漏洞扫描方法以及装置与流程

1.本说明书实施例涉及计算机技术领域，特别涉及一种漏洞扫描方法。本说明书一个或者多个实施例同时涉及一种漏洞扫描装置，一种计算设备，一种计算机可读存储介质以及一种计算机程序。


背景技术：

2.随着计算机技术的不断发展，越来越多的计算机技术应用在网络安全领域中，网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统实现连续可靠正常地运行，网络服务不中断。为了维护网络安全，需要对网络系统中存在的漏洞进行扫描。
3.漏洞扫描是指基于漏洞数据库，通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测，发现可利用漏洞的一种安全检测行为，是保证信息安全，工作顺利开展的奠基石。因此，亟需一种准确的漏洞扫描方案。


技术实现要素：

4.有鉴于此，本说明书实施例提供了一种漏洞扫描方法。本说明书一个或者多个实施例同时涉及一种漏洞扫描装置，一种计算设备，一种计算机可读存储介质以及一种计算机程序，以解决现有技术中存在的技术缺陷。
5.根据本说明书实施例的第一方面，提供了一种漏洞扫描方法，包括：获取目标网页的页面数据，根据页面数据构建第一数据表，并从目标代码库中获取代码数据，根据代码数据构建第二数据表；根据目标网页和目标代码库的对应关系，基于第一数据表和第二数据表，生成目标数据表；对目标数据表进行漏洞扫描，获得漏洞扫描结果。
6.可选地，获取目标网页的页面数据，根据页面数据构建第一数据表的步骤，包括：获取目标网页的域名信息；根据域名信息，利用预设工具获取目标网页的页面数据，并对页面数据进行分析，获得页面数据的第一接口信息和第一参数信息；将域名信息、第一接口信息和第一参数信息存储至第一数据表中。
7.可选地，从目标代码库中获取代码数据，根据代码数据构建第二数据表的步骤，包括：获取目标代码库的代码库地址信息；根据代码库地址信息，提取目标代码库中的代码数据，对代码数据进行解析，获得代码数据中的指定代码段；提取指定代码段对应的第二接口信息和第二参数信息；将代码库地址信息、第二接口信息和第二参数信息存储至第二数据表中。
8.可选地，第一数据表中记录有第一接口信息，第二数据表中记录有第二接口信息；根据目标网页和目标代码库的对应关系，基于第一数据表和第二数据表，生成目标数据表的步骤，包括：对比第一接口信息和第二接口信息，在第一接口信息和第二接口信息相同的情况下，合并第一数据表和所第二数据表，生成目标数据表。
9.可选地，合并第一数据表和第二数据表，生成目标数据表的步骤，包括：对第一数据表和第二数据表取并集，生成目标数据表。
10.可选地，对目标数据表进行漏洞扫描，获得漏洞扫描结果的步骤，包括：根据目标数据表中记录的各信息，生成扫描请求；将扫描请求发送至模拟运行端，以使模拟运行端基于扫描请求进行模拟运行；接收模拟运行端反馈的运行结果，根据运行结果确定漏洞扫描结果。
11.根据本说明书实施例的第二方面，提供了一种漏洞扫描装置，包括：构建模块，被配置为获取目标网页的页面数据，根据页面数据构建第一数据表，并从目标代码库中获取代码数据，根据代码数据构建第二数据表；生成模块，被配置为根据目标网页和目标代码库的对应关系，基于第一数据表和第二数据表，生成目标数据表；获得模块，被配置为对目标数据表进行漏洞扫描，获得漏洞扫描结果。
12.可选地，构建模块，进一步被配置为获取目标网页的域名信息；根据域名信息，利用预设工具获取目标网页的页面数据，并对页面数据进行分析，获得页面数据的第一接口信息和第一参数信息；将域名信息、第一接口信息和第一参数信息存储至第一数据表中。
13.可选地，构建模块，进一步被配置为获取目标代码库的代码库地址信息；根据代码库地址信息，提取目标代码库中的代码数据，对代码数据进行解析，获得代码数据中的指定代码段；提取指定代码段对应的第二接口信息和第二参数信息；将代码库地址信息、第二接口信息和第二参数信息存储至第二数据表中。
14.可选地，第一数据表中记录有第一接口信息，第二数据表中记录有第二接口信息；生成模块，进一步被配置为对比第一接口信息和第二接口信息，在第一接口信息和第二接口信息相同的情况下，合并第一数据表和所第二数据表，生成目标数据表。
15.可选地，生成模块，进一步被配置为对第一数据表和第二数据表取并集，生成目标数据表。
16.可选地，获得模块，进一步被配置为根据目标数据表中记录的各信息，生成扫描请求；将扫描请求发送至模拟运行端，以使模拟运行端基于扫描请求进行模拟运行；接收模拟运行端反馈的运行结果，根据运行结果确定漏洞扫描结果。
17.根据本说明书实施例的第三方面，提供了一种计算设备，包括：存储器和处理器；所述存储器用于存储计算机可执行指令，所述处理器用于执行所述计算机可执行指令，以实现下述方法：获取目标网页的页面数据，根据页面数据构建第一数据表，并从目标代码库中获取代码数据，根据代码数据构建第二数据表；根据目标网页和目标代码库的对应关系，基于第一数据表和第二数据表，生成目
标数据表；对目标数据表进行漏洞扫描，获得漏洞扫描结果。
18.根据本说明书实施例的第四方面，提供了一种计算机可读存储介质，其存储有计算机可执行指令，该指令被处理器执行时实现任意一项所述漏洞扫描方法的步骤。
19.根据本说明书实施例的第五方面，提供了一种计算机程序，其中，当所述计算机程序在计算机中执行时，令计算机执行上述漏洞扫描方法的步骤。
20.本说明书一个实施例通过获取目标网页的页面数据，根据页面数据构建第一数据表，并从目标代码库中获取代码数据，根据代码数据构建第二数据表，根据目标网页和目标代码库的对应关系，基于第一数据表和第二数据表，生成目标数据表，对目标数据表进行漏洞扫描，获得漏洞扫描结果。通过根据目标网页的页面数据构建第一数据表，根据目标代码库中的代码数据构建第二数据表，基于第一数据表和第二数据表，生成目标数据表，覆盖了页面数据和代码数据的所有参数，增大了漏洞扫描范围、进一步提高了漏洞扫描结果的准确性。
附图说明
21.图1是本说明书一个实施例提供的一种一种漏洞扫描方法的流程图；图2是本说明书一个实施例提供的另一种漏洞扫描方法的处理过程流程图；图3是本说明书一个实施例提供的一种漏洞扫描装置的结构示意图；图4是本说明书一个实施例提供的一种计算设备的结构框图。
具体实施方式
22.在下面的描述中阐述了很多具体细节以便于充分理解本说明书。但是本说明书能够以很多不同于在此描述的其它方式来实施，本领域技术人员可以在不违背本说明书内涵的情况下做类似推广，因此本说明书不受下面公开的具体实施的限制。
23.在本说明书一个或多个实施例中使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本说明书一个或多个实施例。在本说明书一个或多个实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本说明书一个或多个实施例中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
24.应当理解，尽管在本说明书一个或多个实施例中可能采用术语第一、第二等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本说明书一个或多个实施例范围的情况下，第一也可以被称为第二，类似地，第二也可以被称为第一。取决于语境，如在此所使用的词语“如果”可以被解释成为“在
……
时”或“当
……
时”或“响应于确定”。
25.首先，对本说明书一个或多个实施例涉及的名词术语进行解释。
26.漏洞扫描：漏洞扫描是指基于漏洞数据库，通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测，发现可利用漏洞的一种安全检测（渗透攻击）行为。
27.扫描器：扫描器是一类自动检测本地或远程主机安全弱点的程序，它能够快速的准确的发现扫描目标存在的漏洞并提供给使用者扫描结果。
28.代码库：代码库提供了一种将代码封装在单个文件中、允许继承和修改这些文件并允许分发离散的功能单元的可移植方法。可以将来自多个不同项目的组件合并到一个代码库中。例如，可以从一个项目中选择一个自定义控件，从另一个项目中选择一个组件，再从其他项目中选择一个窗体，然后将它们放入代码库中。也可以为特殊目的自定义代码库。唯一的限制是单个代码库中的所有文件必须用同一种语言编写。
29.网页：网页是一个包含超文本标记语言（html，hyper text markup language）标签的纯文本文件，它可以存放在世界某个角落的某一台计算机中，是万维网中的一“页”，是超文本标记语言格式（标准通用标记语言的一个应用，文件扩展名为.html或.htm）。网页通常用图像档来提供图画。网页要通过网页浏览器来阅读。
30.域名：域名（domain name），又称网域，是由一串用点分隔的名字组成的internet上某一台计算机或计算机组的名称，用于在数据传输时对计算机的定位标识（有时也指地理位置）。
31.并集：给定两个集合a，b，把他们所有的元素合并在一起组成的集合，叫做集合a与集合b的并集，记作a∪b。例如，集合{1, 2, 3} 和 {2, 3, 4} 的并集是 {1, 2, 3, 4}。
32.应用程序编程接口：应用程序编程接口（api，application programming interface）是一些预先定义的接口，或指软件系统不同组成部分衔接的约定。用来提供应用程序与开发人员基于某软件或硬件得以访问的一组例程，而又无需访问源码，或理解内部工作机制的细节。
33.在本说明书中，提供了一种漏洞扫描方法，本说明书同时涉及一种漏洞扫描装置，一种计算设备，一种计算机可读存储介质，以及一种计算机程序，在下面的实施例中逐一进行详细说明。
34.随着计算机技术的不断发展，越来越多的计算机技术应用在网络安全领域中，网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统实现连续可靠正常地运行，网络服务不中断。为了维护网络安全，需要对网络系统中存在的漏洞进行扫描。漏洞扫描是指基于漏洞数据库，通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测，发现可利用漏洞的一种安全检测行为，是保证信息安全，工作顺利开展的奠基石。
35.实际应用中，对目标页面进行漏洞扫描时，可以获取该页面上所有的地址信息和参数信息，逐个替换各参数，进行漏洞扫描。但是这种漏洞扫描方法，扫描范围小，导致漏洞扫描结果不准确，为网络安全工作带来了些许障碍。
36.为了提高漏洞扫描结果的准确性，本说明书提供了一种漏洞扫描方法，通过获取目标网页的域名信息，根据域名信息，利用预设工具获取目标网页的页面数据，并对页面数据进行分析，获得页面数据的第一接口信息和第一参数信息，将域名信息、第一接口信息和第一参数信息存储至第一数据表中，获取目标代码库的代码库地址信息，根据代码库地址信息，提取目标代码库中的代码数据，对代码数据进行解析，获得代码数据中的指定代码段，提取指定代码段对应的第二接口信息和第二参数信息，将代码库地址信息、第二接口信息和第二参数信息存储至第二数据表中，对比第一接口信息和第二接口信息，在第一接口信息和第二接口信息相同的情况下，合并第一数据表和所第二数据表，生成目标数据表，根据目标数据表中记录的各信息，生成扫描请求，将扫描请求发送至模拟运行端，以使模拟运
行端基于扫描请求进行模拟运行，接收模拟运行端反馈的运行结果，根据运行结果确定漏洞扫描结果。实现了覆盖页面数据和代码数据的所有参数，增大了漏洞扫描范围、进一步提高了漏洞扫描结果的准确性。
37.图1示出了本说明书一个实施例提供的一种漏洞扫描方法的流程图，具体包括以下步骤：步骤102：获取目标网页的页面数据，根据页面数据构建第一数据表，并从目标代码库中获取代码数据，根据代码数据构建第二数据表。
38.具体地，目标网页是指需要进行漏洞扫描的网页，目标网页的页面数据包括目标网页的域名信息、文本信息、图片信息等等。第一数据表用来存储目标网页的页面数据，第二数据表用来存储目标代码库的代码数据。目标代码库是指目标网页对应的代码库。
39.需要说明的是，第一数据表和第二数据表的存储格式可以相同，在存储格式相同的情况下，可以将目标网页的页面数据和目标代码库中获取的代码数据进行合并，以覆盖前端页面数据和后端代码数据。前端是指网站前台部分，运行在pc端，移动端等浏览器上展现给用户浏览的网页，后端控制着前端的内容，主要负责程序设计架构思想，管理数据库等。
40.实际应用中，目标网页的页面数据的获取方式有很多种，一种可能的实现方式中，可以利用预设工具获取目标网页的页面数据，预设工具是指预先设置的可以获取目标页面的页面数据的工具，预设工具包括但不限于import.io、parsehub、 web scraper等等，具体根据实际情况进行选择，本说明书实施例对此不做任何限定。另一种可能的实现方式中，可以使用网站应用程序编程接口（api，application programming interface）获取目标网页的页面数据。
41.在一种可选的实施方式中，可以获取目标网页的域名信息，根据目标网页的域名信息找到对应的目标网页，获取目标网页的页面数据，其中，目标网页的页面数据包括该页面数据的第一接口信息和第一参数信息，也即上述获取目标网页的页面数据，根据页面数据构建第一数据表的步骤，可以包括如下步骤：获取目标网页的域名信息；根据域名信息，利用预设工具获取目标网页的页面数据，并对页面数据进行分析，获得页面数据的第一接口信息和第一参数信息；将域名信息、第一接口信息和第一参数信息存储至第一数据表中。
42.具体地，目标网页的域名信息是指目标网页的地址信息，一个域名信息对应于一个ip地址，在获取域名信息的情况下，根据域名信息，可以查找到该域名信息对应的目标网页。利用预设工具对该目标网页的页面数据进行获取，获取到目标页面的页面数据后，对页面数据进行分析，从页面数据中可以提取到第一接口信息和第一参数信息。
43.示例地，获取目标网页的域名信息为“www.test.com”，根据该域名信息，获取到目标网页的页面数据为如下所示的代码：《form action="/query" enctype="multipart/form-data" method="post"》dataid: 《input type="text" name="dataid"》《input type="submit"》《/form》
其中，“action”就是表单提交的地址，“action”属性后面的“=”表明当这个表单提交后,需要执行的动态web程序，表单是客户端和服务端进行数据交互的载体。
[0044]“enctype”属性是设置提交数据的格式，指定将数据回发到服务器时浏览器使用的编码类型。
[0045]“multipart/form-data”是指将数据编码成多用途互联网邮件扩展（mime，multipurpose internet mail extensions）报文，表单中的每个键值对都带有各自的内容类型和内容配置是上传二进制数据，该格式常用于文件上传功能。
[0046]“method="post"”是指当前表单中的数据用“post”方法传递。
[0047]“input type="text"”是指输入类型为文本类型，“input type="submit"”用在表单里面，表示的是普通的单击提交“submit”按钮，就是提交当前所在的表单。
[0048]
对上述页面数据进行分析，获得页面数据的第一接口名为“/query”，该接口的请求类型为“post”，页面数据的第一参数信息为“dataid”，将获得的域名信息、第一接口信息和第一参数信息存储至第一数据表中，构建得到第一数据表如下表1所示：表1
域名（domain）第一接口名（uri）第一参数（param）第一接口的请求类型（httpmethod）www.test.com/querydataidpost
应用本说明书实施例的方案，通过获取目标网页的域名信息，根据域名信息，利用预设工具获取目标网页的页面数据，并对页面数据进行分析，获得页面数据的第一接口信息和第一参数信息，将域名信息、第一接口信息和第一参数信息存储至第一数据表中，准确确定了目标网页，进一步提高了获取到域名信息、第一接口信息和第一参数信息的准确性。
[0049]
在另一种可选的实施方式中，可以获取目标代码库的代码库地址信息，根据目标代码库的代码库地址信息找到对应的目标代码库，从目标代码库中提取目标代码库中的代码数据，其中，目标代码库中的代码数据包括该代码数据的第二接口信息和第二参数信息，也即上述从目标代码库中获取代码数据，根据代码数据构建第二数据表的步骤，可以包括如下步骤：获取目标代码库的代码库地址信息；根据代码库地址信息，提取目标代码库中的代码数据，对代码数据进行解析，获得代码数据中的指定代码段；提取指定代码段对应的第二接口信息和第二参数信息；将代码库地址信息、第二接口信息和第二参数信息存储至第二数据表中。
[0050]
具体地，将获取到的目标网页的代码库地址作为上述目标代码库的代码库地址信息，在获取目标代码库的代码库地址信息的情况下，根据目标代码库的代码库地址信息，可以确定出该代码库地址信息对应的目标代码库，提取目标代码库中的代码数据，该代码数据即为目标网页的后端代码数据，利用解析工具对该目标代码库中的代码数据进行解析，获取代码数据中的指定代码段，在获得代码数据中的指定代码段之后，可以从指定代码段中提取到第二接口信息和第二参数信息。
[0051]
需要说明的是，解析工具是指可以对目标代码库中的代码数据进行解析的工具，解析工具包括但不限于checkstyle、pmd、findbugs等等，第二接口信息包括但不限于指定代码段对应的接口名、接口的请求类型，具体根据实际情况进行选择，本说明书实施例对此
不做任何限定。
[0052]
示例地，获取目标代码库的代码库地址信息为“git@xxx.com/test.git”，根据该目标代码库的代码库地址信息，获取到目标代码库中的代码数据，对代码数据进行解析，获得代码数据中的指定代码段为如下所示的代码：@controllerpublic class controller {@requestmapping(value = "/query", method = requestmethod.post)@responsebodypublic object vulsub(@requestparam("dataid") string dataid, @requestparam("roleid") string roleid) throws ioexception {if (roleid){query(roleid,dataid)}else{#先从登录态中获取roleid，再查询对应用户的数据}}其中，“@controller”：表明这个类是一个控制器类。“public class”用于定义类，其类名称必须与文件名称完全一致，上述代码中的文件名即为“controller”。
[0053]“@requestmapping”：可以为控制器指定处理请求哪些url请求，提供的映射信息确定请求所对应的处理方法。“@requestmapping”可以定义在类或方法上。需要说明的是，“@requestmapping”除了可以使用请求 url 映射请求外，还可以使用请求方法、请求参数及请求头映射请求。
[0054]
定义在类上：提供初步的请求映射信息。相对于 web 应用的根目录。
[0055]
定义在方法上：提供进一步的细分映射信息。相对于类定义处的url。若类定义处未标注“@requestmapping”，则方法处标记的 url 相对于web 应用的根目录。
[0056]“value”：指定请求的实际地址，指定的地址可以是uri template 模式。需要说明的是，value的uri值可以为以下三类：第一类，可以指定为普通的具体值；第二类：可以指定为含有某变量的一类值；第三类：可以指定为含正则表达式的一类值。
[0057]“method”:指定请求的method类型，如 get、post、put、delete等，“requestmethod.post”用于将 http post 请求映射到特定处理程序的方法注解。
[0058]“@responsebody”的作用其实是将java对象转为json格式的数据，“@responsebody”注解的作用是将controller的方法返回的对象通过适当的转换器转换为指定的格式之后，写入到response对象的body区，通常用来返回json数据或者是xml数据。
[0059]“@requestparam”用于将请求参数区数据映射到功能处理方法的参数上。
[0060]
对上述指定代码段进行分析，获得指定代码段对应的第二接口名为“/query”，该接口的请求类型为“post”，指定代码段对应的第二参数信息为[“dataid，roleid”]，将获得的代码库地址信息、第二接口信息和第二参数信息存储至第二数据表中，构建得到第二数据表如下表2所示：表2
代码库地址（repo）第二接口名（controler）第二参数（param）第二接口的请求类型（httpmethod）git@xxx.com/test.git/query[“dataid，roleid”]post
应用本说明书实施例的方案，通过获取目标代码库的代码库地址信息，根据代码库地址信息，提取目标代码库中的代码数据，对代码数据进行解析，获得代码数据中的指定代码段，提取指定代码段对应的第二接口信息和第二参数信息，将代码库地址信息、第二接口信息和第二参数信息存储至第二数据表中，准确确定了目标代码库，进一步提高了获取到代码库地址信息、第二接口信息和第二参数信息的准确性。
[0061]
步骤104：根据目标网页和目标代码库的对应关系，基于第一数据表和第二数据表，生成目标数据表。
[0062]
具体地，为了增大漏洞扫描范围，提高漏洞扫描结果的准确性，本说明书实施例中，在获取目标网页的页面数据，根据页面数据构建第一数据表，并从目标代码库中获取代码数据，根据代码数据构建第二数据表之后，还可以根据目标网页和目标代码库的对应关系，基于第一数据表和第二数据表，生成目标数据表。
[0063]
需要说明的是，目标网页和目标代码库的对应关系可以根据第一数据表和第二数据表中各信息进行确定，例如，对应关系可以根据第一数据表的接口信息和第二数据表中的接口信息确定，也可以根据其他有对应关系的参数进行确定，具体根据实际情况进行选择，本说明书实施例中对此不做任何限定。
[0064]
在一种可选的实施方式中，第一数据表中记录有第一接口信息，第二数据表中记录有第二接口信息，可以判断第一接口信息和第二接口信息是否相同，若第一接口信息和第二接口信息相同，则表示第一数据表对应的目标网页和第二数据表对应的目标数据库之间是对应的，可以基于第一数据表和第二数据表，生成目标数据表。也即，上述根据目标网页和目标代码库的对应关系，基于第一数据表和第二数据表，生成目标数据表的步骤，可以包括如下步骤：对比第一接口信息和第二接口信息，在第一接口信息和第二接口信息相同的情况下，合并第一数据表和所第二数据表，生成目标数据表。
[0065]
具体地，第一接口信息包括但不限于目标网页的接口名、接口的请求类型，第二接口信息包括但不限于指定代码段对应的接口名、接口的请求类型，具体根据实际情况进行选择，本说明书实施例对此不做任何限定。
[0066]
示例地，对页面数据进行分析，获得页面数据的第一接口名为“/query”，该接口的请求类型为“post”，页面数据的第一参数信息为“dataid”，将获得的域名信息、第一接口信息和第一参数信息存储至第一数据表中，构建得到第一数据表如下表3所示：表3
域名（domain）第一接口名（uri）第一参数（param）第一接口的请求类型（httpmethod）www.test.com/querydataidpost
对上述指定代码段进行分析，获得指定代码段对应的第二接口名为“/query”，该接口的请求类型为“post”，指定代码段对应的第二参数信息为[“dataid，roleid”]，将获得的代码库地址信息、第二接口信息和第二参数信息存储至第二数据表中，构建得到第二数据表如下表4所示：表4
代码库地址（repo）第二接口名（controler）第二参数（param）第二接口的请求类型（httpmethod）
git@xxx.com/test.git/query[“dataid，roleid”]post
由于第一数据表中的第一接口名为“/query”，第二数据表中的第二接口名为“/query”，对比可见，第一数据表中的第一接口名与第二数据表中的第二接口名相同，此时，合并第一数据表和第二数据表，生成目标数据表如下表5所示：表5
域名（domain）代码库地址（repo）接口名（uri）参数（param）接口的请求类型（httpmethod）www.test.comgit@xxx.com/test.git/query、/querydataid、[“dataid，roleid”]post、post
应用本说明书实施例的方案，通过获取目标网页的域名信息，根据域名信息，利用预设工具获取目标网页的页面数据，并对页面数据进行分析，获得页面数据的第一接口信息和第一参数信息，将域名信息、第一接口信息和第一参数信息存储至第一数据表中，获取目标代码库的代码库地址信息，根据代码库地址信息，提取目标代码库中的代码数据，对代码数据进行解析，获得代码数据中的指定代码段，提取指定代码段对应的第二接口信息和第二参数信息，将代码库地址信息、第二接口信息和第二参数信息存储至第二数据表中，对比第一接口信息和第二接口信息，在第一接口信息和第二接口信息相同的情况下，合并第一数据表和第二数据表，生成目标数据表，准确生成目标数据表，覆盖了页面数据和代码数据的所有参数，增大了漏洞扫描范围、进一步提高了漏洞扫描结果的准确性。
[0067]
实际应用中，存在第一接口信息和第二接口信息并不相同的情况，在这种情况下，可以返回重新获取目标网页的页面数据，根据页面数据构建第一数据表，并从目标代码库中获取代码数据，根据代码数据构建第二数据表，对比第一接口信息和第二接口信息是否相同。
[0068]
示例地，对获取到的页面数据进行分析，获得页面数据的接口名为“/query”，该接口的请求类型为“post”，页面数据的参数信息为“dataid”，将获得的域名信息、第一接口信息和第一参数信息存储至第一数据表中，构建得到第三数据表如下表6所示：表6域名（domain）接口名（uri）参数（param）接口的请求类型（httpmethod）www.test.cominterface_namedataidget对获取到的指定代码段进行分析，获得指定代码段对应的接口名为“/query”，该接口的请求类型为“post”，指定代码段对应的参数信息为[“dataid，roleid”]，将获得的代码库地址信息、接口信息和参数信息存储至第二数据表中，构建得到第四数据表如下表7所示：表7
代码库地址（repo）接口名（controler）参数（param）接口的请求类型（httpmethod）git@xxx.com/test.git/query[“dataid，roleid”]post
由于第三数据表中接口名为“interface_name”，第四数据表中的接口名为“/query”，对比可见，第三数据表中的接口名与第四数据表中的接口名并不相同，返回重新获取目标网页的页面数据，根据页面数据构建第三数据表，并从目标代码库中获取代码数据，根据代码数据构建第四数据表。
[0069]
应用本说明书实施例的方案，在对比第一接口信息和第二接口信息，在第一接口信息和第二接口信息并不相同的情况下，重新获取目标网页的页面数据，根据页面数据构建第一数据表，并从目标代码库中获取代码数据，根据代码数据构建第二数据表，进一步提
高了漏洞扫描的准确性。
[0070]
在另一种可选的实施方式中，合并第一数据表和第二数据表，获得目标数据表中存在重复出现的参数，对目标数据表中的各参数进行处理时，需要对重复出现的参数进行多次处理，浪费资源，极大的影响了漏洞扫描的效率，因此，可以对第一数据表和第二数据表取并集，生成目标数据表，也即上述合并第一数据表和第二数据表，生成目标数据表的步骤，可以包括如下步骤：对第一数据表和第二数据表取并集，生成目标数据表。
[0071]
具体地，取并集是指将给定的两个集合a，b，把他们所有的元素合并在一起组成的集合，叫做集合a与集合b的并集，记作a∪b。例如，集合{1, 2, 3} 和 {2, 3, 4} 的并集是 {1, 2, 3, 4}。
[0072]
示例地，引用上述第一数据表和第二数据表，对第一数据表和第二数据表取并集，生成目标数据表可以如下表8所示：表8
域名（domain）代码库地址（repo）url（统一资源定位地址）参数（param）接口的请求类型（httpmethod）www.test.comgit@xxx.com/test.githttp://www.test.com/query["dataid","roleid"]post
应用本说明书实施例的方案，对第一数据表和第二数据表取并集，生成目标数据表，避免对重复出现的参数进行多次处理，进一步提高了漏洞扫描的效率。
[0073]
步骤106：对目标数据表进行漏洞扫描，获得漏洞扫描结果。
[0074]
具体地，在获取目标网页的页面数据，根据页面数据构建第一数据表，并从目标代码库中获取代码数据，根据代码数据构建第二数据表，根据目标网页和目标代码库的对应关系，基于第一数据表和第二数据表，生成目标数据表之后，进一步地，对目标数据表进行漏洞扫描，获得漏洞扫描结果。
[0075]
需要说明的是，漏洞扫描结果是指目标数据表中是否存在漏洞的结果，获得漏洞扫描结果后，可以根据该漏洞扫描结果，对目标网页的页面数据和目标代码库中的代码数据进行修补，保证信息安全，进一步使工作顺利开展。
[0076]
应用本说明书实施例的方案，获取目标网页的页面数据，根据页面数据构建第一数据表，并从目标代码库中获取代码数据，根据代码数据构建第二数据表，根据目标网页和目标代码库的对应关系，基于第一数据表和第二数据表，生成目标数据表，对目标数据表进行漏洞扫描，获得漏洞扫描结果。通过根据目标网页的页面数据构建第一数据表，根据目标代码库中的代码数据构建第二数据表，基于第一数据表和第二数据表，生成目标数据表，覆盖了页面数据和代码数据的所有参数，增大了漏洞扫描范围、进一步提高了漏洞扫描结果的准确性。
[0077]
在一种可选的实施方式中，获得目标数据表之后，可以基于目标数据表，生成扫描请求，将该扫描请求发送至模拟运行端，接收模拟运行端反馈的运行结果，进一步确定漏洞扫描结果，也即，上述对目标数据表进行漏洞扫描，获得漏洞扫描结果的步骤，可以包括以下步骤：根据目标数据表中记录的各信息，生成扫描请求；将扫描请求发送至模拟运行端，以使模拟运行端基于扫描请求进行模拟运行；接收模拟运行端反馈的运行结果，根据运行结果确定漏洞扫描结果。
[0078]
具体地，模拟运行端是指可以对扫描请求进行模拟运行的终端，也即执行漏洞扫
描的设备，服务器获取到进行漏洞扫描所需的各种信息后，可以将该信息发送给模拟运行端，模拟运行端基于服务器获取到的各种信息运行漏洞扫描过程，并将运行结果反馈给服务器，服务器可以接收模拟运行端反馈的运行结果，根据运行结果确定漏洞扫描结果。目标数据表中记录的各信息包括但不限于域名信息、代码库地址信息、统一资源定位地址信息、参数信息等等，具体根据实际情况进行选择，本说明书实施例对此不做任何限定。扫描请求是根据目标数据表中的各信息生成的，该扫描请求中可以包括漏洞检测任务、漏洞类型、漏洞存在的位置等等，具体根据实际情况进行选择，本说明书实施例对此不做任何限定。
[0079]
示例地，目标数据表如上述表8所示，根据上述表8中的url和参数信息生成扫描请求，将生成的扫描请求发送给模拟运行端，模拟运行端在接收到该扫描请求之后，可以对该扫描请求进行解析，进一步对该模拟请求进行模拟运行，生成并反馈模拟运行结果，基于运行结果确定漏洞扫描的结果。
[0080]
应用本说明书实施例的方案，通过获取目标网页的域名信息，根据域名信息，利用预设工具获取目标网页的页面数据，并对页面数据进行分析，获得页面数据的第一接口信息和第一参数信息，将域名信息、第一接口信息和第一参数信息存储至第一数据表中，获取目标代码库的代码库地址信息，根据代码库地址信息，提取目标代码库中的代码数据，对代码数据进行解析，获得代码数据中的指定代码段，提取指定代码段对应的第二接口信息和第二参数信息，将代码库地址信息、第二接口信息和第二参数信息存储至第二数据表中，对比第一接口信息和第二接口信息，在第一接口信息和第二接口信息相同的情况下，合并第一数据表和所第二数据表，生成目标数据表，根据目标数据表中记录的各信息，生成扫描请求，将扫描请求发送至模拟运行端，以使模拟运行端基于扫描请求进行模拟运行，接收模拟运行端反馈的运行结果，根据运行结果确定漏洞扫描结果。实现了覆盖页面数据和代码数据的所有参数，增大了漏洞扫描范围、进一步提高了漏洞扫描结果的准确性。
[0081]
需要说明的是，本说明书提供的漏洞扫描方法，应用于多种场景下的漏洞扫描过程，如监管场景、交易场景，当然还可以应用于其他场景下，本说明书中对漏洞扫描方法的应用场景不进行限定。
[0082]
需要说明的是，在交易场景中，存在偶然的或者恶意的原因使得交易页面遭受到破坏、更改、泄露，导致交易系统不能连续可靠正常地运行，网络服务中断，影响了交易过程的安全性，进一步降低了用户的信任度。为了维护网络安全，保证交易系统连续可靠正常地运行，因此，需要对交易场景中存在的漏洞进行扫描，获取漏洞扫描结果，支撑漏洞评估、漏洞修补、风险评估相关工作，以降低交易系统安全性的风险。
[0083]
实际应用中，对交易页面进行漏洞扫描时，可以获取该交易页面上所有的地址信息和参数信息，逐个替换各参数，进行漏洞扫描。但是这种漏洞扫描方法，扫描范围小，导致漏洞扫描结果不准确，为网络安全工作带来了些许障碍。
[0084]
下述结合附图2，以本说明书提供的漏洞扫描方法在交易场景的应用为例，对所述漏洞扫描方法进行进一步说明。其中，图2示出了本说明书一个实施例提供的另一种漏洞扫描方法的处理过程流程图，具体包括以下步骤：步骤202：获取交易网页的域名信息。
[0085]
步骤204：根据域名信息，利用预设工具获取交易网页的页面数据，并对页面数据进行分析，获得页面数据的第一接口信息和第一参数信息。
[0086]
步骤206：将域名信息、第一接口信息和第一参数信息存储至第一数据表中。
[0087]
具体地，交易网页的域名信息是指交易网页的地址信息，一个域名信息对应于一个ip地址，在获取域名信息的情况下，根据域名信息，可以查找到该域名信息对应的交易网页。利用预设工具对该交易网页的页面数据进行获取，获取到交易页面的页面数据后，对页面数据进行分析，从页面数据中可以提取到第一接口信息和第一参数信息。
[0088]
需要说明的是，预设工具包括但不限于import.io、parsehub、 web scraper等等，第一接口信息包括但不限于交易网页的接口名、接口的请求类型，具体根据实际情况进行选择，本说明书实施例对此不做任何限定。
[0089]
本说明书实施例中，可以准确确定交易网页，进一步提高了获取到域名信息、第一接口信息和第一参数信息的准确性。
[0090]
步骤208：获取交易代码库的代码库地址信息。
[0091]
步骤210：根据代码库地址信息，提取交易代码库中的代码数据，对代码数据进行解析，获得代码数据中的指定代码段。
[0092]
步骤212：提取指定代码段对应的第二接口信息和第二参数信息。
[0093]
步骤214：将代码库地址信息、第二接口信息和第二参数信息存储至第二数据表中。
[0094]
具体地，代码库地址信息是指交易代码库的地址信息，在获取交易代码库的代码库地址信息的情况下，根据交易代码库的代码库地址信息，可以确定出该代码库地址信息对应的交易代码库，提取交易代码库中的代码数据，利用预设解析工具对该交易代码库中的代码数据进行解析，获取代码数据中的指定代码段，在获得代码数据中的指定代码段之后，可以从指定代码段中提取到第二接口信息和第二参数信息。
[0095]
需要说明的是，预设解析工具包括但不限于checkstyle、pmd、findbugs等等，第二接口信息包括但不限于指定代码段对应的接口名、接口的请求类型，具体根据实际情况进行选择，本说明书实施例对此不做任何限定。
[0096]
本说明书实施例中，可以准确确定交易代码库，进一步提高了获取到代码库地址信息、第二接口信息和第二参数信息的准确性。
[0097]
步骤216：对比第一接口信息和第二接口信息，在第一接口信息和第二接口信息相同的情况下，合并第一数据表和所第二数据表，生成目标数据表。
[0098]
具体地，第一数据表中记录有第一接口信息，第二数据表中记录有第二接口信息，第一接口信息包括但不限于交易网页的接口名、接口的请求类型，第二接口信息包括但不限于指定代码段对应的接口名、接口的请求类型，具体根据实际情况进行选择，本说明书实施例对此不做任何限定。
[0099]
本说明书实施例中，在第一接口信息和第二接口信息相同的情况下，合并第一数据表和所第二数据表，生成目标数据表，实现了覆盖交易页面数据和交易代码数据的所有参数，增大了漏洞扫描范围、进一步提高了交易场景中漏洞扫描结果的准确性。
[0100]
值得说明的是，合并第一数据表和第二数据表，获得目标数据表中可能会存在重复出现的参数，对目标数据表中的各参数进行处理时，需要对重复出现的参数进行多次处理，浪费资源，极大的影响了漏洞扫描的效率，因此，可以对第一数据表和第二数据表取并集，生成目标数据表，进一步提高漏洞扫描的效率。
[0101]
步骤218：根据目标数据表中记录的各信息，生成扫描请求。
[0102]
步骤220：将扫描请求发送至模拟运行端，以使模拟运行端基于扫描请求进行模拟运行。
[0103]
步骤222：接收模拟运行端反馈的运行结果，根据运行结果确定漏洞扫描结果。
[0104]
具体地，目标数据表中记录的各信息包括但不限于域名信息、代码库地址信息、统一资源定位地址信息、参数信息等等，具体根据实际情况进行选择，本说明书实施例对此不做任何限定。扫描请求是根据目标数据表中的各信息生成的，该扫描请求中可以包括漏洞检测任务、漏洞类型、漏洞存在的位置等等，具体根据实际情况进行选择，本说明书实施例对此不做任何限定。
[0105]
本说明书提供了一种漏洞扫描方法，应用于交易机构，通过获取交易网页的域名信息，根据域名信息，利用预设工具获取交易网页的页面数据，并对页面数据进行分析，获得页面数据的第一接口信息和第一参数信息，将域名信息、第一接口信息和第一参数信息存储至第一数据表中，获取交易代码库的代码库地址信息，根据代码库地址信息，提取交易代码库中的代码数据，对代码数据进行解析，获得代码数据中的指定代码段，提取指定代码段对应的第二接口信息和第二参数信息，将代码库地址信息、第二接口信息和第二参数信息存储至第二数据表中，对比第一接口信息和第二接口信息，在第一接口信息和第二接口信息相同的情况下，合并第一数据表和所第二数据表，生成目标数据表，根据目标数据表中记录的各信息，生成扫描请求，将扫描请求发送至模拟运行端，以使模拟运行端基于扫描请求进行模拟运行，接收模拟运行端反馈的运行结果，根据运行结果确定漏洞扫描结果。实现了覆盖交易页面数据和交易代码数据的所有参数，增大了漏洞扫描范围、进一步提高了交易场景中漏洞扫描结果的准确性，保证交易系统连续可靠正常地运行，降低交易系统安全性的风险。
[0106]
与上述方法实施例相对应，本说明书还提供了漏洞扫描装置实施例，图3示出了本说明书一个实施例提供的一种漏洞扫描装置的结构示意图。如图3所示，该装置包括：构建模块302，被配置为获取目标网页的页面数据，根据页面数据构建第一数据表，并从目标代码库中获取代码数据，根据代码数据构建第二数据表；生成模块304，被配置为根据目标网页和目标代码库的对应关系，基于第一数据表和第二数据表，生成目标数据表；获得模块306，被配置为对目标数据表进行漏洞扫描，获得漏洞扫描结果。
[0107]
可选地，构建模块302，进一步被配置为获取目标网页的域名信息；根据域名信息，利用预设工具获取目标网页的页面数据，并对页面数据进行分析，获得页面数据的第一接口信息和第一参数信息；将域名信息、第一接口信息和第一参数信息存储至第一数据表中。
[0108]
可选地，构建模块302，进一步被配置为获取目标代码库的代码库地址信息；根据代码库地址信息，提取目标代码库中的代码数据，对代码数据进行解析，获得代码数据中的指定代码段；提取指定代码段对应的第二接口信息和第二参数信息；将代码库地址信息、第二接口信息和第二参数信息存储至第二数据表中。
[0109]
可选地，第一数据表中记录有第一接口信息，第二数据表中记录有第二接口信息；生成模块304，进一步被配置为对比第一接口信息和第二接口信息，在第一接口信息和第二接口信息相同的情况下，合并第一数据表和所第二数据表，生成目标数据表。
[0110]
可选地，生成模块304，进一步被配置为对第一数据表和第二数据表取并集，生成目标数据表。
[0111]
可选地，获得模块306，进一步被配置为根据目标数据表中记录的各信息，生成扫描请求；将扫描请求发送至模拟运行端，以使模拟运行端基于扫描请求进行模拟运行；接收模拟运行端反馈的运行结果，根据运行结果确定漏洞扫描结果。
[0112]
应用本说明书实施例的方案，通过获取目标网页的域名信息，根据域名信息，利用预设工具获取目标网页的页面数据，并对页面数据进行分析，获得页面数据的第一接口信息和第一参数信息，将域名信息、第一接口信息和第一参数信息存储至第一数据表中，获取目标代码库的代码库地址信息，根据代码库地址信息，提取目标代码库中的代码数据，对代码数据进行解析，获得代码数据中的指定代码段，提取指定代码段对应的第二接口信息和第二参数信息，将代码库地址信息、第二接口信息和第二参数信息存储至第二数据表中，对比第一接口信息和第二接口信息，在第一接口信息和第二接口信息相同的情况下，合并第一数据表和所第二数据表，生成目标数据表，根据目标数据表中记录的各信息，生成扫描请求，将扫描请求发送至模拟运行端，以使模拟运行端基于扫描请求进行模拟运行，接收模拟运行端反馈的运行结果，根据运行结果确定漏洞扫描结果。实现了覆盖页面数据和代码数据的所有参数，增大了漏洞扫描范围、进一步提高了漏洞扫描结果的准确性。
[0113]
上述为本实施例的一种漏洞扫描装置的示意性方案。需要说明的是，该漏洞扫描装置的技术方案与上述的漏洞扫描方法的技术方案属于同一构思，漏洞扫描装置的技术方案未详细描述的细节内容，均可以参见上述漏洞扫描方法的技术方案的描述。
[0114]
图4示出了本说明书一个实施例提供的一种计算设备400的结构框图。该计算设备400的部件包括但不限于存储器410和处理器420。处理器420与存储器410通过总线430相连接，数据库450用于保存数据。
[0115]
计算设备400还包括接入设备440，接入设备440使得计算设备400能够经由一个或多个网络460通信。这些网络的示例包括公用交换电话网（pstn，public switched telephone network）、局域网（lan，local area network）、广域网（wan，wide area network）、个域网（pan，personal area network）或诸如因特网的通信网络的组合。接入设备440可以包括有线或无线的任何类型的网络接口（例如，网络接口卡（nic，network interface card））中的一个或多个，诸如ieee802.11无线局域网（wlan，wireless local area networks）无线接口、全球微波互联接入（wi-max，world interoperability for microwave access）接口、以太网接口、通用串行总线（usb，universal serial bus）接口、蜂窝网络接口、蓝牙接口、近场通信（nfc，near field communication）接口，等等。
[0116]
在本说明书的一个实施例中，计算设备400的上述部件以及图4中未示出的其他部件也可以彼此相连接，例如通过总线。应当理解，图4所示的计算设备结构框图仅仅是出于示例地目的，而不是对本说明书范围的限制。本领域技术人员可以根据需要，增添或替换其他部件。
[0117]
计算设备400可以是任何类型的静止或移动计算设备，包括移动计算机或移动计算设备（例如，平板计算机、个人数字助理、膝上型计算机、笔记本计算机、上网本等）、移动电话（例如，智能手机）、可佩戴的计算设备（例如，智能手表、智能眼镜等）或其他类型的移动设备，或者诸如台式计算机或pc的静止计算设备。计算设备400还可以是移动式或静止式
的服务器。
[0118]
其中，处理器420用于执行如下计算机可执行指令：获取目标网页的页面数据，根据页面数据构建第一数据表，并从目标代码库中获取代码数据，根据代码数据构建第二数据表；根据目标网页和目标代码库的对应关系，基于第一数据表和第二数据表，生成目标数据表；对目标数据表进行漏洞扫描，获得漏洞扫描结果。
[0119]
应用本说明书实施例的方案，通过获取目标网页的页面数据，根据页面数据构建第一数据表，并从目标代码库中获取代码数据，根据代码数据构建第二数据表，根据目标网页和目标代码库的对应关系，基于第一数据表和第二数据表，生成目标数据表，对目标数据表进行漏洞扫描，获得漏洞扫描结果。通过根据目标网页的页面数据构建第一数据表，根据目标代码库中的代码数据构建第二数据表，基于第一数据表和第二数据表，生成目标数据表，覆盖了页面数据和代码数据的所有参数，增大了漏洞扫描范围、进一步提高了漏洞扫描结果的准确性。
[0120]
上述为本实施例的一种计算设备的示意性方案。需要说明的是，该计算设备的技术方案与上述的漏洞扫描方法的技术方案属于同一构思，计算设备的技术方案未详细描述的细节内容，均可以参见上述漏洞扫描方法的技术方案的描述。
[0121]
本说明书一实施例还提供一种计算机可读存储介质，其存储有计算机可执行指令，该计算机可执行指令被处理器执行时实现：获取目标网页的页面数据，根据页面数据构建第一数据表，并从目标代码库中获取代码数据，根据代码数据构建第二数据表；根据目标网页和目标代码库的对应关系，基于第一数据表和第二数据表，生成目标数据表；对目标数据表进行漏洞扫描，获得漏洞扫描结果。
[0122]
应用本说明书实施例的方案，通过获取目标网页的页面数据，根据页面数据构建第一数据表，并从目标代码库中获取代码数据，根据代码数据构建第二数据表，根据目标网页和目标代码库的对应关系，基于第一数据表和第二数据表，生成目标数据表，对目标数据表进行漏洞扫描，获得漏洞扫描结果。通过根据目标网页的页面数据构建第一数据表，根据目标代码库中的代码数据构建第二数据表，基于第一数据表和第二数据表，生成目标数据表，覆盖了页面数据和代码数据的所有参数，增大了漏洞扫描范围、进一步提高了漏洞扫描结果的准确性。
[0123]
上述为本实施例的一种计算机可读存储介质的示意性方案。需要说明的是，该存储介质的技术方案与上述的漏洞扫描方法的技术方案属于同一构思，存储介质的技术方案未详细描述的细节内容，均可以参见上述漏洞扫描方法的技术方案的描述。
[0124]
本说明书一实施例还提供一种计算机程序，其中，当所述计算机程序在计算机中执行时，令计算机执行以下步骤：获取目标网页的页面数据，根据页面数据构建第一数据表，并从目标代码库中获取代码数据，根据代码数据构建第二数据表；根据目标网页和目标代码库的对应关系，基于第一数据表和第二数据表，生成目
标数据表；对目标数据表进行漏洞扫描，获得漏洞扫描结果。
[0125]
应用本说明书实施例的方案，通过获取目标网页的页面数据，根据页面数据构建第一数据表，并从目标代码库中获取代码数据，根据代码数据构建第二数据表，根据目标网页和目标代码库的对应关系，基于第一数据表和第二数据表，生成目标数据表，对目标数据表进行漏洞扫描，获得漏洞扫描结果。通过根据目标网页的页面数据构建第一数据表，根据目标代码库中的代码数据构建第二数据表，基于第一数据表和第二数据表，生成目标数据表，覆盖了页面数据和代码数据的所有参数，增大了漏洞扫描范围、进一步提高了漏洞扫描结果的准确性。
[0126]
上述为本实施例的一种计算机程序的示意性方案。需要说明的是，该计算机程序的技术方案与上述的漏洞扫描方法的技术方案属于同一构思，计算机程序的技术方案未详细描述的细节内容，均可以参见上述漏洞扫描方法的技术方案的描述。
[0127]
上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下，在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外，在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中，多任务处理和并行处理也是可以的或者可能是有利的。
[0128]
所述计算机指令包括计算机程序代码，所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括：能够携带所述计算机程序代码的任何实体或装置、记录介质、u盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器（rom，read-only memory）、随机存取存储器（ram，random access memory）、电载波信号、电信信号以及软件分发介质等。
[0129]
需要说明的是，对于前述的各方法实施例，为了简便描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本说明书实施例并不受所描述的动作顺序的限制，因为依据本说明书实施例，某些步骤可以采用其它顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作和模块并不一定都是本说明书实施例所必须的。
[0130]
在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其它实施例的相关描述。
[0131]
以上公开的本说明书优选实施例只是用于帮助阐述本说明书。可选实施例并没有详尽叙述所有的细节，也不限制该发明仅为所述的具体实施方式。显然，根据本说明书实施例的内容，可作很多的修改和变化。本说明书选取并具体描述这些实施例，是为了更好地解释本说明书实施例的原理和实际应用，从而使所属技术领域技术人员能很好地理解和利用本说明书。本说明书仅受权利要求书及其全部范围和等效物的限制。