本发明专利技术公开了一种网站漏洞在线验证方法及装置。本发明专利技术实施例通过获取网站的漏洞网址,构造漏洞检测网址;加载所述漏洞检测网址以获取响应信息;提取并显示所述响应信息以验证所述网站漏洞,使得可以验证漏洞是否真实存在,使得不懂网站安全的用户不会怀疑这些漏洞的存在,提高用户体验。本发明专利技术实施例适于进行漏洞在线演示时采用。
【技术实现步骤摘要】
一种网站漏洞在线验证方法及装置
本专利技术涉及互联网
,尤其涉及一种网站漏洞在线验证方法及装置。
技术介绍
漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。漏洞扫描是指基于漏洞数据库,通过扫描等手段对指定的计算机系统或者网站等的安全脆弱性进行检测,发现可利用的漏洞的一种安全检测或者渗透攻击的行为。现有技术中,漏洞扫描平台对网站进行扫描时,每天都能扫描出来大量的网站漏洞,并在网站漏洞显示页面上显示某个网站存在漏洞,一般会在网站漏洞显示页面现实存在漏洞的链接。然而,网站漏洞显示页面仅指出了某个网站存在漏洞,无法通过链接很好的验证漏洞是否真实存在,因此不懂网站安全的用户可能以为这些漏洞是误报。
技术实现思路
鉴于上述问题,提出了本专利技术以便提供一种克服上述问题或者至少部分地解决上述问题的一种网站漏洞在线验证方法及装置。依据本专利技术的一个方面,提供了一种网站漏洞在线验证方法,包括:获取网站的漏洞网址,构造漏洞检测网址;加载所述漏洞检测网址以获取响应信息;提取并显示所述响应信息以验证所述网站漏洞。可选的,所述获取网站的漏洞网址,包括:对所述网站进行漏洞扫描,获取所述网站存在漏洞的网址。所述构造漏洞检测网址,包括:根据所述网站漏洞的类型构造所述漏洞检测网址。可选的,所述根据网站漏洞的类型构造所述漏洞检测网址,包括:若所述漏洞为信息泄露类漏洞,则根据存在漏洞的网站的网址以及所述漏洞对应的漏洞测试串,构造所述漏洞检测网址,所述漏洞测试串为用于检测漏洞是否存在的字符串。可选的,所述根据网站漏洞的类型构造所述漏洞检测网址,包括:若所述漏洞为SQL注入漏洞,则直接采用漏洞网址作为漏洞检测网址。可选的,所述根据网站漏洞的类型构造所述漏洞检测网址,包括:若所述漏洞为跨站漏洞,则直接采用漏洞网址作为漏洞检测网址,并构造表单及所需参数,提交至所述漏洞检测网址。可选的,所述构造漏洞检测网址,包括:从漏洞库中提取漏洞测试串构造所述漏洞检测网址,所述漏洞库至少包括HTTP请求方法、漏洞测试串、漏洞测试表单及漏洞存在证明。依据本专利技术的一个方面,提供了一种网站漏洞在线验证装置,包括:获取单元,用于获取网站的漏洞网址;构造单元,用于根据获取的所述漏洞网址,构造漏洞检测网址;加载单元,用于加载所述漏洞检测网址以获取响应信息;显示单元,用于提取并显示所述响应信息以验证所述网站漏洞。可选的,所述获取单元,用于:对所述网站进行漏洞扫描,获取所述网站存在漏洞的网址。可选的,所述构造单元,用于:根据所述网站漏洞的类型构造所述漏洞检测网址。可选的,所述构造单元,包括:第一构造模块,用于若所述漏洞为信息泄露类漏洞,则根据存在漏洞的网站的网址以及所述漏洞对应的漏洞测试串,构造所述漏洞检测网址,所述漏洞测试串为用于检测漏洞是否存在的字符串。可选的,所述构造单元,包括:第二构造模块,用于若所述漏洞为SQL注入漏洞,则直接采用漏洞网址作为漏洞检测网址。可选的,所述构造单元,包括:第三构造模块,用于若所述漏洞为跨站漏洞,则直接采用漏洞网址作为漏洞检测网址,并构造表单及所需参数,提交至所述漏洞检测网址。可选的,所述构造单元,用于:从漏洞库中提取漏洞测试串构造所述漏洞检测网址,所述漏洞库至少包括HTTP请求方法、漏洞测试串、漏洞测试表单及漏洞存在证明。本专利技术实施例提供一种网站漏洞在线验证方法及装置,通过获取网站的漏洞网址,构造漏洞检测网址;加载所述漏洞检测网址以获取响应信息;提取并显示所述响应信息以验证所述网站漏洞。与现有技术中网站漏洞显示页面仅指出了某个网站存在漏洞,无法通过链接很好的验证漏洞是否真实存在,因此不懂网站安全的用户可能以为这些漏洞是误报相比,本专利技术实施例通过构造漏洞检测网址对漏洞进行检测,可以验证漏洞是否真实存在,使得不懂网站安全的用户不会怀疑这些漏洞的存在,提高用户体验。上述说明仅是本专利技术技术方案的概述,为了能够更清楚了解本专利技术的技术手段,而可依照说明书的内容予以实施,并且为了让本专利技术的上述和其它目的、特征和优点能够更明显易懂,以下特举本专利技术的【具体实施方式】。【附图说明】通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本专利技术的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:图1为本专利技术实施例提供的一种漏洞在线演示的方法的流程图;图2为本专利技术实施例提供的漏洞扫描结果展示页面示意图;图3为本专利技术实施例提供的漏洞详情展示页面示意图;图4为本专利技术实施例提供的结果页面示意图;图5为本专利技术实施例提供的另一种漏洞在线演示的方法的流程图;图6为本专利技术实施例提供的一种漏洞在线演示的装置的框图;图7为本专利技术实施例提供的另一种漏洞在线演示的装置的框图。【具体实施方式】下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。本专利技术实施例提供一种漏洞在线演示的方法,该方法的执行主体可以为服务器,如图1所示,该方法包括:步骤101,获取网站的漏洞网址,构造漏洞检测网址。可选的,通过对网站进行漏洞扫描,发现漏洞后,获取存在漏洞的网站的网址。网站的网址可以为统一资源定位符(Uniform Resource Locator, URL),但本专利技术不限定网站的网址为URL,还可以为包括任何标识网站网址的方式。可选的,可以通过网络爬虫获取网站的网址,S卩,网络爬虫从网站所在的网站服务器抓取网址。本步骤包括:根据所述网站漏洞的类型构造所述漏洞检测网址;或者,从漏洞库中提取漏洞测试串构造所述漏洞检测网址,所述漏洞库至少包括HTTP请求方法、漏洞测试串、漏洞测试表单及漏洞存在证明。步骤102,加载所述漏洞检测网址以获取响应信息。本步骤包括:进入前台漏洞扫描后获得的漏洞扫描结果展示页面,这个漏洞扫描结果展示页面中包括网站的所有的漏洞信息。如图2所示漏洞扫描结果展示页面示意图,包括存在漏洞页面以及漏洞名称,其中存在漏洞页面为http://bbs.webscan.360.cn/对应的页面,漏洞名称为Flash配置不当漏洞,其后面还包括漏洞详情图标。可选的,漏洞详情图标可以设置为各种方式,例如,漏洞详情图标为包括“漏洞详情”字样的图标,或者漏洞详情图标为包括图案的图标,在此不限定漏洞详情图标的显示方式。进一步的,当接收到用户通过点击所述漏洞扫描结果展示页面中的漏洞详情图标的操作后,进入漏洞详情展示页面。可选的,如图3所示,当点击漏洞详情图标之后,显示漏洞详情展示页面。漏洞详情展示页面包括漏洞的详细情况,例如漏洞上线时间、漏洞名称、漏洞类型、漏洞证据、漏洞地址等等。在漏洞详情展示页面下方包括漏洞演示图标,例如,漏洞演示图标可以为包括“点这里跳转,进行漏洞演示”字样的图标,或者,漏洞演示图标为包括“漏洞演示”字样的图标,或者,漏洞演示图标还可以为仅包括图案的图标,需要说明的是,漏洞演示图标还可以为其他样式的图标,本文档来自技高网...
【技术保护点】
一种网站漏洞在线验证方法,其包括:获取网站的漏洞网址,构造漏洞检测网址;加载所述漏洞检测网址以获取响应信息;提取并显示所述响应信息以验证所述网站漏洞。
【技术特征摘要】
1.一种网站漏洞在线验证方法,其包括:获取网站的漏洞网址,构造漏洞检测网址;加载所述漏洞检测网址以获取响应信息;提取并显示所述响应信息以验证所述网站漏洞。2.根据权利要求1所述的方法,包括:所述获取网站的漏洞网址,包括:对所述网站进行漏洞扫描,获取所述网站存在漏洞的网址。3.根据权利要求1所述的方法,所述构造漏洞检测网址,包括:根据所述网站漏洞的类型构造所述漏洞检测网址。4.根据权利要求3所述的方法,所述根据网站漏洞的类型构造所述漏洞检测网址,包括:若所述漏洞为信息泄露类漏洞,则根据存在漏洞的网站的网址以及所述漏洞对应的漏洞测试串,构造所述漏洞检测网址,所述漏洞测试串为用于检测漏洞是否存在的字符串。5.根据权利要求3所述的方法,所述根据网站漏洞的类型构造所述漏洞检测网址,包括:若所述漏洞为SQL注入漏洞,则直接采用漏洞网址作为漏洞检测网址。6.根据权利要求3所述的方法...
【专利技术属性】
技术研发人员:龙专,苏兵社,
申请(专利权)人:北京奇虎科技有限公司,奇智软件北京有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。