网站漏洞检测方法和系统的利记博彩app
【技术领域】
[0001] 本发明设及网络安全技术领域,具体而言,设及一种网站漏洞检测方法和一种网 站漏洞检测系统。
【背景技术】
[0002] json(Javascript Object Notation)是一种轻量级的数据交换语言,W文字为基 础,且易于让人阅读。尽管json是在化vascript的一个子集,但JS0N是独立于语言的文 本格式,并且采用了类似于C语言家族的一些习惯。
[0003] 该种易于人阅读和编写,同时也易于机器解析和生成的数据交换语言被广泛应用 于网站数据的编码。通过json对网站中的链接或表单进行编码后形成json数据,由于json 数据有着其固有的文本格式,导致现有的漏洞检测系统在检测包含json数据的网站时,难 W快速且准确地为其中的json数据添加测试字符串形成测试请求,使得漏洞检测难W顺 利进行。
【发明内容】
[0004] 本发明所要解决的技术问题是,如何快速且准确地为json文本格式的网站链接 和/或网站表单添加测试字符串形成测试请求,进而对网站链接和/或网站表单对应的网 站进行漏洞检测。
[0005] 为此目的,本发明提出了一种网站漏洞检测方法,包括:获取待检测网站中的网站 链接和/或网站表单,其中,所述网站链接和/或网站表单为json文本格式;对所述网站链 接和/或网站表单进行解析,W识别所述网站链接和/或网站表单中参数的位置;根据所述 位置为所述参数添加测试字符串形成测试请求;根据所述测试请求检测所述网站是否存在 漏洞。
[0006] 优选地,所述根据所述位置为所述参数添加测试字符串形成测试请求包括;根据 需要检测的漏洞类型从数据库中提取相应的测试字符串。
[0007] 优选地,所述识别所述网站链接和/或网站表单中参数的位置包括:
[000引识别所述网站链接和/或网站表单的结构,根据所述结构识别所述网站链接和/ 或网站表单中参数的位置。
[0009] 优选地,所述识别所述网站链接和/或网站表单中参数的位置还包括:
[0010] 识别所述参数的类型,
[0011] 则所述根据所述位置为所述参数添加测试字符串形成测试请求包括:
[0012] 根据所述类型从数据库中提取相应的测试字符串;
[0013] 在每个参数中分别添加与其类型相关联的测试字符串,W形成测试请求。
[0014] 优选地,所述获取待检测的网站中的网站链接和/或网站表单包括:
[0015] 判断所述网站链接和/或网站表单是否为json文本格式,
[0016] 其中,若判定所述网站链接和/或网站表单为json文本格式,则所述对所述网站 链接和/或网站表单进行解析包括:
[0017] 调用预设解析引擎对所述网站链接和/或网站表单进行解析。
[001引本发明还提出一种网站漏洞检测系统,包括:
[0019] 获取单元,用于获取待检测网站中的网站链接和/或网站表单,其中,所述网站链 接和/或网站表单为json文本格式;
[0020] 解析单元,用于对所述网站链接和/或网站表单进行解析,W识别所述网站链接 和/或网站表单中参数的位置;
[0021] 添加单元,用于根据所述位置为所述参数添加测试字符串形成测试请求;
[0022] 检测单元,用于根据所述测试请求检测所述网站是否存在漏洞。
[0023] 优选地,所述添加单元包括:
[0024] 提取子单元,用于根据需要检测的漏洞类型从数据库中提取相应的测试字符串。 [00巧]优选地,所述解析单元包括:
[0026] 结构识别子单元,用于识别所述网站链接和/或网站表单的结构,
[0027] 位置识别子单元,用于根据所述结构识别所述网站链接和/或网站表单中参数的 位置。
[0028] 优选地,所述解析单元包括:
[0029] 类型识别子单元,用于识别所述参数的类型,
[0030] 所述添加单元包括:
[0031] 提取子单元,用于根据所述类型从数据库中提取相应的测试字符串;
[0032] 请求形成子单元,用于在每个参数中分别添加与其类型相关联的测试字符串,W 形成测试请求。
[0033] 优选地,所述获取单元包括:
[0034] 格式判断子单元,用于判断所述网站链接和/或网站表单是否为json文本格式;
[0035] 所述解析单元包括:
[0036] 调用子单元,在所述网站链接和/或网站表单为json文本格式时,调用预设解析 引擎对所述网站链接和/或网站表单进行解析。
[0037] 通过上述技术方案,至少能够实现W下技术效果:
[003引 1、能够对json文本格式的网站链接和/或网站表单所在网站进行漏洞检测,实现 了对json文本格式的网站链接和/或网站表单中参数位置的精准查询,W及快速且准确地 添加测试字符串地构造测试请求进行测试,准确地判断网站是否中是否存在漏洞,提高了 网站的安全性。
[0039] 2、根据需要检测的漏洞类型提取相应的测试字符串形成测试请求,可W更具有针 对性地构造每个测试请求,根据每个不同的测试请求分别对网站进行检测,能够对网站漏 洞实施更加全面地检测,提高网站漏洞检测结果的准确度。
[0040] 3、通过为具有不同属性的参数添加相应的测试字符串形成测试请求,可W更具有 针对性地构造每个测试请求,根据每个不同的测试请求分别对网站进行检测,能够提高对 网站漏洞检测的全面性,提高网站漏洞检测结果的准确度。
【附图说明】
[0041] 通过参考附图会更加清楚的理解本发明的特征和优点,附图是示意性的而不应理 解为对本发明进行任何限制,在附图中;
[0042] 图1示出了根据本发明一个实施例的网站漏洞检测方法的示意流程图;
[0043] 图2示出了根据本发明一个实施例的网站漏洞检测系统的示意框图。
【具体实施方式】
[0044] 下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终 相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附 图描述的实施例是示例性的,仅用于解释本发明,而不能解释为对本发明的限制。
[0045] 本技术领域技术人员可W理解,除非特意声明,该里使用的单数形式"一"、"一 个"、"所述"和"该"也可包括复数形式。应该进一步理解的是,本发明的说明书中使用的措 辞"包括"是指存在所述特征、整数、步骤、操作、元件和/或组件,但是并不排除存在或添加 一个或多个其他特征、整数、步骤、操作、元件、组件和/或它们的组。应该理解,当我们称元 件被"连接"或"禪接"到另一元件时,它可W直接连接或禪接到其他元件,或者也可W存在 中间元件。此外,该里使用的"连接"或"禪接"可W包括无线连接或无线禪接。该里使用 的措辞"和/或"包括一个或更多个相关联的列出项的全部或任一单元和全部组合。
[0046] 本技术领域技术人员可W理解,除非另外定义,该里使用的所有术语(包括技术 术语和科学术语),具有与本发明所属领域中的普通技术人员的一般理解相同的意义。还应 该理解的是,诸如通用字典中定义的那些术语,应该被理解为具有与现有技术的上下文中 的意义一致的意义,并且除非像该里一样被特定定义,否则不会用理想化或过于正式的含 义来解释。
[0047] 本技术领域技术人员可W理解,该里所使用的"终端"、"终端设备"既包括无线信 号接收器的设备,其仅具备无发射能力的无线信号接收器的设备,又包括接收和发射硬件 的设备