本申请公开了一种页面检测方法,包括:获取待检测页面;在虚拟运行环境对所述待检测网页进行动态检测,得到检测结果;其中,所述虚拟运行环境为根据浏览器接口构造的浏览器环境。通过在虚拟运行环境中对该待检测网页进行动态检测,其中该虚拟运行换件为根据浏览器接口构造的浏览器环境,也就是将待检测页面运行在虚拟出的浏览器中,并进行动态检测,而不是仅仅对页面进行静态检测,实现了对各个动态表现例如JS事件等进行检测,提高页面检测的覆盖率避免遗漏检测点,提高了页面检测的准确性。本申请还提供一种页面检测装置、服务器以及计算机可读存储介质,具有以上有益效果。具有以上有益效果。具有以上有益效果。
【技术实现步骤摘要】
一种页面检测方法及相关装置
[0001]本申请涉及计算机
,特别涉及一种页面检测方法、页面检测装置、服务器以及计算机可读存储介质。
技术介绍
[0002]随着互联网技术的不断发展,出现了越来越多的网络漏洞攻击。其中,大部分的漏洞攻击都是发生在网站的应用层上,即页面中。因此,页面漏洞检测作为网站站点脆弱性检测的重要一环。
[0003]相关技术中,页面漏洞检测主要是通过爬取网站的所有url(Uniform Resource Locator,统一资源定位器),并对网站的url各项输入点进行漏洞检查(例如,SQL(Structured Query Language,结构化查询语言)注入、xss(Cross Site Scripting,跨站脚本攻击)攻击、目录遍历、命令注入、跨站请求伪造等)。并且,漏洞扫描器检测的输入点主要在GET与POST参数、访问资源名称、Reffer、UserAgent、Cookie等静态表现中。但是,随着页面技术的不断发展,页面中存在越来越多的动态表现,页面漏洞检测无法全面的进行检测,漏洞检测覆盖率不足,导致有些漏洞脆弱点无法被检测到,降低页面检测的准确性。
[0004]因此,如何提高页面检测的准确性是本领域技术人员关注的重点问题。
技术实现思路
[0005]本申请的目的是提供一种页面检测方法、页面检测装置、服务器以及计算机可读存储介质,以将页面在虚拟运行环境中对页面进行动态检测,提高页面检测的准确性。
[0006]为解决上述技术问题,本申请提供一种页面检测方法,包括:
[0007]获取待检测页面;
[0008]在虚拟运行环境对所述待检测网页进行动态检测,得到检测结果;其中,所述虚拟运行环境为根据浏览器接口构造的浏览器环境。
[0009]可选的,在虚拟运行环境对所述待检测网页进行动态检测,得到检测结果,包括:
[0010]在所述虚拟环境中对所述待检测网页执行动态检测操作,得到所述检测结果;其中,所述动态检测操作至少包括JS检测、DOM触发检测以及回调处理中的一种或多种的组合。
[0011]可选的,当所述动态检测操作包括所述JS检测时,所述在所述虚拟环境中对所述待检测网页执行动态检测操作得到所述检测结果的步骤,包括:
[0012]在所述虚拟环境中加载所述待检测网页,并对所述待检测网页注入目标JS代码;
[0013]对所述目标JS代码进行漏洞跟踪,得到跟踪结果并作为所述检测结果。
[0014]可选的,当所述动态检测操作包括所述DOM触发检测时,所述在所述虚拟环境中对所述待检测网页执行动态检测操作得到所述检测结果的步骤,包括:
[0015]在所述虚拟环境中加载所述待检测网页,并对所述待检测网页中的每个事件进行触发,得到每个事件下的页面快照;
[0016]对所述所有所述页面快照进行漏洞分析,得到所述检测结果。
[0017]可选的,当所述动态检测操作包括所述回调处理时,所述在所述虚拟环境中对所述待检测网页执行动态检测操作得到所述检测结果的步骤,包括:
[0018]在所述虚拟环境中加载所述待检测网页,并在所述待检测网页的末尾添加钩子;
[0019]当所述钩子触发时,通过回调函数对所述待检测网页的日志报告进行漏洞分析,得到所述检测结果。
[0020]可选的,获取待检测页面,包括:
[0021]将扫描得到的待检测页面添加至任务队列中;
[0022]任务线程集群中的任务线程按照顺序从所述任务队列中获取所述待检测页面。
[0023]可选的,还包括:
[0024]当动态检测结束后,所述任务线程判断所述浏览器环境是否存活;
[0025]若否,重启所述浏览器环境。
[0026]本申请还提供一种页面检测装置,包括:
[0027]页面获取模块,用于获取待检测页面;
[0028]动态检测模块,用于在虚拟运行环境对所述待检测网页进行动态检测,得到检测结果;其中,所述虚拟运行环境为根据浏览器接口构造的浏览器环境。
[0029]本申请还提供一种服务器,包括:
[0030]存储器,用于存储计算机程序;
[0031]处理器,用于执行所述计算机程序时实现如上所述的页面检测方法的步骤。
[0032]本申请还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上所述的页面检测方法的步骤。
[0033]本申请所提供的一种页面检测方法,包括:获取待检测页面;在虚拟运行环境对所述待检测网页进行动态检测,得到检测结果;其中,所述虚拟运行环境为根据浏览器接口构造的浏览器环境。
[0034]通过在虚拟运行环境中对该待检测网页进行动态检测,其中该虚拟运行换件为根据浏览器接口构造的浏览器环境,也就是将待检测页面运行在虚拟出的浏览器中,并进行动态检测,而不是仅仅对页面进行静态检测,实现了对各个动态表现例如JS事件等进行检测,提高页面检测的覆盖率避免遗漏检测点,提高了页面检测的准确性。
[0035]本申请还提供一种页面检测装置、服务器以及计算机可读存储介质,具有以上有益效果,在此不做具体限定。
附图说明
[0036]为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
[0037]图1为本申请实施例所提供的一种页面检测方法的流程图;
[0038]图2为本申请实施例所提供的另一种页面检测方法的流程图;
[0039]图3为本申请实施例所提供的一种页面检测装置的结构示意图。
具体实施方式
[0040]本申请的核心是提供一种页面检测方法、页面检测装置、服务器以及计算机可读存储介质,以将页面在虚拟运行环境中对页面进行动态检测,提高页面检测的准确性。
[0041]为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
[0042]相关技术中,页面漏洞检测主要是通过爬取网站的所有url,并对网站的url各项输入点进行漏洞检查(例如,SQL注入、xs攻击、目录遍历、命令注入、跨站请求伪造等)。并且,漏洞扫描器检测的输入点主要在GET与POST参数、访问资源名称、Reffer、UserAgent、Cookie等静态表现中。但是,随着页面技术的不断发展,页面中存在越来越多的动态表现,页面漏洞检测无法全面的进行检测,漏洞检测覆盖率不足,导致有些漏洞脆弱点无法被检测到,降低页面检测的本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种页面检测方法,其特征在于,包括:获取待检测页面;在虚拟运行环境对所述待检测网页进行动态检测,得到检测结果;其中,所述虚拟运行环境为根据浏览器接口构造的浏览器环境。2.根据权利要求1所述的页面检测方法,其特征在于,在虚拟运行环境对所述待检测网页进行动态检测,得到检测结果,包括:在所述虚拟环境中对所述待检测网页执行动态检测操作,得到所述检测结果;其中,所述动态检测操作至少包括JS检测、DOM触发检测以及回调处理中的一种或多种的组合。3.根据权利要求2所述的页面检测方法,其特征在于,当所述动态检测操作包括所述JS检测时,所述在所述虚拟环境中对所述待检测网页执行动态检测操作得到所述检测结果的步骤,包括:在所述虚拟环境中加载所述待检测网页,并对所述待检测网页注入目标JS代码;对所述目标JS代码进行漏洞跟踪,得到跟踪结果并作为所述检测结果。4.根据权利要求2所述的页面检测方法,其特征在于,当所述动态检测操作包括所述DOM触发检测时,所述在所述虚拟环境中对所述待检测网页执行动态检测操作得到所述检测结果的步骤,包括:在所述虚拟环境中加载所述待检测网页,并对所述待检测网页中的每个事件进行触发,得到每个事件下的页面快照;对所述所有所述页面快照进行漏洞分析,得到所述检测结果。5.根据权利要求2所述的页面检测方法,其特征在于,当所述动态检...
【专利技术属性】
技术研发人员:文明超,
申请(专利权)人:深信服科技股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。