网页漏洞的检测方法、装置及系统的制作方法
【技术领域】
[0001]本发明涉及漏洞检测领域,具体而言,涉及一种网页漏洞的检测方法、装置及系统。
【背景技术】
[0002]上传漏洞入侵是目前对网站入侵最广泛的方法,从2007年至今,上传漏洞已连续几年位于OWASP统计的十大Web安全漏洞前列。上传漏洞是一种比sql注入更具杀伤力的漏洞,它可以把ASP、JSP、CG1、PHP等格式的木马,上传至网站的目录内,通过访问该木马文件,控制网站。
[0003]具体地,当上传页面出现漏洞时,即是打通了黑客与服务器的通道,黑客可以上传一些恶意脚本至服务器上,从而可以直接导致服务器被入侵。
[0004]其中,OffASP为开放式Web应用程序安全项目,Web即为网页。sql结构化查询语言(Structured Query Language) ;ASP 是动态服务器页面(Active Server Page)的缩写;JSP是一种动态页面技术;PHP超文本预处理器(Hypertext Preprocessor的缩写)是一种通用开源脚本语言;CGI为通用网关接口,是外部应用程序与Web服务器之间的接口标准。
[0005]目前对于上传漏洞的检测,还没有成熟有效的工具,一般都是手工去测试,手动检测的过程中使用不同的木马文件对做测试,并且需要人工一个一个文件的判断该入口是否存在漏洞。可以想象地,测试人员每发现一个可以上传文件的入口,点击链接,选择测试文件,然后上传该测试文件,并通过上传测试文件的信息判断该入口是否为存在上传漏洞的入口,每执行一个完整的操作,需要大量的时间。使用这种方法,在网站上包含的CGI较少的情况下,由人工操作来校验尚且勉强可以接受。但是要使用该种方法对公司大量的站点来进行上传漏洞检测,由于存在数以千万计的CGI,使用人工一个一个CGI检测的方法需要的时间太漫长,在如此漫长的时间里,可能网站都做了更新,这么速度慢的检测就失去了意义。
[0006]由上可知,现有技术中手工检测上传漏洞方法检测速度慢,并且大量的接口是否存在漏洞要靠人工判断,判断的准确率低。
[0007]针对上述检测上传漏洞速度慢的问题,目前尚未提出有效的解决方案。
【发明内容】
[0008]本发明实施例提供了一种网页漏洞的检测方法、装置及系统,以至少解决检测上传漏洞速度慢的技术问题。
[0009]根据本发明实施例的一个方面,提供了一种网页漏洞的检测方法,该方法包括:客户端获取待检测网页中的文件上传入口,其中,文件上传入口用于在待检测网页上上传文件;客户端通过文件上传入口向网页所在网站的服务器上传预设的漏洞检测文件,其中,漏洞检测文件为预设的用于入侵服务器的文件;客户端判断通过文件上传入口向服务器上传预设的漏洞检测文件是否成功;若客户端通过文件上传入口向服务器上传预设的漏洞检测文件成功,则检测出待检测网页上存在上传漏洞。
[0010]根据本发明实施例的另一方面,还提供了一种网页漏洞的检测装置,该检测装置包括:获取模块,用于获取待检测网页中的文件上传入口,其中,文件上传入口用于在待检测网页上上传文件;上传模块,用于通过文件上传入口向网页所在网站的服务器上传预设的漏洞检测文件,其中,漏洞检测文件为预设的用于入侵服务器的文件;判断模块,用于判断通过文件上传入口向服务器上传预设的漏洞检测文件是否成功;检测模块,用于若通过文件上传入口向服务器上传预设的漏洞检测文件成功,则检测出待检测网页上存在上传漏洞。
[0011]根据本发明实施例的一个方面,提供了一种网页漏洞的检测系统,该系统包括:客户端,用于获取待检测网页中的文件上传入口,并通过文件上传入口向网页所在网站的服务器上传预设的漏洞检测文件,并在客户端通过文件上传入口向服务器上传预设的漏洞检测文件成功的情况下,检测出待检测网页上存在上传漏洞;服务器,与客户端连接,用于判断通过文件上传入口向服务器上传预设的漏洞检测文件是否成功;其中,文件上传入口用于在待检测网页上上传文件,漏洞检测文件为预设的用于入侵服务器的文件。
[0012]在本发明实施例中,客户端在获取待检测网页中的文件上传入口之后,通过文件上传入口自动向网页所在网站的服务器上传预设的漏洞检测文件,并根据预设的漏洞检测文件是否上传成功的上传结果自动检测出待检测网页上是否存在上传漏洞,客户端在获取到上传入口之后,直接将预设的漏洞检测文件上传,并根据服务器返回的上传结果检测出该入口是否存在上传漏洞,整个操作过程简单,可以快速地呈现给测试人员测试结果(是否存在上传漏洞)。而不是采用现有技术中人工上传文件,人工判断是否存在漏洞,解决了现有技术中检测上传漏洞速度慢的问题,实现了快速检测网页上的上传漏洞的效果。
【附图说明】
[0013]此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
[0014]图1是根据本发明实施例的网页漏洞的检测方法的流程图;
[0015]图2是根据本发明实施例的一种可选的判断预设的漏洞检测文件是否上传成功的流程图;
[0016]图3是根据本发明实施例的一种可选的获取文件上传入口的流程图;
[0017]图4是根据本发明实施例的一种可选的网页漏洞的检测方法的流程图;
[0018]图5是根据本发明实施例的另一种可选的网页漏洞的检测方法的流程图;
[0019]图6是根据本发明实施例的可选的输出的漏洞详情的示意图;
[0020]图7是根据本发明实施例的网页漏洞的检测装置的示意图;
[0021]图8是根据本发明实施例的一种终端的示意图;以及
[0022]图9是根据本发明实施例的一种网页漏洞的检测系统的示意图。
【具体实施方式】
[0023]为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
[0024]需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
[0025]实施例1
[0026]根据本发明实施例,提供了一种网页漏洞的检测方法的实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
[0027]根据本发明实施例,提供了一种网页漏洞的检测方法,如图1所示,该检测方法可以通过如下步骤实现:
[0028]步骤S102:客户端获取待检测网页中的文件上传入口。
[0029]其中,文件上传入口用于在待检测网页上上传文件。
[0030]步骤S104:客户端通过文件上传入口向网页所在网站的服务器上传预设的漏洞检测文件。
[0031]步骤S106:客户端判断通过文件上传入口向服务器上传预设的漏洞检测文件是否成功。
[0032]步骤S108:若客户端通过文件上传入口向服务器上传预设的漏洞检测文件成功,则检测出待检测网页上存在上传漏洞。
[0033]具体地,在执行步骤S106之后,该检测方法还包括若客户端通过文件上传入口向服务器上传预设的漏洞检测文件失败,则检测出待检测网页上不存在漏洞。
[0034]其中,漏洞检测文件为预设的用于入侵服务器的文件,如:木马文件、后门文件等,后门文件可以为携带有绕过安全性控制而获取对程序或系统访问权的程序方法的文件;木马文件指携带有潜伏在电脑中,可受外部用户控制以窃取本机信息或者控制权的程序的文件。
[0035]采用本发明实施例,客户端在获取待检测网页中的文件上传入口之后,通过文件上传入口自动向网页所在网站的服务器上传预设的漏洞检测文件,并根据预设的漏洞检测文件是否上传成功的上传结果自动检测出待检测网页上是否存在上传漏洞,客户端在获取到上传入口之后,直接将预设的漏洞检测文件上传,并根据服务器返回的上传结果检测出该入口是否存在上传漏洞,整个操作过程简单,可以快速地呈现给测试人员测试结果(是否存在上传漏洞)。而不是采用现有技术中人工上传文件,人工判断是否存在漏洞,解决了现有技术中由于手工检测导致检测上传漏洞速度慢的问题,实现了快速检测网页上的上传漏洞的效果。
[0036]在本发明的上述实施例中,步骤S104可以通过如下方法实现:
[0037]客户端向服务器发送上传预设的漏洞检测文件的请求,服务器向客户端反馈建立链接的确认消息,在客户端与服务器建立链接之后,客户端向服务器传送预设的漏洞检测文件。其中,预设的漏洞检测文件是用于入侵待检测网页所在网站的服务器的文件。
[0038]上述实施例中的客户端可以是任意的可以访问待检测网页的终端,客户端通过访问待检测网页可以获取待检测网页