链接。如果基于浏览器内核技术,则性能耗费巨大,且依旧无法获取复杂交互逻辑触发的链接。流量接入方式的局限性有:首先部署十分不便,且流量不等于真实链接,会混入大量无效链接,还要过滤自己扫描混入的流量,流量大的时候会面临性能压力等诸多问题。由于流量接入是被动式的,因此还会引入一些其他问题,例如,如果没有触发流量,漏洞扫描器就不会去工作;无法实现像主动式那样的多任务系统;很难细粒度区分链接的来源等诸多问题。
技术实现思路
本专利技术提供一种基于浏览器扩展的网站安全检测方法、装置、终端及存储介质,无需爬虫,无需接入流量即可实现网站安全检测。第一方面,本申请实施例提供了一种基于浏览器扩展的网站安全检测方法,包括:浏览器扩展获取目标网站测试过程中产生的与注册请求事件对应的链接信息;基于配置信息,从所述链接信息中提取与所述配置信息对应的链接信息;将所述配置信息对应的链接信息发送给云端平台;接收所述云端平台对所述链接信息进行的漏洞检测结果。优选地,所述配置信息包括:用户参数配置。优选地,在所述接收所述云端平台对所述链接信息进行的漏洞检测结果步骤后,还包括步骤:对所述漏洞检测结果进行呈现。优选地,所述链接信息包括链接、请求头、请求体、响应头、响应体、触发源中的至少一种。第二方面,本申请实施例提供了一种基于浏览器扩展的网站安全检测装置,包括:获取模块,用于浏览器扩展获取目标网站测试过程中产生的与注册请求事件对应的链接信息;提取模块,用于基于配置信息,从所述链接信息中提取与所述配置信息对应的链接信息;发送模块,用于将所述配置信息对应的链接信息发送给云端平台;接收模块,用于接收所述云端平台对所述链接信息进行的漏洞检测结果。优选地,所述提取模块中所述配置信息包括:用户参数配置。优选地,还包括:呈现模块,用于对所述漏洞检测结果进行呈现。优选地,所述获取模块中,所述链接信息包括:链接、请求头、请求体、响应头、响应体、触发源中的至少一种。第三方面,本申请实施例提供了一种终端,包括:一个或多个处理器、一个或多个存储器;所述一个或多个存储器与所述一个或多个处理器耦合,所述一个或多个存储器用于存储计算机程序代码,所述计算机程序代码包括计算机指令,当所述一个或多个处理器执行所述计算机指令时,所述终端执行上述的网站安全检测方法。第四方面,本申请实施例提供了计算机存储介质,包括计算机指令,当所述计算机指令在终端上运行时,使得所述终端执行上述的网站安全检测方法。采用上述技术方案,由于在浏览器上安装扩展,扩展通过向浏览器发送注册请求事件,这样浏览器获得对目标网站进行测试过程中产生的链接信息后,将与注册请求事件对应的链接信息发送给扩展,扩展通过读取配置信息进行链接信息的筛选,确定与配置信息对应的链接信息,并将其发送给云端平台,通过云端平台进行漏洞扫描检测,得到漏洞检测结果,通过这样的方式,既不需要爬虫,也不需要接入流量,实现了网站的安全检测。并且因为扩展是直接运行在浏览器进程空间中的,无需额外客户端。通过云端平台进行检测,对客户端性能的占用几乎可以忽略不计,性能开销低到忽略不计。附图说明图1为本专利技术实施例提供的基于浏览器扩展的网站安全检测方法的流程图;图2为本专利技术实施例提供的基于浏览器扩展的网站安全检测装置的框架图;图3为本专利技术实施例提供的基于浏览器扩展的网站安全检测装置的另一框架图。具体实施方式下面结合附图对本专利技术的具体实施方式作进一步说明。在此需要说明的是,对于这些实施方式的说明用于帮助理解本专利技术,但并不构成对本专利技术的限定。此外,下面所描述的本专利技术各个实施方式中所涉及的技术特征只要彼此之间未构成冲突就可以相互组合。其中,在本申请实施例的描述中,除非另有说明,“/”表示或的意思,例如,A/B可以表示A或B;本文中的“和/或”仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,在本申请实施例的描述中,“多个”是指两个或多于两个。以下,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。在本申请实施例的描述中,除非另有说明,“多个”的含义是两个或两个以上。第一方面,如图1所示,本申请实施例提供了一种基于浏览器扩展的网站安全检测方法,包括:步骤S101、浏览器扩展获取目标网站测试过程中产生的与注册请求事件对应的链接信息;包括IE、Edge、Chrome、Firefox等在内的各种主流浏览器,都支持插件式的扩展。浏览器扩展小巧精致,没有自己的独立进程,而是运行在浏览器的进程空间中,因此能够获取浏览器解析页面的上下文数据,正是依托了浏览器强大的解析和渲染能力,使得浏览器扩展的功能非常强大,并且开发成本极低。又由于是基于浏览器而不是系统,也提升了跨系统的兼容和通配性。基于上述内容,在浏览器上安装扩展,浏览器扩展基于关心的注册事件生成注册请求事件,将注册请求事件发送给浏览器。当通过浏览器打开目标网站后,QA人员对目标网站进行测试,浏览器可以获取测试过程中产生的链接信息,并且基于扩展的注册请求事件,把与注册请求事件对应的链接信息发送给浏览器扩展。浏览器扩展将这些链接信息存储在一块单独的内存空间中。步骤S102、基于配置信息,从该链接信息中提取与配置信息对应的链接信息;浏览器读取配置信息,根据配置信息从接收的链接信息中提取出与配置信息对应的链接信息。步骤S103、将该配置信息对应的链接信息发送给云端平台;浏览器扩展将提取出的与配置信息对应的链接信息发送给云端平台,以使云端平台对该链接信息进行漏洞检测。其中,浏览器运行于客户端上,客户端与云端通信连接。需要说明的是:浏览器扩展可以实时或者非实时的将链接信息异步提交至云端平台,当采用异步发送的方式的时候,既不影响链接的获取工作,又可以对已经提取的链接信息进行发送,提高了工作效率,缩短了整个漏洞检测时间。步骤S104、接收该云端平台对该链接信息进行的漏洞检测结果。云端平台对接收的链接信息进行漏洞检测完毕后,将漏洞检测结果发送给浏览器扩展。采用上述技术方案,由于在浏览器上安装扩展,扩展通过向浏览器发送注册请求事件,这样浏览器获得对目标网站进行测试过程中产生的链接信息后,将与本文档来自技高网...
【技术保护点】
1.一种基于浏览器扩展的网站安全检测方法,其特征在于,包括:浏览器扩展获取目标网站测试过程中产生的与注册请求事件对应的链接信息;基于配置信息,从所述链接信息中提取与所述配置信息对应的链接信息;将所述配置信息对应的链接信息发送给云端平台;接收所述云端平台对所述链接信息进行的漏洞检测结果。
【技术特征摘要】
1.一种基于浏览器扩展的网站安全检测方法,其特征在于,包括:浏览器扩展获取目标网站测试过程中产生的与注册请求事件对应的链接信息;基于配置信息,从所述链接信息中提取与所述配置信息对应的链接信息;将所述配置信息对应的链接信息发送给云端平台;接收所述云端平台对所述链接信息进行的漏洞检测结果。2.根据权利要求1所述的网站安全检测方法,其特征在于,所述配置信息包括:用户参数配置。3.根据权利要求1所述的网站安全检测方法,其特征在于,在所述接收所述云端平台对所述链接信息进行的漏洞检测结果步骤后,还包括步骤:对所述漏洞检测结果进行呈现。4.根据权利要求1-3任一项所述的网站安全检测方法,其特征在于,所述链接信息包括链接、请求头、请求体、响应头、响应体、触发源中的至少一种。5.一种基于浏览器扩展的网站安全检测装置,其特征在于,包括:获取模块,用于浏览器扩展获取目标网站测试过程中产生的与注册请求事件对应的链接信息;提取模块,用于基于配置信息,从所述链接信息中提取与所述配置信息对应的链接信息;发送模块,用于将所述...
【专利技术属性】
技术研发人员:赵岱翀,刘兵,谢鑫,
申请(专利权)人:北京墨云科技有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。