【技术实现步骤摘要】
JS脚本文件漏洞检测方法及系统
本专利技术涉及一种漏洞检测技术,尤其是指一种JS脚本文件漏洞检测方法及系统。
技术介绍
如今开发人员广泛使用开源组件,据估计,每个应用程序的80%-90%都由开源组件组成。有研究显示,软件应用程序中使用的第三方组件中有一半已经过时,可能不安全。而且使用开源组件的所有应用程序中,超过60%包含已知的软件漏洞。那么分析每个开源组件的CVE,将会给项目的组成分析(SCA)提供有效的信息支持。而目前市场上还没有相关成熟的技术和产品。因此为解决这一问题,一般都会采用人工的方式寻找一个个漏洞,再根据漏洞的描述去相关的产品官网来找寻相关的信息,然后确定该JS开源组件的漏洞。然而,应用人工的方式审查漏洞,工作量大,效率低下。
技术实现思路
本专利技术所要解决的技术问题是:提供一种JS脚本文件漏洞检测方法及系统,以此快速、高效的检测JS脚本文件的漏洞。为了解决上述技术问题,本专利技术采用的技术方案为:一种JS脚本文件漏洞检测方法,包括如下步骤:应用jsrepository.json文件建立第一漏洞库,其中,所述第一漏洞库包括sha1编码哈希值及统一资源标识符信息;扫描并解析JS脚本文件,获取漏洞匹配信息;根据漏洞匹配信息,在所述第一漏洞库中进行漏洞匹配,生成第二漏洞库;计算所述JS脚本文件的sha1编码哈希值;应用所述JS脚本文件的sha1编码哈希值与所述第二漏洞库进行匹配,生成第三漏洞库;其中,所述根据漏洞匹配信息,在所述第一 ...
【技术保护点】
1.一种JS脚本文件漏洞检测方法,包括如下步骤:/n应用jsrepository.json文件建立第一漏洞库,其中,所述第一漏洞库包括sha1编码哈希值及统一资源标识符信息;/n扫描并解析JS脚本文件,获取漏洞匹配信息;/n根据漏洞匹配信息,在所述第一漏洞库中进行漏洞匹配,生成第二漏洞库;/n计算所述JS脚本文件的sha1编码哈希值;/n应用所述JS脚本文件的sha1编码哈希值与所述第二漏洞库进行匹配,生成第三漏洞库;/n其中,所述根据漏洞匹配信息,在所述第一漏洞库中进行漏洞匹配,生成第二漏洞库的步骤中,还包括:/n获取所述JS脚本文件的路径;/n调用所述JS脚本文件的路径与所述统一资源标识符信息进行匹配;/n确认所述JS脚本文件的路径与所述统一资源标识符信息匹配成功;/n将所述sha1编码哈希值添加至所述第二漏洞库,生成更新后的第二漏洞库;/n其中,所述sha1编码哈希值是所述JS脚本文件通过哈希算法算出的。/n
【技术特征摘要】
1.一种JS脚本文件漏洞检测方法,包括如下步骤:
应用jsrepository.json文件建立第一漏洞库,其中,所述第一漏洞库包括sha1编码哈希值及统一资源标识符信息;
扫描并解析JS脚本文件,获取漏洞匹配信息;
根据漏洞匹配信息,在所述第一漏洞库中进行漏洞匹配,生成第二漏洞库;
计算所述JS脚本文件的sha1编码哈希值;
应用所述JS脚本文件的sha1编码哈希值与所述第二漏洞库进行匹配,生成第三漏洞库;
其中,所述根据漏洞匹配信息,在所述第一漏洞库中进行漏洞匹配,生成第二漏洞库的步骤中,还包括:
获取所述JS脚本文件的路径;
调用所述JS脚本文件的路径与所述统一资源标识符信息进行匹配;
确认所述JS脚本文件的路径与所述统一资源标识符信息匹配成功;
将所述sha1编码哈希值添加至所述第二漏洞库,生成更新后的第二漏洞库;
其中,所述sha1编码哈希值是所述JS脚本文件通过哈希算法算出的。
2.如权利要求1所述的JS脚本文件漏洞检测方法,其特征在于,所述第一漏洞库包括文件名信息,当所述JS脚本文件的路径与所述统一资源标识符信息匹配失败后,所述方法还包括如下步骤:
获取所述JS脚本文件名;
调用所述JS脚本文件名与所述文件名信息进行匹配;
确认所述JS脚本文件名与所述文件名信息匹配成功。
3.如权利要求2所述的JS脚本文件漏洞检测方法,其特征在于,所述第一漏洞库包括hashes信息,所述JS脚本文件名与所述文件名信息匹配失败后,还包括如下步骤:
获取JS脚本文件的sha1编码哈希值;
调用所述JS脚本文件的sha1编码哈希值与所述hashes信息进行匹配;
确认所述JS脚本文件的sha1编码哈希值与所述hashes信息相匹配。
4.如权利要求3所述的JS脚本文件漏洞检测方法,其特征在于,第一漏洞库包括漏洞库内容信息,所述JS脚本文件名与所述文件名信息匹配失败后,还包括如下步骤:
获取所述JS脚本文件的内容;
调用所述JS脚本文件的内容与所述漏洞库内容信息进行匹配;
确认所述JS脚本文件的内容与所述漏洞库内容信息相匹配;
其中,所述JS脚本...
【专利技术属性】
技术研发人员:汪杰,万振华,王颉,董燕,李华,
申请(专利权)人:深圳开源互联网安全技术有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。