网站漏洞检测方法和系统的制作方法
【技术领域】
[0001]本发明涉及网络安全技术领域,具体而言,涉及一种网站漏洞检测方法和一种网站漏洞检测系统。
【背景技术】
[0002]在网络数据的传送过程中,部分网关只允许传输ASCII字符,即一个8位字节的低7位,Base64编码方式则能够对大多数数据进行编码来实现ASCII字符转换和传输。Base64是一种用于传输SBit字节代码的编码方式,具体可用于在HTTP (超文本传送协议)环境下传递较长的标识信息。例如,在Java Persistence系统Hibernate中,可以采用Base64将一个较长的唯一标识符编码为一个字符串,用作HTTP表单和HTTP GET URL中的参数。
[0003]在应用程序中,Base64可以把二进制数据编码为适合放在URL中的形式,经过Base64编码的链接具有不可读性,即所编码的数据不会被人用肉眼所直接看到。这种编码方式起到了一定的加密作用,但是由于Base64所基于的MIME协议等用于发送Email的协议,旨在解决的是如何收发Email,而并不是如何安全的收发Email。所以对Base64进行编码的链接进行非法操作相对容易并且泛滥,因此急需一种对Base64编码链接的漏洞检测方法。
【发明内容】
[0004]本发明所要解决的技术问题是,如何对Base64编码链接进行漏洞检测,以提高链接所属网站的安全性。
[0005]为此目的,本发明提出了一种网站漏洞检测方法,包括:
[0006]获取待检测的网站链接,其中,所述网站链接为Base64编码格式;
[0007]针对所述网站链接进行解码,识别所述网站链接中的参数;
[0008]在所述网站链接的所述参数中添加测试字符串形成测试链接;
[0009]对所述测试链接进行Base64编码形成编码测试链接;
[0010]根据所述编码测试链接检测所述网站是否存在漏洞。
[0011 ] 优选地,所述获取待检测的网站链接包括:
[0012]确定待检测的网站,获取所述网站中待检测的网站链接;
[0013]判断所述网站链接的长度是否大于预设长度,以及所述网站链接中是否存在第一预设字符;
[0014]若所述网站链接的长度大于预设长度,且所述网站链接中不存在第一预设字符,则判定所述网站链接为疑似链接,
[0015]其中,在判定所述网站链接为疑似链接后,对所述疑似链接进行解码。
[0016]优选地,所述获取待检测的网站链接包括:
[0017]确定待检测的网站,获取所述网站中待检测的网站链接;
[0018]判断所述网站链接中有效字符的数目是否为4的倍数,以及所述网站链接的末尾是否包含预设数目的第二预设字符;
[0019]若所述网站链接中有效字符的数目为4的倍数,且所述网站链接的末尾包含预设数目的第二预设字符,则判定所述网站链接为疑似链接,
[0020]其中,在判定所述网站链接为疑似链接后,对所述疑似链接进行解码。
[0021]优选地,所述获取待检测的网站链接还包括:
[0022]判断解码后的链接中是否存在第一预设字符;
[0023]若解码后的链接中存在第一预设字符,则将解码后的链接作为所述网站链接。
[0024]优选地,所述在所述链接的所述参数中添加测试字符串形成测试链接包括:
[0025]获取所述参数的属性信息;
[0026]查询预设数据库,以获取与所述属性信息相对应的测试字符串;
[0027]在所述网站链接的每个参数中,分别添加与其属性信息相对应的测试字符串,以分别形成测试链接。
[0028]本发明还提出了一种网站漏洞检测系统,包括
[0029]获取单元,用于获取待检测的网站链接,其中,所述网站链接为Base64编码格式;
[0030]解码单元,用于对所述网站链接进行解码,识别所述网站链接中的参数;
[0031]添加单元,用于在所述网站链接的所述参数中添加测试字符串形成测试链接;
[0032]编码单元,用于对所述测试链接进行Base64编码形成编码测试链接;
[0033]检测单元,用于根据所述编码测试链接检测所述网站是否存在漏洞。
[0034]优选地,所述获取单元包括:
[0035]获取子单元,用于确定待检测的网站,获取所述网站中待检测的网站链接;
[0036]第一判断子单元,用于判断所述网站链接的长度是否大于预设长度,以及所述网站链接中是否存在第一预设字符,若所述网站链接的长度大于预设长度,且所述网站链接中不存在第一预设字符,则判定所述网站链接为疑似链接,
[0037]其中,所述解码单元在所述第一判断子单元判定所述网站链接为疑似链接后,对所述疑似链接进行解码。
[0038]优选地,所述获取单元包括:
[0039]获取子单元,用于确定待检测的网站,获取所述网站中待检测的网站链接;
[0040]第二判断子单元,用于判断所述网站链接中有效字符的数目是否为4的倍数,以及所述网站链接的末尾是否包含预设数目的第二预设字符,若所述网站链接中有效字符的数目为4的倍数,且所述网站链接的末尾包含预设数目的第二预设字符,则判定所述网站链接为疑似链接,
[0041]其中,所述解码单元在所述第二判断子单元判定所述网站链接为疑似链接后,对所述疑似链接进行解码。
[0042]优选地,所述获取单元还包括:
[0043]第三判断子单元,用于判断解码后的链接中是否存在第一预设符,若解码后的链接中存在第一预设字符,则将解码后的链接作为所述网站链接。
[0044]优选地,还包括:预设数据库,用于存储所述属性信息与所述测试字符串的关联关系,
[0045]其中,所述添加单元包括:
[0046]属性子单元,用于获取所述参数的属性信息;
[0047]查询子单元,用于查询所述预设数据库,以获取与所述属性信息相对应的测试字符串;
[0048]添加子单元,在所述网站链接的每个参数中分别添加与其属性信息相对应的测试字符串,以分别形成测试链接。
[0049]相较于现有技术,本发明至少具有如下优点:
[0050]1、能够对Base64编码链接所在网站进行检测,实现了对Base64编码链接中参数的精准查询,以及完整地构造Base64编码形式的测试链接进行测试,准确地判断网站是否中是否存在漏洞,提高了网站的安全性。
[0051]2、通过先判定疑似链接,再对疑似链接进行解码,可以有效地避免对非Base编码的链接进行解码,从而减少解码操作次数,节约了系统资源。
[0052]3、根据网站链接的长度是否大于预设长度,以及网站链接中是否存在第一预设字符来判定疑似链接,只需对链接的长度和其中所包含的字符进行检测,无需对链接进行具体解析操作,能够快速地实现疑似链接的判定。
[0053]4、根据网站链接中有效字符的数目为4的倍数,以及网站链接的末尾包含预设数目的第二预设字符来判定疑似链接,可以准确判定Base编码的具体格式的链接,从而准确地判定疑似链接。
[0054]5、通过为链接中具有不同属性的参数添加相应的测试字符串形成测试链接,可以更具有针对性地构造每个测试链接,根据每个不同的测试链接分别对网站进行检测,能够提高对网站漏洞更加全面地检测,提高网站漏洞检测结果的准确度。
【附图说明】
[0055]通过参考附图会更加清楚的理解本发明的特征和优点,附图是示意性的而不应理解为对本发明进行任何限制,在附图中:
[0056]图1示出了根据本发明一个实施例的网站漏洞检测方法的示意流程图;
[0057]图2示出了根据本发明一个实施例的判定疑似链接的示意流程图;
[0058]图3示出了根据本发明又一个实施例的判定疑似链接的示意流程图;
[0059]图4示出了根据本发明一个实施例的添加测试字符串的示意流程图;
[0060]图5A示出了根据本发明一个实