【技术实现步骤摘要】
一种漏洞检测方法、装置、设备及介质
[0001]本申请涉及网络安全
,尤其涉及一种漏洞检测方法、装置、设备及介质。
技术介绍
[0002]由于网站程序业务功能一般都比较复杂且普通程序员的安全意识缺乏,很多网站都存在着漏洞,并且网络安全领域也是各行各业关注的重点,因此对漏洞检测尤为重要。
[0003]目前对于网站的漏洞检测方法只能针对跨站脚本攻击、结构化查询语言(Structured Query Language,SQL)注入等类型的漏洞进行检测,忽略了业务逻辑造成的漏洞,业务逻辑漏洞指的是攻击者利用业务/功能上的设计缺陷,获取敏感信息或破坏业务的完整性,一般出现在密码找回和在线支付等安全页面,常见的漏洞检测方法对这种基于业务逻辑的漏洞检测准确率不高。
技术实现思路
[0004]本申请实施提供一种漏洞检测方法、装置、设备及介质,用以解决现有技术中针对业务逻辑的漏洞检测准确率不高的问题。
[0005]第一方面,本申请提供了一种漏洞检测方法,所述方法包括:
[0006]接收漏洞检测的指令,获取待检测网站的统一资源定位符URL和目标漏洞检测类型;
[0007]根据预先保存的漏洞检测类型对应的每个第一预设关键词的输入数据,及服务器基于所述URL返回的网页信息,获取所述服务器反馈的是否能够正常跳转的第一反馈数据包,根据所述第一反馈数据包中携带的所述目标漏洞检测类型对应的第一预设关键词和第二预设关键词对应的第一数据对所述URL中的对应参数进行修改;将修改后的URL发送给所述服务
【技术保护点】
【技术特征摘要】
1.一种漏洞检测方法,其特征在于,所述方法包括:接收漏洞检测的指令,获取待检测网站的统一资源定位符URL和目标漏洞检测类型;根据预先保存的漏洞检测类型对应的每个第一预设关键词的输入数据,及服务器基于所述URL返回的网页信息,获取所述服务器反馈的是否能够正常跳转的第一反馈数据包,根据所述第一反馈数据包中携带的所述目标漏洞检测类型对应的第一预设关键词和第二预设关键词对应的第一数据对所述URL中的对应参数进行修改;将修改后的URL发送给所述服务器;接收所述服务器返回的第二反馈数据包,若所述第二反馈数据包中包含的是否能够进行正常页面跳转的标识与预设标识一致,则确定所述URL存在漏洞,否则确定所述URL不存在漏洞。2.如权利要求1所述的方法,其特征在于,所述接收漏洞检测的指令之后,所述获取所述服务器反馈的是否能够正常跳转的第一反馈数据包之前,所述方法还包括:若确定所述URL合法,判断所述URL对应的网页中是否存在子URL;若否,针对所述URL进行后续的获取所述服务器反馈的是否能够正常跳转的第一反馈数据包的步骤;若是,根据预设的每个关键词及所述子URL对应的网页信息,若确定所述子URL对应的网页信息中包含的目标关键词,将所述子URL更新为所述URL,并采用所述目标关键词对应的漏洞检测类型对所述目标漏洞检测类型进行更新,针对更新后的URL及目标漏洞检测类型进行后续的获取所述服务器反馈的是否能够正常跳转的第一反馈数据包的步骤。3.如权利要求1所述的方法,其特征在于,所述根据预先保存的漏洞检测类型对应的每个第一预设关键词的输入数据,及服务器基于所述URL返回的网页信息,获取所述服务器反馈的网页是否能够正常跳转的第一反馈数据包包括:将所述URL发送给所述服务器,接收所述服务器返回的所述URL的网页信息;根据所述网页信息中待输入信息的名称,及所述目标漏洞检测类型对应的每个第一预设关键词对应的输入数据,将所述输入数据写入所述网页信息;将写入输入数据的网页信息发送给所述服务器,并接收所述服务器反馈的网页是否能够正常跳转的第一反馈数据包。4.如权利要求1所述的方法,其特征在于,所述获取所述服务器反馈的是否能够正常跳转的第一反馈数据包之后,所述根据所述第一反馈数据包中携带的所述目标漏洞检测类型对应的预设关键词对应的数据对所述URL中的对应参数进行修改之前,所述方法包括:判断所述第一反馈数据包中携带的数据是否为编码后的数据,若是,对所述编码后的数据进行解码获取原始数据,使用所述原始数据进行后续修改URL中对应参数的操作;若否,则继续进行后续修改URL中对应参数的操作。5.如权利要求1所述的方法,其特征在于,所述若所述第二反馈数据包中包含的是否能够进行正常页面跳转的标识与预设标识一致之后,确定所述URL存在漏洞之前,所述方法还包括:在所述第二反馈数据包中查找所述第一预设关键词和所述第二预设关键词对应的第二数据,若所述第二数据与所述第一数据一致,则进行后续的确定所述URL存在漏洞的步骤。
6.如权利要求5所述的方法,其特征在于,所述方法还包括:若所述第二数据与所述第一数据不一致,则确定所述URL不存在漏洞。7.如权利要求1所述的方法,其特征在于,所述获取待检测网站的统一资源定位符URL和目标漏洞检测类型包括:将所述指令中携带的统一资源定位符URL和漏洞检测类型,作为获取到的待检测网站的URL和目标漏洞检测类型;或读取配置文件中保存的URL和漏洞检测类型,将读取到...
【专利技术属性】
技术研发人员:刘紫千,常力元,孙福兴,李金伟,余启明,顾庆崴,陈林,刘长波,
申请(专利权)人:天翼安全科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。