web漏洞检测的方法及装置的制造方法
【技术领域】
[0001]本发明涉及互联网技术领域,尤其涉及一种web漏洞检测的方法及装置。
【背景技术】
[0002]WEB漏洞通常是指网站程序上的漏洞,可能是由于代码编写者在编写代码时考虑不周全等原因而造成的漏洞。因此,测试人员需要对网站是否存在漏洞进行检查。常见的web漏洞检测方法,包括以下两种:1)采用网络蜘蛛形式的直接扫描方式,对web服务器进行全站扫描,将网站所有连接地址逐一进行采集测试;2)登录扫描方式,对用户登录内部系统进行扫描,这种扫描方式需要测试人员对每个功能模块都进行登录才能记录在扫描器的url库中,其相对于第一种扫描检测方式更具有针对性。
[0003]但是,对于第一种web漏洞扫描检测方法,在采用多线程扫描时,对于小流量网站容易造成网络无法访问,此时web服务器不能返回信息,从而导致web漏洞扫描失败。对于第二种web漏洞检测方法,当用户提交的用户名或密码出现异常时,会直接导致通信失败,导致扫描出现异常。且在进行后台扫描时,容易因登录会话超时导致web漏洞检测失败。
【发明内容】
[0004]基于此,有必要针对现有技术中,web漏洞检测收到的约束条件较多,易造成检测失败的问题,提供一种能够稳定进行web漏洞扫描检测的,web漏洞检测的方法及装置。
[0005]为实现本发明目的提供的一种web漏洞检测的方法,在代理扫描器中设置连接浏览器和web服务器的通信端口,所述浏览器能够通过所述通信端口发送信息到所述web服务器,所述方法包括以下步骤:
[0006]检测到浏览器向web服务器发送访问请求时,所述代理扫描器启动所述通信端口准备接收数据;
[0007]接收所述浏览器发送来的http数据包,并对所述http数据包进行采集;
[0008]修改已经采集到的某个所述http数据包为测试数据包,并将所述测试数据包通过所述通信端口发送到web服务器进行漏洞检测。
[0009]作为一种web漏洞检测的方法的可实施方式,还包括以下步骤:
[0010]根据所述浏览器接收到的所述web服务器返回的所述测试数据包的执行结果,判断所测试网站是否存在web漏洞。
[0011]作为一种web漏洞检测的方法的可实施方式,通过对所述执行结果使用正则表达式匹配是否存在漏洞特征,来判断所测试网站是否存在web漏洞。
[0012]作为一种web漏洞检测的方法的可实施方式,还包括以下步骤:在对所述http数据包进行采集之前,还包括以下步骤:
[0013]判断设定信号是通过状态还是阻断状态;
[0014]若所述设定信号是通过状态,则对所接收的http数据包进行采集;
[0015]若所述设定信号是阻断状态,则忽略当前接收的所述http数据包,并返回继续接收新的所述http数据包。
[0016]作为一种web漏洞检测的方法的可实施方式,所述修改已经采集到的某个所述http数据包,包括在所述http数据包中添加测试代码和/或修改所述http数据包的http提交路径。
[0017]作为一种web漏洞检测的方法的可实施方式,还包括以下步骤:
[0018]对不需要进行测试的所述http数据包不进行修改直接通过所述通信端口发送到所述web服务器。
[0019]基于同一发明构思的一种web漏洞检测的装置,包括浏览器、代理扫描器及结果确定模块;
[0020]所述代理扫描器中配置有连接所述浏览器及web服务器的通信端口,所述浏览器能够通过所述通信端口发送信息到所述web服务器;
[0021]所述代理扫描器中还包括信号检测模块、数据采集模块及数据处理发送模块,其中:
[0022]所述信号检测模块,被配置以检测到浏览器向web服务器发送访问请求时,启动所述通信端口准备接收数据;
[0023]所述数据采集模块,被配置以接收所述浏览器发送来的http数据包,并对所述http数据包进行采集;
[0024]所述数据处理发送模块,被配置以修改已经采集到的某个所述http数据包为测试数据包,并将所述测试数据包通过所述通信端口发送到web服务器进行漏洞检测;
[0025]所述浏览器向所述web服务器发送http数据包,并接收web服务器返回的所述测试数据包的执行结果;
[0026]所述结果确定模块,被配置以根据所述执行结果判断所测试的网站是否存在web漏洞。
[0027]作为一种web漏洞检测的装置的可实施方式,所述数据采集模块包括数据接收子模块、设定信号接收判断子模块、数据采集子模块及数据阻断子模块,其中:
[0028]所述数据接收子模块,被配置以接收所述浏览器发送的http数据包;
[0029]所述设定信号接收判断子模块,被配置以接收设定信号,并判断设定信号是通过状态还是阻断状态,并在所述设定信号为通过状态时,控制执行所述数据采集子模块,在所述设定信号为阻断状态时,控制执行所述数据阻断子模块;
[0030]所述数据采集子模块,被配置以采集所述数据接收子模块接收的所述http数据包,并存储;
[0031]所述数据阻断子模块,被配置以控制忽略所述数据接收子模块已经接收到的所述http数据包,并继续接收新的http数据包。
[0032]作为一种web漏洞检测的装置的可实施方式,所述修改已经采集到的某个所述http数据包,包括在所述http数据包中添加测试代码和/或修改所述http数据包的http提交路径。
[0033]作为一种web漏洞检测的装置的可实施方式,所述代理扫描器中还包括数据直接发送模块;
[0034]所述数据直接发送模块,被配置以对不需要进行测试的所述http数据包不进行修改而直接通过所述通信端口发送到所述web服务器。
[0035]本发明的有益效果包括:本发明提供的一种web漏洞检测的方法及装置,该方法通过浏览器和web服务器之间的通信端口对http数据包进行拦截,并对需要修改的数据包进行修改,从而进行web漏洞检测。其能够实现对用户登录内部系统的扫描,也避免了传统直接扫描方式对小流量网站容易出现无法访问的问题。且本发明实施例的方法中代理服务器与web服务器之间建立的通讯稳定,对于登录扫描,代理服务器接收到http数据包,并且会一直带着cookie字段进行扫描,保持与web服务器之间的工作(活动)状态,因此,本发明实施例的检测方法能够避免传统的扫描器因登录会话超时,而造成扫描失败的问题。所以说,本发明实施例的web漏洞检测的方法能够稳定的进行web漏洞检测,且可以有针对性的进行检测。
【附图说明】
[0036]图1为本发明一种web漏洞检测的方法的一具体实施例的应用环境示意图;
[0037]图2为本发明一种web漏洞检测的方法的一具体实施例的流程图;
[0038]图3为本发明一种web漏洞检测的方法的另一具体实施例的流程图;
[0039]图4为本发明一种web漏洞检测的装置的一具体实施例的结构图;
[0040]图5为本发明一种web漏洞检测的装置的另一具体实施例的结构图;
[0041]图6为本发明一种web漏洞检测的装置的一具体实施例中的数据采集模块构成示意图。
【具体实施方式】
[0042]为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图对本发明的web漏洞检测的方法及装置的【具体实施方式】进行说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
[0043]本发明一实施例的web漏洞检测的方法,应用与通过浏览器对