一种漏洞检测方法、装置、设备及介质制造方法及图纸

本申请实施例提供了一种漏洞检测方法、装置、设备及介质，该方法中接收服务器反馈的第一反馈数据包，并根据第一反馈数据包中携带的目标漏洞检测类型对应的第一预设关键词和第二预设关键词对应的第一数据对URL中的对应参数进行修改，从而重新构造一个新的URL并发送给服务器，接收服务器返回的第二反馈数据包，并判断第二反馈数据包中包含的是否能够进行正常页面跳转的标识与预设标识是否一致，确定服务器是否能够成功处理重新构造的URL，以此判断接收到的URL是否存在漏洞，从而准确的完成对接收到的URL业务逻辑的漏洞的检测。成对接收到的URL业务逻辑的漏洞的检测。成对接收到的URL业务逻辑的漏洞的检测。

【技术实现步骤摘要】
一种漏洞检测方法、装置、设备及介质


[0001]本申请涉及网络安全
，尤其涉及一种漏洞检测方法、装置、设备及介质。

技术介绍

[0002]由于网站程序业务功能一般都比较复杂且普通程序员的安全意识缺乏，很多网站都存在着漏洞，并且网络安全领域也是各行各业关注的重点，因此对漏洞检测尤为重要。
[0003]目前对于网站的漏洞检测方法只能针对跨站脚本攻击、结构化查询语言(Structured Query Language，SQL)注入等类型的漏洞进行检测，忽略了业务逻辑造成的漏洞，业务逻辑漏洞指的是攻击者利用业务/功能上的设计缺陷，获取敏感信息或破坏业务的完整性，一般出现在密码找回和在线支付等安全页面，常见的漏洞检测方法对这种基于业务逻辑的漏洞检测准确率不高。

技术实现思路

[0004]本申请实施提供一种漏洞检测方法、装置、设备及介质，用以解决现有技术中针对业务逻辑的漏洞检测准确率不高的问题。
[0005]第一方面，本申请提供了一种漏洞检测方法，所述方法包括：
[0006]接收漏洞检测的指令，获取待检测网站的统一资源定位符URL和目标漏洞检测类型；
[0007]根据预先保存的漏洞检测类型对应的每个第一预设关键词的输入数据，及服务器基于所述URL返回的网页信息，获取所述服务器反馈的是否能够正常跳转的第一反馈数据包，根据所述第一反馈数据包中携带的所述目标漏洞检测类型对应的第一预设关键词和第二预设关键词对应的第一数据对所述URL中的对应参数进行修改；将修改后的URL发送给所述服务器；
[0008]接收所述服务器返回的第二反馈数据包，若所述第二反馈数据包中包含的是否能够进行正常页面跳转的标识与预设标识一致，则确定所述URL存在漏洞，否则确定所述URL不存在漏洞。
[0009]第二方面，本申请还提供了一种漏洞检测装置，所述装置包括：
[0010]获取模块，用于接收漏洞检测的指令，获取待检测网站的统一资源定位符URL和目标漏洞检测类型；
[0011]检测模块，用于根据预先保存的漏洞检测类型对应的每个第一预设关键词的输入数据，及服务器基于所述URL返回的网页信息，获取所述服务器反馈的是否能够正常跳转的第一反馈数据包，根据所述第一反馈数据包中携带的所述目标漏洞检测类型对应的第一预设关键词和第二预设关键词对应的第一数据对所述URL中的对应参数进行修改；将修改后的URL发送给所述服务器；接收所述服务器返回的第二反馈数据包，若所述第二反馈数据包中包含的是否能够进行正常页面跳转的标识与预设标识一致，则确定所述URL存在漏洞，否则确定所述URL不存在漏洞。
[0012]第三方面，本申请还提供了一种电子设备，所述电子设备至少包括处理器和存储器，所述处理器用于执行存储器中存储的计算机程序时实现上述任一所述的漏洞检测方法的步骤。
[0013]第四方面，本申请还提供了一种计算机可读存储介质，其存储有计算机程序，所述计算机程序被处理器执行时实现上述任一所述的漏洞检测方法的步骤。
[0014]本申请实施例提供了一种漏洞检测方法、装置、设备及介质，该方法中接收漏洞检测的指令，获取待检测网站的URL和目标漏洞检测类型，根据预先保存的漏洞检测类型对应的每个第一预设关键词的输入数据，及服务器基于URL返回的网页信息，获取服务器反馈的是否能够正常跳转的第一反馈数据包，根据第一反馈数据包中携带的目标漏洞检测类型对应的第一预设关键词和第二预设关键词对应的第一数据对URL中的对应参数进行修改，将修改后的URL发送给服务器，接收服务器返回的第二反馈数据包，若第二反馈数据包中包含的是否能够进行正常页面跳转的标识与预设标识一致，则确定该URL存在漏洞，否则确定该URL不存在漏洞。由于在本申请实施例中，接收服务器反馈的第一反馈数据包，并根据第一反馈数据包中携带的目标漏洞检测类型对应的第一预设关键词和第二预设关键词对应的第一数据对URL中的对应参数进行修改，从而重新构造一个新的URL并发送给服务器，接收服务器返回的第二反馈数据包，并判断第二反馈数据包中包含的是否能够进行正常页面跳转的标识与预设标识是否一致，确定服务器是否能够成功处理重新构造的URL，以此判断接收到的URL是否存在漏洞，从而准确的完成对接收到的URL业务逻辑的漏洞的检测。
附图说明
[0015]为了更清楚地说明本申请的技术方案，下面将对实施例描述中所需要使用的附图作简要介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域的普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0016]图1为本申请实施例提供的漏洞检测过程示意图；
[0017]图2为本申请实施例提供的获取子URL的过程示意图；
[0018]图3为本申请实施例提供的密码找回漏洞检测类型的漏洞检测过程示意图；
[0019]图4为本申请实施例提供的在线支付漏洞检测类型的漏洞检测过程示意图；
[0020]图5为本申请实施例提供的漏洞检测装置的结构示意图；
[0021]图6为本申请实施例提供的另一种漏洞检测装置的结构示意图；
[0022]图7为本申请实施例提供的一种电子设备结构示意图。
具体实施方式
[0023]为了使本申请的目的、技术方案和优点更加清楚，下面将结合附图，对本申请的实施例的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员所获得的所有其他实施例，都属于本申请保护的范围。
[0024]本申请实施例提供了一种漏洞检测方法、装置、设备及介质，该方法中接收漏洞检测的指令，获取待检测网站的统一资源定位符URL和目标漏洞检测类型，根据预先保存的漏洞检测类型对应的每个第一预设关键词的输入数据，及服务器基于URL返回的网页信息，获
取服务器反馈的是否能够正常跳转的第一反馈数据包，根据第一反馈数据包中携带的目标漏洞检测类型对应的第一预设关键词和第二预设关键词对应的第一数据对URL中的对应参数进行修改，将修改后的URL发送给服务器，接收服务器返回的第二反馈数据包，若第二反馈数据包中包含的是否能够进行正常页面跳转的标识与预设标识一致，则确定该URL存在漏洞，否则确定该URL不存在漏洞。由于在本申请实施例中，接收服务器反馈的第一反馈数据包，并根据第一反馈数据包中携带的目标漏洞检测类型对应的第一预设关键词和第二预设关键词对应的第一数据对URL中的对应参数进行修改，从而重新构造一个新的URL并发送给服务器，接收服务器返回的第二反馈数据包，并判断第二反馈数据包中包含的是否能够进行正常页面跳转的标识与预设标识是否一致，确定服务器是否能够成功处理重新构造的URL，以此判断接收到的URL是否存在漏洞，从而准确的完成对接收到的URL业务逻辑的漏洞的检测。
[0025]实施例1：
[0026]图1为本申请实施例提供的漏洞检测过程示意图，该过程具体包括以下步骤：
...

【技术保护点】

【技术特征摘要】
1.一种漏洞检测方法，其特征在于，所述方法包括：接收漏洞检测的指令，获取待检测网站的统一资源定位符URL和目标漏洞检测类型；根据预先保存的漏洞检测类型对应的每个第一预设关键词的输入数据，及服务器基于所述URL返回的网页信息，获取所述服务器反馈的是否能够正常跳转的第一反馈数据包，根据所述第一反馈数据包中携带的所述目标漏洞检测类型对应的第一预设关键词和第二预设关键词对应的第一数据对所述URL中的对应参数进行修改；将修改后的URL发送给所述服务器；接收所述服务器返回的第二反馈数据包，若所述第二反馈数据包中包含的是否能够进行正常页面跳转的标识与预设标识一致，则确定所述URL存在漏洞，否则确定所述URL不存在漏洞。2.如权利要求1所述的方法，其特征在于，所述接收漏洞检测的指令之后，所述获取所述服务器反馈的是否能够正常跳转的第一反馈数据包之前，所述方法还包括：若确定所述URL合法，判断所述URL对应的网页中是否存在子URL；若否，针对所述URL进行后续的获取所述服务器反馈的是否能够正常跳转的第一反馈数据包的步骤；若是，根据预设的每个关键词及所述子URL对应的网页信息，若确定所述子URL对应的网页信息中包含的目标关键词，将所述子URL更新为所述URL，并采用所述目标关键词对应的漏洞检测类型对所述目标漏洞检测类型进行更新，针对更新后的URL及目标漏洞检测类型进行后续的获取所述服务器反馈的是否能够正常跳转的第一反馈数据包的步骤。3.如权利要求1所述的方法，其特征在于，所述根据预先保存的漏洞检测类型对应的每个第一预设关键词的输入数据，及服务器基于所述URL返回的网页信息，获取所述服务器反馈的网页是否能够正常跳转的第一反馈数据包包括：将所述URL发送给所述服务器，接收所述服务器返回的所述URL的网页信息；根据所述网页信息中待输入信息的名称，及所述目标漏洞检测类型对应的每个第一预设关键词对应的输入数据，将所述输入数据写入所述网页信息；将写入输入数据的网页信息发送给所述服务器，并接收所述服务器反馈的网页是否能够正常跳转的第一反馈数据包。4.如权利要求1所述的方法，其特征在于，所述获取所述服务器反馈的是否能够正常跳转的第一反馈数据包之后，所述根据所述第一反馈数据包中携带的所述目标漏洞检测类型对应的预设关键词对应的数据对所述URL中的对应参数进行修改之前，所述方法包括：判断所述第一反馈数据包中携带的数据是否为编码后的数据，若是，对所述编码后的数据进行解码获取原始数据，使用所述原始数据进行后续修改URL中对应参数的操作；若否，则继续进行后续修改URL中对应参数的操作。5.如权利要求1所述的方法，其特征在于，所述若所述第二反馈数据包中包含的是否能够进行正常页面跳转的标识与预设标识一致之后，确定所述URL存在漏洞之前，所述方法还包括：在所述第二反馈数据包中查找所述第一预设关键词和所述第二预设关键词对应的第二数据，若所述第二数据与所述第一数据一致，则进行后续的确定所述URL存在漏洞的步骤。
6.如权利要求5所述的方法，其特征在于，所述方法还包括：若所述第二数据与所述第一数据不一致，则确定所述URL不存在漏洞。7.如权利要求1所述的方法，其特征在于，所述获取待检测网站的统一资源定位符URL和目标漏洞检测类型包括：将所述指令中携带的统一资源定位符URL和漏洞检测类型，作为获取到的待检测网站的URL和目标漏洞检测类型；或读取配置文件中保存的URL和漏洞检测类型，将读取到...

【专利技术属性】
技术研发人员：刘紫千，常力元，孙福兴，李金伟，余启明，顾庆崴，陈林，刘长波，
申请(专利权)人：天翼安全科技有限公司，
类型：发明
国别省市：