漏洞檢測方法和設(shè)備的制造方法
【專利摘要】本申請?zhí)峁┮环N所述漏洞檢測方法及設(shè)備���,所述方法包括:獲取漏洞的信息;對所述漏洞的信息所對應(yīng)的驗證性測試代碼進(jìn)行處理���,并將處理后的驗證性測試代碼集成到集成頁面中�;利用受測對象加載所述集成頁面��,并觸發(fā)所述處理后的驗證性測試代碼自動檢測��;以及生成所述受測對象是否存在漏洞的結(jié)果以及存在漏洞時的相應(yīng)漏洞的信息����。所述漏洞檢測方法及設(shè)備能夠?qū)崿F(xiàn)了集中自動運行的漏洞檢測,大大提高漏洞檢測效率�,提供漏洞檢測性能,進(jìn)而改善用戶體驗��。
【專利說明】
漏洞檢測方法和設(shè)備
技術(shù)領(lǐng)域
[0001] 本申請涉及通信及計算機(jī)領(lǐng)域��,尤其涉及漏洞檢測方法和設(shè)備�����。
【背景技術(shù)】
[0002] 漏洞是指一個系統(tǒng)存在的弱點或缺陷���,系統(tǒng)對特定威脅攻擊或危險事件的敏感 性�����,或進(jìn)行攻擊的威脅作用的可能性��。漏洞可能來自應(yīng)用軟件或操作系統(tǒng)設(shè)計時的缺陷或 編碼時產(chǎn)生的錯誤����,也可能來自業(yè)務(wù)在交互處理過程中的設(shè)計缺陷或邏輯流程上的不合理 之處��。這些缺陷��、錯誤或不合理之處可能被有意或無意地利用,從而對一個組織的資產(chǎn)或運 行造成不利影響���,如信息系統(tǒng)被攻擊或控制�,重要資料被竊取��,用戶數(shù)據(jù)被篡改�,系統(tǒng)被作 為入侵其他主機(jī)系統(tǒng)的跳板。從目前發(fā)現(xiàn)的漏洞來看�,應(yīng)用軟件中的漏洞遠(yuǎn)遠(yuǎn)多于操作系 統(tǒng)中的漏洞,特別是WEB應(yīng)用系統(tǒng)中的漏洞更是占信息系統(tǒng)漏洞中的絕大多數(shù)���。
[0003] UXSS (Universal Cross-site Scripting��,通用跨站腳本攻擊)漏洞屬于通用型 XSS(Cross Site Scripting��,跨站腳本攻擊)漏洞���,是由于瀏覽器本身或者瀏覽器插件存在 漏洞而導(dǎo)致的XSS,不需要網(wǎng)站有漏洞才能攻擊��,在有漏洞的瀏覽器上瀏覽任意網(wǎng)站都會受 到攻擊��,因此危害巨大。
[0004] 今年8月底�����,一個國外網(wǎng)站暴露了安卓系統(tǒng)(Android)上的一個UXSS漏洞���,影響 三星、HTC等眾多手機(jī)����。惡意用戶利用該漏洞,可以在瀏覽任意網(wǎng)站時執(zhí)行JS代碼(采用 JavaScript編寫的腳本文件的代碼)���,會造成Cookie (儲存在用戶本地終端上的數(shù)據(jù))等 敏感信息泄漏�����,危害較為嚴(yán)重�����。該漏洞在2010的chrome (谷歌瀏覽器)上被人發(fā)現(xiàn)�����,谷歌 公司當(dāng)時修復(fù)了 chrome上的漏洞�,但是Android上的Webit (開源瀏覽器引擎)沒有合入, 導(dǎo)致老洞開新花�����。實際上��,Android上的UXSS漏洞不止這一個���,截止2013年底對Android 歷史漏洞進(jìn)行排查的時候�,發(fā)現(xiàn)Android上還存在4個影響嚴(yán)重的UXSS漏洞��。
[0005] 同樣的�����,針對瀏覽器或其他系統(tǒng)中存在的漏洞問題����,由于沒有及時檢測漏洞并修 復(fù)漏洞會因漏洞引起系統(tǒng)一系列安全問題。
[0006] 現(xiàn)有技術(shù)方案主要是通過手動運行漏洞的信息對應(yīng)的poc代碼(Proof of Concept��,驗證性測試代碼)來檢測漏洞是否存在�����,因此效率低下,同時現(xiàn)有技術(shù)主要是根 據(jù)網(wǎng)上間斷爆出的UXSS漏洞來跟進(jìn)�����,需要人為進(jìn)行檢測��,因此對漏洞的檢測同時存在滯后 性�。
【發(fā)明內(nèi)容】
[0007] 本發(fā)明的目的是提供一種漏洞檢測方法和設(shè)備�����,能夠最快自動發(fā)現(xiàn)相關(guān)漏洞����。通 過爬蟲獲取最新漏洞的信息,使系統(tǒng)具有最新漏洞的感知能力����。通過修改漏洞檢測性測試 代碼,使之具備自動化檢測能力�����,大大提高漏洞發(fā)現(xiàn)能力。
[0008] 有鑒于此���,本申請一方面提供一種漏洞檢測方法��,其中����,所述漏洞檢測方法包括:
[0009] 獲取漏洞的?目息�����;
[0010] 對所述漏洞的信息所對應(yīng)的驗證性測試代碼進(jìn)行處理��,并將處理后的驗證性測試 代碼集成到集成頁面中��;
[0011] 利用受測對象加載所述集成頁面����,并觸發(fā)所述處理后的驗證性測試代碼自動檢 測;以及
[0012] 生成所述受測對象是否存在漏洞的結(jié)果以及存在漏洞時的相應(yīng)漏洞的信息�����。
[0013] 優(yōu)選的�,獲取漏洞的信息包括:
[0014] 采用爬蟲技術(shù)從網(wǎng)絡(luò)中獲取所述漏洞的信息����。
[0015] 優(yōu)選的���,獲取漏洞的信息包括:
[0016] 在網(wǎng)絡(luò)中搜索提供漏洞的信息的網(wǎng)站�����;
[0017] 監(jiān)控所述提供漏洞的信息的網(wǎng)站是否有漏洞的信息更新�;以及
[0018] 當(dāng)有漏洞的信息更新時���,則爬取該漏洞的信息和驗證性測試代碼。
[0019] 優(yōu)選的���,對所述漏洞的信息所對應(yīng)的驗證性測試代碼進(jìn)行處理包括:
[0020] 增加用于觸發(fā)所述驗證性測試代碼進(jìn)行自動檢測的代碼�����;以及
[0021] 增加用于在自動檢測過程中自動調(diào)用被檢測網(wǎng)頁的代碼����。
[0022] 優(yōu)選的����,對所述漏洞的信息所對應(yīng)的驗證性測試代碼進(jìn)行處理包括:
[0023] 將所述漏洞的信息所對應(yīng)的驗證性測試代碼插入具有自動檢測指令的頁面模板����。
[0024] 優(yōu)選的���,將處理后的驗證性測試代碼集成到集成頁面包括:
[0025] 采用頁面框架將處理后的驗證性測試代碼集成到集成頁面中�。
[0026] 優(yōu)選的��,利用受測對象加載所述集成頁面包括:
[0027] 獲取漏洞檢測請求��,并根據(jù)所述漏洞檢測請求���,請求利用所述漏洞檢測請求所對 應(yīng)的受測對象加載所述集成頁面����。
[0028] 優(yōu)選的����,所述漏洞檢測請求由具有所述受測對象的用戶設(shè)備發(fā)起,且生成的所述 受測對象是否存在漏洞的結(jié)果以及存在漏洞時的相應(yīng)漏洞的信息由該用戶設(shè)備獲取并展 不��。
[0029] 優(yōu)選的����,觸發(fā)所述處理后的驗證性測試代碼自動檢測包括:
[0030] 并行觸發(fā)所有處理后的驗證性測試代碼自動檢測�。
[0031] 進(jìn)一步的���,所述漏洞的信息包括漏洞名稱�����、漏洞類型����、漏洞編號及漏洞地址中的一 種或任意組合。
[0032] 進(jìn)一步的�����,所述漏洞為UXSS漏洞����。
[0033] 本申請另一方面提供一種用于漏洞檢測的漏洞檢測設(shè)備��,其中�,所述漏洞檢測設(shè) 備包括:
[0034] 第一裝置,用于獲取漏洞的信息���;
[0035] 第三裝置�,用于對所述漏洞的信息所對應(yīng)的驗證性測試代碼進(jìn)行處理,并將處理 后的驗證性測試代碼集成到集成頁面中���;
[0036] 第五裝置�,用于利用受測對象加載所述集成頁面���,并觸發(fā)所述處理后的驗證性測 試代碼自動檢測���;以及
[0037] 第七裝置,用于生成所述受測對象是否存在漏洞的結(jié)果以及存在漏洞時的相應(yīng)漏 洞的信息���。
[0038] 優(yōu)選的����,所述第一裝置采用爬蟲技術(shù)從網(wǎng)絡(luò)中獲取所述漏洞的信息�����。
[0039] 優(yōu)選的�����,所述第一裝置包括:
[0040] 第一單元,用于在網(wǎng)絡(luò)中搜索提供漏洞的信息的網(wǎng)站�����;
[0041] 第二單元��,用于監(jiān)控所述提供漏洞的信息的網(wǎng)站是否有漏洞的信息更新�;以及
[0042] 第三單元,用于當(dāng)有漏洞的信息更新時�����,則爬取該漏洞的信息和驗證性測試代碼��。
[0043] 優(yōu)選的���,所述第三裝置包括:
[0044] 第四單元��,用于增加用于觸發(fā)所述驗證性測試代碼進(jìn)行自動檢測的代碼;以及
[0045] 第五單元���,用于增加用于在自動檢測過程中自動調(diào)用被檢測網(wǎng)頁的代碼����。
[0046] 優(yōu)選的,所述第三裝置包括:
[0047] 第六單元�����,用于將所述漏洞的信息所對應(yīng)的驗證性測試代碼插入具有自動檢測指 令的頁面模板���。
[0048] 優(yōu)選的�����,所述第三裝置包括:
[0049] 第七單元���,用于采用頁面框架將處理后的驗證性測試代碼集成到集成頁面中。
[0050] 優(yōu)選的����,所述第五裝置包括:
[0051] 第八單元,用于獲取漏洞檢測請求��,并根據(jù)所述漏洞檢測請求���,請求利用所述漏洞 檢測請求所對應(yīng)的受測對象加載所述集成頁面���。
[0052] 優(yōu)選的��,所述漏洞檢測請求由具有所述受測對象的用戶設(shè)備發(fā)起�����,且生成的所述 受測對象是否存在漏洞的結(jié)果以及存在漏洞時的相應(yīng)漏洞的信息由該用戶設(shè)備獲取并展 不��。
[0053] 優(yōu)選的�,所述第五裝置包括:
[0054] 第九單元���,用于并行觸發(fā)所有處理后的驗證性測試代碼自動檢測�。
[0055] 進(jìn)一步的����,所述漏洞的信息包括漏洞名稱、漏洞類型����、漏洞編號及漏洞地址中的一 種或任意組合。
[0056] 進(jìn)一步的�,所述漏洞為UXSS漏洞。
[0057] 綜上所述�,相比于現(xiàn)有技術(shù)中技術(shù)人員需要對每一所述漏洞的信息所對應(yīng)的驗證 性測試代碼進(jìn)行一一手動執(zhí)行實現(xiàn)漏洞檢測,本申請所述漏洞檢測方法通過對所述漏洞的 信息所對應(yīng)的驗證性測試代碼進(jìn)行處理����,使處理后的驗證性測試代碼具有自動檢測功能, 并且將處理后的驗證性測試代碼集成到集成頁面中�����,從而在進(jìn)行漏洞檢測時�,根據(jù)漏洞檢 測請求,直接利用受測對象加載所述集成頁面�����,并觸發(fā)若干所述處理后的驗證性測試代碼 同時自動執(zhí)行���,以分別對受測對象進(jìn)行漏洞檢測�����,從而實現(xiàn)了集中自動運行的漏洞檢測�����,大 大提高漏洞檢測效率��,提供漏洞檢測性能�����,進(jìn)而改善用戶體驗�。
[0058] 進(jìn)一步的,所述漏洞檢測方法采用爬蟲技術(shù)從網(wǎng)絡(luò)中獲取所述漏洞的信息���,能夠 及時監(jiān)控并獲取最新的漏洞的信息��,因而使所述漏洞檢測方法能夠具有最新的漏洞的感知 能力和最全的漏洞檢索能力�����。
【附圖說明】
[0059] 通過閱讀參照以下附圖所作的對非限制性實施例所作的詳細(xì)描述����,本申請的其它 特征���、目的和優(yōu)點將會變得更明顯:
[0060] 圖1示出根據(jù)本申請一個方面的漏洞檢測設(shè)備示意圖���;
[0061] 圖2示出根據(jù)本申請一優(yōu)選實施例中具體的用于獲取漏洞的信息的第一裝置的 示意圖;
[0062] 圖3示出根據(jù)本申請一個方面的漏洞檢測方法示意圖��;
[0063] 圖4示出根據(jù)本申請一優(yōu)選實施例中具體的用于獲取漏洞的信息的方法流程示 意圖;
[0064] 圖5示出本申請一優(yōu)選的實施例中漏洞檢測設(shè)備和用戶設(shè)備配合實現(xiàn)漏洞檢測 的方法流程圖��;
[0065] 圖6�����、圖7及圖8示出本申請一優(yōu)選的實施例中用戶設(shè)備在漏洞檢測過程中所展現(xiàn) 的界面示意圖�。
[0066] 附圖中相同或相似的附圖標(biāo)記代表相同或相似的部件�。
【具體實施方式】
[0067] 在本申請一個典型的配置中,終端���、服務(wù)網(wǎng)絡(luò)的設(shè)備和可信方均包括一個或多個 處理器(CPU)����、輸入/輸出接口��、網(wǎng)絡(luò)接口和內(nèi)存�����。
[0068] 內(nèi)存可能包括計算機(jī)可讀介質(zhì)中的非永久性存儲器���,隨機(jī)存取存儲器(RAM)和/ 或非易失性內(nèi)存等形式�,如只讀存儲器(ROM)或閃存(flash RAM)。內(nèi)存是計算機(jī)可讀介質(zhì) 的示例��。
[0069] 計算機(jī)可讀介質(zhì)包括永久性和非永久性�����、可移動和非可移動媒體可以由任何方法 或技術(shù)來實現(xiàn)信息存儲�����。信息可以是計算機(jī)可讀指令�����、數(shù)據(jù)結(jié)構(gòu)�、程序的模塊或其他數(shù)據(jù)。 計算機(jī)的存儲介質(zhì)的例子包括���,但不限于相變內(nèi)存(PRAM)�、靜態(tài)隨機(jī)存取存儲器(SRAM)��、 動態(tài)隨機(jī)存取存儲器(DRAM)����、其他類型的隨機(jī)存取存儲器(RAM)�、只讀存儲器(ROM)��、電 可擦除可編程只讀存儲器(EEPR0M)�、快閃記憶體或其他內(nèi)存技術(shù)、只讀光盤只讀存儲器 (CD-ROM)�����、數(shù)字多功能光盤(DVD)或其他光學(xué)存儲�、磁盒式磁帶�����,磁帶磁盤存儲或其他磁性 存儲設(shè)備或任何其他非傳輸介質(zhì)�,可用于存儲可以被計算設(shè)備訪問的信息。按照本文中的 界定�,計算機(jī)可讀介質(zhì)不包括非暫存電腦可讀媒體(Transitory Media),如調(diào)制的數(shù)據(jù)信 號和載波��。
[0070] 圖1示出根據(jù)本申請一個方面的漏洞檢測設(shè)備示意圖��。如圖1所示�,所述漏洞檢 測設(shè)備包括第一裝置110、第三裝置130����、第五裝置150及第七裝置170��。
[0071] 其中����,第一裝置110用于獲取漏洞的信息���;第三裝置130用于對所述漏洞的信息所 對應(yīng)的驗證性測試代碼進(jìn)行處理����,并將處理后的驗證性測試代碼集成到集成頁面中���;第五 裝置150用于利用受測對象加載所述集成頁面�����,并觸發(fā)所述處理后的驗證性測試代碼自動 檢測���;以及第七裝置170用于生成所述受測對象是否存在漏洞的結(jié)果以及存在漏洞時的相 應(yīng)漏洞的信息。
[0072] 在此�,所述漏洞的信息可以包括漏洞名稱、漏洞類型、漏洞編號及漏洞地址中的一 種或任意組合�����。其他能夠確定用于確定漏洞的種類的相關(guān)信息都可以包含在本申請的思想 范圍之內(nèi)����。
[0073] 在此,本申請所述的漏洞可以為UXSS漏洞��,包括移動終端中系統(tǒng)�����、瀏覽器等具有 的UXSS漏洞���,例如,安卓(Android)瀏覽器���、安卓系統(tǒng)���、蘋果移動終端系統(tǒng)(ios)中安裝的 瀏覽器、Webkit (開源的瀏覽器引擎)等設(shè)備中具有的UXSS漏洞�。
[0074] 在優(yōu)選的實施例中,第一裝置110采用爬蟲技術(shù)從網(wǎng)絡(luò)中獲取所述漏洞的信息����。 第一裝置110通過從網(wǎng)絡(luò)中搜索提供漏洞的信息的網(wǎng)站�,并監(jiān)控相應(yīng)提供漏洞的信息的網(wǎng) 站是否有漏洞的信息更新��,一旦監(jiān)控到有漏洞的信息更新時�����,則爬取該漏洞的信息和驗證 性測試代碼���。
[0075] 圖2示出根據(jù)本申請一優(yōu)選實施例中具體的用于獲取漏洞的信息的第一裝置的 示意圖����,如圖2所示�,其中,第一裝置110包括第一單元1100�、第二單元1200及第三單元 1300。其中����,第一單元1100用于在網(wǎng)絡(luò)中搜索提供漏洞的信息的網(wǎng)站;第二單元口���。��。用于 監(jiān)控所述提供漏洞的信息的網(wǎng)站是否有漏洞的信息更新����;以及第三單元1300用于當(dāng)有漏 洞的信息更新時,則爬取該漏洞的信息和驗證性測試代碼���。
[0076] 在具體的實施例中���,以檢測安卓瀏覽器中的漏洞為目標(biāo),則第一裝置110采用爬 蟲技術(shù)從網(wǎng)絡(luò)中獲取所述安卓瀏覽器的漏洞的信息網(wǎng)站��,經(jīng)搜索獲得以下信息庫網(wǎng)站:
[0077] 安卓漏洞信息庫網(wǎng)站:http://android, scap. org. cn/index. html
[0078] Chromium issue列表網(wǎng)站:https://code, google, com/p/chromium/issues/list
[0079] 當(dāng)然���,本領(lǐng)域技術(shù)人員應(yīng)當(dāng)理解上述網(wǎng)站僅為舉例,根據(jù)檢測漏洞目標(biāo)的不同����、提 供漏洞的信息的網(wǎng)站的變化情況等,在網(wǎng)絡(luò)中搜索提供漏洞的信息的網(wǎng)站可以具體不同��, 并不限制于此����,今后可能出現(xiàn)的提供漏洞的信息的網(wǎng)站均包含于本申請的思想范圍之內(nèi)����。
[0080] 因此���,所述第一裝置110能夠及時監(jiān)控并獲取最新的漏洞的信息�,從而能夠使漏 洞檢測設(shè)備能夠具有最新的漏洞的感知能力��。
[0081] 然后����,第三裝置130對所述漏洞的信息所對應(yīng)的驗證性測試代碼進(jìn)行處理。處理 過程可以通過技術(shù)人員對相應(yīng)驗證測試代碼進(jìn)行手動修改�����,使其具有自動檢測功能��;在其 他優(yōu)選的實施例中���,對所述漏洞的信息所對應(yīng)的驗證性測試代碼進(jìn)行處理也可以建立統(tǒng)一 的頁面模板�,然后將每次獲取的相應(yīng)驗證測試代碼直接將相應(yīng)驗證測試代碼插入具有自動 檢測指令的頁面模板�。
[0082] 具體地���,在一較佳的實施例中,所述第三裝置130包括第四單元(未示出)和第五 單元(未示出)�����,其中�,第四單元用于增加用于觸發(fā)所述驗證性測試代碼進(jìn)行自動檢測的代 碼;第五單元用于增加用于在自動檢測過程中自動調(diào)用被檢測網(wǎng)頁的代碼�。
[0083] 具體地,在另一較佳的實施例中��,所述第三裝置130包括第六單元���,其中�����,第六單 元用于將所述漏洞的信息所對應(yīng)的驗證性測試代碼插入具有自動檢測指令的頁面模板��。
[0084] 例如,頁面模板如下:
[0085]
[0086] 當(dāng)然���,本領(lǐng)域技術(shù)人員應(yīng)當(dāng)理解上述頁面模板的代碼表示僅為舉例�����,根據(jù)檢測漏 洞的信息對應(yīng)的驗證性測試代碼的不同等�,頁面模板的代碼可以具體不同,并不限制于此��, 今后可能出現(xiàn)的頁面模板的代碼�����,能夠?qū)⑺雎┒吹男畔⑺鶎?yīng)的驗證性測試代碼實現(xiàn)自 動檢測功能的方式均包含于本申請的思想范圍之內(nèi)��。
[0087] 在優(yōu)選的實施例中���,所述第三裝置1300還可以包括第七單元�����,所述第七單元采 用頁面框架(Iframe)將處理后的驗證性測試代碼集成到集成頁面中���。采用頁面框架 (Iframe)進(jìn)行集成,能夠在后續(xù)漏洞檢測過程中���,實現(xiàn)多個驗證性測試代碼同時并行檢測��, 從而大幅提尚檢測效率��,降低檢測消耗的時間�����,提尚性能�����,進(jìn)而改善用戶體驗���。
[0088] 采用頁面框架進(jìn)行集成的代碼實現(xiàn)方式例如為:
[0089]
[0090]
[0091] 當(dāng)然�,本領(lǐng)域技術(shù)人員應(yīng)當(dāng)理解為���,所述的采用頁面框架進(jìn)行集成的代碼實現(xiàn)方 式僅為舉例�����,其他今后可能實現(xiàn)的采用頁面框架進(jìn)行集成的代碼或其他實現(xiàn)方式等都應(yīng)包 含在本申請的思想范圍之內(nèi)���。
[0092] 因此,所述第三裝置1300通過對所述漏洞的信息所對應(yīng)的驗證性測試代碼進(jìn)行 處理�����,使處理后的驗證性測試代碼具備自動化檢測能力����,并且將處理后的驗證性測試代碼 集成到集成頁面中,能夠使多個驗證性測試代碼同時并行檢測��,從而大大提高漏洞發(fā)現(xiàn)能 力和檢測效率�,降低檢測消耗時間,進(jìn)而改善用戶體驗�。
[0093] 然后,所述第五裝置150利用受測對象加載所述集成頁面���,并觸發(fā)所述處理后的 驗證性測試代碼自動檢測����。
[0094] 觸發(fā)所述處理后的驗證性測試代碼自動檢測的代碼實現(xiàn)方式例如為:
[0095] document. documentURI = ^javascript://hostname, com/ % 0? % OAdocument. write (//<script>location. href = ' htt p://10. 68. 95. 121/uxss_test/record. php ? id = Γ �;</script>//);
[0096] 當(dāng)然,本領(lǐng)域技術(shù)人員應(yīng)當(dāng)理解為��,所述的觸發(fā)所述處理后的驗證性測試代碼自 動檢測的代碼實現(xiàn)方式僅為舉例����,其他今后可能實現(xiàn)的觸發(fā)所述處理后的驗證性測試代碼 自動檢測的代碼或其他實現(xiàn)方式等都應(yīng)包含在本申請的思想范圍之內(nèi)����。
[0097] 在較佳的實施例中����,所述第五裝置150包括第八單元(未示出),所述第八單元用 于獲取漏洞檢測請求�,并根據(jù)所述漏洞檢測請求,請求利用所述漏洞檢測請求所對應(yīng)的受 測對象加載所述集成頁面�����。
[0098] 在此����,所述漏洞檢測請求由具有所述受測對象的用戶設(shè)備發(fā)起,且生成的所述受 測對象是否存在漏洞的結(jié)果以及存在漏洞時的相應(yīng)漏洞的信息由該用戶設(shè)備獲取并展示����。 即,任一用戶需要對用戶設(shè)備中的受測對象進(jìn)行漏洞檢測時�,控制用戶設(shè)備向本申請所述 漏洞檢測設(shè)備發(fā)起漏洞檢測請求,本申請所述漏洞檢測設(shè)備利用用戶設(shè)備的受測對象(例 如��,受測對象為安卓系統(tǒng)中的瀏覽器)加載所述集成頁面,觸發(fā)所述處理后的驗證性測試 代碼自動檢測并生成所述受測對象是否存在漏洞的結(jié)果以及存在漏洞時的相應(yīng)漏洞的信 息�����,在后續(xù)步驟中��,用戶設(shè)備可以向所述漏洞檢測設(shè)備獲取其生成的結(jié)果����,已將漏洞檢測的 相關(guān)結(jié)果展示給用戶���。
[0099] 在較佳的實施例中���,所述第五裝置150還可以包括第九單元(未示出),所述第九 單元用于并行觸發(fā)所有處理后的驗證性測試代碼自動檢測��,并行觸發(fā)所有處理后的驗證性 測試代碼自動檢測能夠在漏洞檢測過程中�����,實現(xiàn)多個驗證性測試代碼同時并行檢測��,從而 大幅提高檢測效率���,降低檢測消耗時間�,進(jìn)而改善用戶體驗。
[0100] 然后���,第七裝置170生成所述受測對象是否存在漏洞的結(jié)果以及存在漏洞時的相 應(yīng)漏洞的信息��。
[0101] 此后���,所述生成的所述受測對象是否存在漏洞的結(jié)果以及存在漏洞時的相應(yīng)漏洞 的信息可以由具有受測對象的用戶設(shè)備獲取并展示給用戶。
[0102] 用戶設(shè)備獲取并展示所生成的相關(guān)結(jié)果的代碼實現(xiàn)方式例如為:
[0103]
[0104] 當(dāng)然���,本領(lǐng)域技術(shù)人員應(yīng)當(dāng)理解為���,所述的用戶設(shè)備獲取并展示所生成的相關(guān)結(jié) 果的代碼實現(xiàn)方式僅為舉例,其他今后可能實現(xiàn)的用戶設(shè)備獲取并展示所生成的相關(guān)結(jié)果 的代碼或其他實現(xiàn)方式等都應(yīng)包含在本申請的思想范圍之內(nèi)����。
[0105] 相比于現(xiàn)有技術(shù)中技術(shù)人員需要對每一所述漏洞的信息所對應(yīng)的驗證性測試代 碼進(jìn)行一一手動執(zhí)行實現(xiàn)漏洞檢測,本申請所述漏洞檢測設(shè)備通過對所述漏洞的信息所對 應(yīng)的驗證性測試代碼進(jìn)行處理��,使處理后的驗證性測試代碼具有自動檢測功能�,并且將處 理后的驗證性測試代碼集成到集成頁面中,從而在進(jìn)行漏洞檢測時�����,根據(jù)漏洞檢測請求,直 接利用受測對象加載所述集成頁面���,并觸發(fā)若干所述處理后的驗證性測試代碼同時自動執(zhí) 行����,以分別對受測對象進(jìn)行漏洞檢測��,從而實現(xiàn)了集中自動運行的漏洞檢測�,大大提高漏洞 檢測效率���,提供漏洞檢測性能����,進(jìn)而改善用戶體驗����。
[0106] 進(jìn)一步的,所述漏洞檢測設(shè)備采用爬蟲技術(shù)從網(wǎng)絡(luò)中獲取所述漏洞的信息�,能夠 及時監(jiān)控并獲取最新的漏洞的信息,從而使漏洞檢測設(shè)備能夠具有最新的漏洞的感知能力 和最全的漏洞檢索能力��。
[0107] 圖3示出根據(jù)本申請一個方面的漏洞檢測方法示意圖。如圖3所示����,所述漏洞檢 測方法包括步驟S11、步驟S13����、步驟S15及步驟S17。
[0108] 其中�,在步驟SI 1中,獲取漏洞的信息���;在步驟S13中�,對所述漏洞的信息所對應(yīng)的 驗證性測試代碼進(jìn)行處理��,并將處理后的驗證性測試代碼集成到集成頁面中��;在步驟S15 中�����,利用受測對象加載所述集成頁面�,并觸發(fā)所述處理后的驗證性測試代碼自動檢測;以 及在步驟S17中���,生成所述受測對象是否存在漏洞的結(jié)果以及存在漏洞時的相應(yīng)漏洞的信 息�。
[0109] 在此,所述漏洞的信息可以包括漏洞名稱�����、漏洞類型����、漏洞編號及漏洞地址中的一 種或任意組合。其他能夠確定用于確定漏洞的種類的相關(guān)信息都可以包含在本申請的思想 范圍之內(nèi)���。
[0110] 在此,本申請所述的漏洞可以為UXSS漏洞����,包括移動終端中系統(tǒng)、瀏覽器等具有 的UXSS漏洞�,例如,安卓(Android)瀏覽器�����、安卓系統(tǒng)�、蘋果移動終端系統(tǒng)(ios)中安裝的 瀏覽器��、Webkit (開源的瀏覽器引擎)等設(shè)備中具有的UXSS漏洞���。
[0111] 在優(yōu)選的實施例中,在步驟S11中�����,采用爬蟲技術(shù)從網(wǎng)絡(luò)中獲取所述漏洞的信息��。 通過從網(wǎng)絡(luò)中搜索提供漏洞的信息的網(wǎng)站�����,并監(jiān)控相應(yīng)提供漏洞的信息的網(wǎng)站是否有漏洞 的信息更新�����,一旦監(jiān)控到有漏洞的信息更新時�,則爬取該漏洞的信息和驗證性測試代碼。
[0112] 圖4示出根據(jù)本申請一優(yōu)選實施例中具體的用于獲取漏洞的信息的方法流程示 意圖�,結(jié)合圖4,所述步驟S11包括步驟S110��、步驟S120及步驟S130��,其中,在步驟S110中���, 在網(wǎng)絡(luò)中搜索提供漏洞的信息的網(wǎng)站�;在步驟S120中���,用于監(jiān)控所述提供漏洞的信息的網(wǎng) 站是否有漏洞的信息更新�����;以及在步驟S130中�����,當(dāng)有漏洞的信息更新時����,則爬取該漏洞的 信息和驗證性測試代碼�����。
[0113] 在具體的實施例中����,以檢測安卓瀏覽器中的漏洞為目標(biāo),則在步驟S110中���,采用 爬蟲技術(shù)從網(wǎng)絡(luò)中獲取所述安卓瀏覽器的漏洞的信息網(wǎng)站�,經(jīng)搜索獲得以下信息庫網(wǎng)站:
[0114] 安卓漏洞信息庫網(wǎng)站:http://android, scap. org. cn/index. html
[0115] Chromium issue列表網(wǎng)站:https://code, google, com/p/chromium/issues/list
[0116] 當(dāng)然�,本領(lǐng)域技術(shù)人員應(yīng)當(dāng)理解上述網(wǎng)站僅為舉例,根據(jù)檢測漏洞目標(biāo)的不同���、提 供漏洞的信息的網(wǎng)站的變化情況等�,在網(wǎng)絡(luò)中搜索提供漏洞的信息的網(wǎng)站可以具體不同��, 并不限制于此�,今后可能出現(xiàn)的提供漏洞的信息的網(wǎng)站均包含于本申請的思想范圍之內(nèi)。
[0117] 因此��,步驟S110能夠及時監(jiān)控并獲取最新的漏洞的信息����,從而能夠使漏洞檢測設(shè) 備能夠具有最新的漏洞的感知能力。
[0118] 然后�,在步驟S130中,對所述漏洞的信息所對應(yīng)的驗證性測試代碼進(jìn)行處理��。處 理過程可以通過技術(shù)人員對相應(yīng)驗證測試代碼進(jìn)行手動修改���,使其具有自動檢測功能��;在 其他優(yōu)選的實施例中����,對所述漏洞的信息所對應(yīng)的驗證性測試代碼進(jìn)行處理也可以建立統(tǒng) 一的頁面模板,然后將每次獲取的相應(yīng)驗證測試代碼直接將相應(yīng)驗證測試代碼插入具有自 動檢測指令的頁面模板��。
[0119] 具體地�����,在一較佳的實施例中��,在步驟S130中����,包括:增加用于觸發(fā)所述驗證性測 試代碼進(jìn)行自動檢測的代碼以及增加用于在自動檢測過程中自動調(diào)用被檢測網(wǎng)頁的代碼。
[0120] 具體地���,在另一較佳的實施例中���,在步驟S130中�,包括:將所述漏洞的信息所對應(yīng) 的驗證性測試代碼插入具有自動檢測指令的頁面模板�����。
[0121] 例如�,頁面模板如下:
[0122]
[0124] 當(dāng)然����,本領(lǐng)域技術(shù)人員應(yīng)當(dāng)理解上述頁面模板的代碼表示僅為舉例,根據(jù)檢測漏 洞的信息對應(yīng)的驗證性測試代碼的不同等�����,頁面模板的代碼可以具體不同���,并不限制于此��, 今后可能出現(xiàn)的頁面模板的代碼�����,能夠?qū)⑺雎┒吹男畔⑺鶎?yīng)的驗證性測試代碼實現(xiàn)自 動檢測功能的方式均包含于本申請的思想范圍之內(nèi)�����。
[0125] 在優(yōu)選的實施例中�����,在步驟S130中��,采用頁面框架(Iframe)將處理后的驗證性 測試代碼集成到集成頁面中�����。采用頁面框架(Iframe)進(jìn)行集成�����,能夠在后續(xù)漏洞檢測過 程中��,實現(xiàn)多個驗證性測試代碼同時并行檢測����,從而大幅提高檢測效率,降低檢測消耗的時 間����,提尚性能,進(jìn)而改善用戶體驗�。
[0126] 采用頁面框架進(jìn)行集成的代碼實現(xiàn)方式例如為:
[0127]
[0129] 當(dāng)然����,本領(lǐng)域技術(shù)人員應(yīng)當(dāng)理解為���,所述的采用頁面框架進(jìn)行集成的代碼實現(xiàn)方 式僅為舉例,其他今后可能實現(xiàn)的采用頁面框架進(jìn)行集成的代碼或其他實現(xiàn)方式等都應(yīng)包 含在本申請的思想范圍之內(nèi)���。
[0130] 因此��,在步驟S130中�,通過對所述漏洞的信息所對應(yīng)的驗證性測試代碼進(jìn)行處 理����,使處理后的驗證性測試代碼具備自動化檢測能力,并且將處理后的驗證性測試代碼集 成到集成頁面中�����,能夠使多個驗證性測試代碼同時并行檢測���,從而大大提高漏洞發(fā)現(xiàn)能力 和檢測效率����,降低檢測消耗時間,進(jìn)而改善用戶體驗�����。
[0131] 然后�����,在步驟S15中����,利用受測對象加載所述集成頁面,并觸發(fā)所述處理后的驗證 性測試代碼自動檢測��。
[0132] 觸發(fā)所述處理后的驗證性測試代碼自動檢測的代碼實現(xiàn)方式例如為:
[0133] document. documentURI = ^javascript://hostname, com/ % 0? % OAdocument. write (//<script>location. href = ' htt p://10. 68. 95. 121/uxss_test/record. php ? id = Γ �;</script>//);
[0134] 當(dāng)然,本領(lǐng)域技術(shù)人員應(yīng)當(dāng)理解為��,所述的觸發(fā)所述處理后的驗證性測試代碼自 動檢測的代碼實現(xiàn)方式僅為舉例���,其他今后可能實現(xiàn)的觸發(fā)所述處理后的驗證性測試代碼 自動檢測的代碼或其他實現(xiàn)方式等都應(yīng)包含在本申請的思想范圍之內(nèi)�����。
[0135] 在較佳的實施例中�,在步驟S15中,包括:獲取漏洞檢測請求���,并根據(jù)所述漏洞檢 測請求�����,請求利用所述漏洞檢測請求所對應(yīng)的受測對象加載所述集成頁面。
[0136] 在此�,所述漏洞檢測請求由具有所述受測對象的用戶設(shè)備發(fā)起,且生成的所述受 測對象是否存在漏洞的結(jié)果以及存在漏洞時的相應(yīng)漏洞的信息由該用戶設(shè)備獲取并展示�。 即,任一用戶需要對用戶設(shè)備中的受測對象進(jìn)行漏洞檢測時�����,控制用戶設(shè)備向本申請所述 漏洞檢測設(shè)備發(fā)起漏洞檢測請求��,本申請所述漏洞檢測設(shè)備利用用戶設(shè)備的受測對象(例 如�����,受測對象為安卓系統(tǒng)中的瀏覽器)加載所述集成頁面�����,觸發(fā)所述處理后的驗證性測試 代碼自動檢測并生成所述受測對象是否存在漏洞的結(jié)果以及存在漏洞時的相應(yīng)漏洞的信 息,在后續(xù)步驟中���,用戶設(shè)備可以向所述漏洞檢測設(shè)備獲取其生成的結(jié)果�����,已將漏洞檢測的 相關(guān)結(jié)果展示給用戶�����。
[0137] 在較佳的實施例中�����,在步驟S15中��,還可以包括:并行觸發(fā)所有處理后的驗證性 測試代碼自動檢測�����,并行觸發(fā)所有處理后的驗證性測試代碼自動檢測能夠在漏洞檢測過程 中�,實現(xiàn)多個驗證性測試代碼同時并行檢測����,從而大幅提高檢測效率��,降低檢測消耗時間�, 進(jìn)而改善用戶體驗��。
[0138] 然后��,在步驟S17中����,生成所述受測對象是否存在漏洞的結(jié)果以及存在漏洞時的 相應(yīng)漏洞的信息����。
[0139] 此后,所述生成的所述受測對象是否存在漏洞的結(jié)果以及存在漏洞時的相應(yīng)漏洞 的信息可以由具有受測對象的用戶設(shè)備獲取并展示給用戶����。
[0140] 用戶設(shè)備獲取并展示所生成的相關(guān)結(jié)果的代碼實現(xiàn)方式例如為:
[0141]
[0143] 當(dāng)然,本領(lǐng)域技術(shù)人員應(yīng)當(dāng)理解為�,所述的用戶設(shè)備獲取并展示所生成的相關(guān)結(jié) 果的代碼實現(xiàn)方式僅為舉例,其他今后可能實現(xiàn)的用戶設(shè)備獲取并展示所生成的相關(guān)結(jié)果 的代碼或其他實現(xiàn)方式等都應(yīng)包含在本申請的思想范圍之內(nèi)����。
[0144] 圖5示出本申請一優(yōu)選的實施例中漏洞檢測設(shè)備和用戶設(shè)備配合實現(xiàn)漏洞檢測 的方法流程圖。如圖5所示���,所述用戶設(shè)備2包括第二裝置220'和第四裝置240'��,其中��,所 述第二裝置220'用于向漏洞檢測設(shè)備發(fā)起漏洞檢測請求�����,所述第四裝置240'用于從漏洞 檢測設(shè)備中獲取其生成的所述受測對象是否存在漏洞的結(jié)果以及存在漏洞時的相應(yīng)漏洞 的信息�����。
[0145] 所述漏洞檢測設(shè)備1包括第一裝置110'�����、第三裝置130'�、第五裝置150'及第七裝 置170',所述漏洞檢測設(shè)備1的第一裝置110'���、第三裝置130'��、第五裝置150'及第七裝置 170'與圖1中第一裝置110��、第三裝置130�����、第五裝置150及第七裝置170的內(nèi)容相同或基 本相同�,為簡明起見,在此不做贅述�。
[0146] 所述漏洞檢測設(shè)備1的第一裝置110'從網(wǎng)絡(luò)中獲取漏洞的信息,第二裝置120' 對所述漏洞的信息所對應(yīng)的驗證性測試代碼進(jìn)行處理����,使處理后的驗證性測試代碼具有自 動檢測功能,并且將處理后的驗證性測試代碼集成到集成頁面中���。
[0147] 所述用戶設(shè)備2的第二裝置220'向漏洞檢測設(shè)備發(fā)起漏洞檢測請求��,所述漏洞檢 測設(shè)備1的第五裝置150'獲取漏洞檢測請求后,根據(jù)所述漏洞檢測請求���,請求利用用戶設(shè) 備2的受測對象加載集成頁面���,并觸發(fā)若干所述處理后的驗證性測試代碼同時自動執(zhí)行漏 洞檢測,并由第七裝置170'生成所述受測對象是否存在漏洞的結(jié)果以及存在漏洞時的相 應(yīng)漏洞的信息�,隨后,用戶設(shè)備2的第四裝置240'從漏洞檢測設(shè)備中獲取其生成的所述受 測對象是否存在漏洞的結(jié)果以及存在漏洞時的相應(yīng)漏洞的信息�,并將所述生成的相關(guān)結(jié)果 展示給用戶�����。
[0148] 圖6�、圖7及圖8示出本申請一優(yōu)選的實施例中用戶設(shè)備在漏洞檢測過程中所展現(xiàn) 的界面示意圖�。
[0149] 在一具體的實施例中,以檢測某安卓系統(tǒng)的瀏覽器中是否有UXSS漏洞為例��,所述 用戶設(shè)備2向用戶設(shè)備提供如圖6所示的請求界面��,當(dāng)用戶點擊其中"開始測試"后���,所述用 戶設(shè)備2的第二裝置220'向漏洞檢測設(shè)備發(fā)起漏洞檢測請求��,所述漏洞檢測設(shè)備1開始對 用戶設(shè)備2中的安卓系統(tǒng)的瀏覽器進(jìn)行漏洞檢測��,檢測過程的展示如圖7所示�,當(dāng)所述漏洞 檢測設(shè)備1檢測完畢后��,用戶設(shè)備2即可從所述漏洞檢測設(shè)備1獲取相關(guān)結(jié)果���,展示受測對 象是否存在漏洞�,如圖8所示,如果未存在漏洞��,則顯示不存在漏洞的消息�,如果存在漏洞, 則顯示相應(yīng)漏洞的信息��,完成漏洞檢測過程��。
[0150] 當(dāng)然�����,本領(lǐng)域技術(shù)人員應(yīng)當(dāng)理解上述用戶設(shè)備的展現(xiàn)界面示意圖僅為舉例�,根據(jù) 具體漏洞檢測類型、要求等�����,用戶設(shè)備的展現(xiàn)界面可以具體不同�����,并不限制于此����,今后可能 出現(xiàn)的用戶設(shè)備的展現(xiàn)界面示意圖,能夠?qū)⒈旧暾埶龅穆┒礄z測設(shè)備生成的相關(guān)檢測結(jié) 果展示給用戶的方式均包含于本申請的思想范圍之內(nèi)��。
[0151] 綜上所述����,相比于現(xiàn)有技術(shù)中技術(shù)人員需要對每一所述漏洞的信息所對應(yīng)的驗證 性測試代碼進(jìn)行一一手動執(zhí)行實現(xiàn)漏洞檢測,本申請所述漏洞檢測方法通過對所述漏洞的 信息所對應(yīng)的驗證性測試代碼進(jìn)行處理����,使處理后的驗證性測試代碼具有自動檢測功能, 并且將處理后的驗證性測試代碼集成到集成頁面中����,從而在進(jìn)行漏洞檢測時,根據(jù)漏洞檢 測請求�,直接利用受測對象加載所述集成頁面,并觸發(fā)若干所述處理后的驗證性測試代碼 同時自動執(zhí)行���,以分別對受測對象進(jìn)行漏洞檢測�����,從而實現(xiàn)了集中自動運行的漏洞檢測��,大 大提高漏洞檢測效率����,提供漏洞檢測性能,進(jìn)而改善用戶體驗���。
[0152] 進(jìn)一步的��,所述漏洞檢測方法采用爬蟲技術(shù)從網(wǎng)絡(luò)中獲取所述漏洞的信息�,能夠 及時監(jiān)控并獲取最新的漏洞的信息���,因而使所述漏洞檢測方法能夠具有最新的漏洞的感知 能力和最全的漏洞檢索能力��。
[0153] 顯然��,本領(lǐng)域的技術(shù)人員可以對本申請進(jìn)行各種改動和變型而不脫離本申請的精 神和范圍����。這樣��,倘若本申請的這些修改和變型屬于本申請權(quán)利要求及其等同技術(shù)的范圍 之內(nèi)���,則本申請也意圖包含這些改動和變型在內(nèi)���。
[0154] 需要注意的是,本申請可在軟件和/或軟件與硬件的組合體中被實施�����,例如��,可采 用專用集成電路(ASIC)���、通用目的計算機(jī)或任何其他類似硬件設(shè)備來實現(xiàn)�����。在一個實施例 中���,本申請的軟件程序可以通過處理器執(zhí)行以實現(xiàn)上文所述步驟或功能。同樣地���,本申請的 軟件程序(包括相關(guān)的數(shù)據(jù)結(jié)構(gòu))可以被存儲到計算機(jī)可讀記錄介質(zhì)中�,例如����,RAM存儲器, 磁或光驅(qū)動器或軟磁盤及類似設(shè)備����。另外����,本申請的一些步驟或功能可采用硬件來實現(xiàn)���,例 如��,作為與處理器配合從而執(zhí)行各個步驟或功能的電路���。
[0155] 另外,本申請的一部分可被應(yīng)用為計算機(jī)程序產(chǎn)品�����,例如計算機(jī)程序指令���,當(dāng)其被 計算機(jī)執(zhí)行時���,通過該計算機(jī)的操作,可以調(diào)用或提供根據(jù)本申請的方法和/或技術(shù)方案�����。 而調(diào)用本申請的方法的程序指令,可能被存儲在固定的或可移動的記錄介質(zhì)中����,和/或通 過廣播或其他信號承載媒體中的數(shù)據(jù)流而被傳輸���,和/或被存儲在根據(jù)所述程序指令運行 的計算機(jī)設(shè)備的工作存儲器中�����。在此���,根據(jù)本申請的一個實施例包括一個裝置,該裝置包括 用于存儲計算機(jī)程序指令的存儲器和用于執(zhí)行程序指令的處理器����,其中,當(dāng)該計算機(jī)程序 指令被該處理器執(zhí)行時����,觸發(fā)該裝置運行基于前述根據(jù)本申請的多個實施例的方法和/或 技術(shù)方案。
[0156] 對于本領(lǐng)域技術(shù)人員而言���,顯然本申請不限于上述示范性實施例的細(xì)節(jié)��,而且在 不背離本申請的精神或基本特征的情況下����,能夠以其他的具體形式實現(xiàn)本申請。因此����,無論 從哪一點來看,均應(yīng)將實施例看作是示范性的�,而且是非限制性的,本申請的范圍由所附權(quán) 利要求而不是上述說明限定�����,因此旨在將落在權(quán)利要求的等同要件的含義和范圍內(nèi)的所有 變化涵括在本申請內(nèi)�����。不應(yīng)將權(quán)利要求中的任何附圖標(biāo)記視為限制所涉及的權(quán)利要求�����。此 外�����,顯然"包括" 一詞不排除其他單元或步驟,單數(shù)不排除復(fù)數(shù)���。裝置權(quán)利要求中陳述的多 個單元或裝置也可以由一個單元或裝置通過軟件或者硬件來實現(xiàn)�����。第一,第二等詞語用來 表示名稱�����,而并不表示任何特定的順序�。
【主權(quán)項】
1. 一種漏洞檢測方法,其中���,所述漏洞檢測方法包括: 獲取漏洞的?目息�; 對所述漏洞的信息所對應(yīng)的驗證性測試代碼進(jìn)行處理�,并將處理后的驗證性測試代碼 集成到集成頁面中; 利用受測對象加載所述集成頁面����,并觸發(fā)所述處理后的驗證性測試代碼自動檢測;以 及 生成所述受測對象是否存在漏洞的結(jié)果以及存在漏洞時的相應(yīng)漏洞的信息�����。2. 根據(jù)權(quán)利要求1所述的漏洞檢測方法,其中���,獲取漏洞的信息包括: 采用爬蟲技術(shù)從網(wǎng)絡(luò)中獲取所述漏洞的信息��。3. 根據(jù)權(quán)利要求2所述的漏洞檢測方法����,其中����,獲取漏洞的信息包括: 在網(wǎng)絡(luò)中搜索提供漏洞的信息的網(wǎng)站; 監(jiān)控所述提供漏洞的信息的網(wǎng)站是否有漏洞的信息更新�����;以及 當(dāng)有漏洞的信息更新時�,則爬取該漏洞的信息和驗證性測試代碼。4. 根據(jù)權(quán)利要求1至3中任一項所述的漏洞檢測方法�,其中,對所述漏洞的信息所對應(yīng) 的驗證性測試代碼進(jìn)行處理包括: 增加用于觸發(fā)所述驗證性測試代碼進(jìn)行自動檢測的代碼����;以及 增加用于在自動檢測過程中自動調(diào)用被檢測網(wǎng)頁的代碼�。5. 根據(jù)權(quán)利要求1或3中任一項所述的漏洞檢測方法�����,其中����,對所述漏洞的信息所對應(yīng) 的驗證性測試代碼進(jìn)行處理包括: 將所述漏洞的信息所對應(yīng)的驗證性測試代碼插入具有自動檢測指令的頁面模板。6. 根據(jù)權(quán)利要求1至5中任一項所述的漏洞檢測方法��,其中��,將處理后的驗證性測試代 碼集成到集成頁面包括: 采用頁面框架將處理后的驗證性測試代碼集成到集成頁面中�����。7. 根據(jù)權(quán)利要求1至6中任一項所述的漏洞檢測方法����,其中�,利用受測對象加載所述集 成頁面包括: 獲取漏洞檢測請求,并根據(jù)所述漏洞檢測請求��,請求利用所述漏洞檢測請求所對應(yīng)的 受測對象加載所述集成頁面。8. 根據(jù)權(quán)利要求7所述的漏洞檢測方法�����,其中�����,所述漏洞檢測請求由具有所述受測對 象的用戶設(shè)備發(fā)起�����,且生成的所述受測對象是否存在漏洞的結(jié)果以及存在漏洞時的相應(yīng)漏 洞的信息由該用戶設(shè)備獲取并展示����。9. 根據(jù)權(quán)利要求1至8中任一項所述的漏洞檢測方法,其中�����,觸發(fā)所述處理后的驗證性 測試代碼自動檢測包括: 并行觸發(fā)所有處理后的驗證性測試代碼自動檢測�����。10. 根據(jù)權(quán)利要求1至9中任一項所述的漏洞檢測方法����,其中����,所述漏洞的信息包括漏 洞名稱�、漏洞類型、漏洞編號及漏洞地址中的一種或任意組合�。11. 根據(jù)權(quán)利要求1至10中任一項所述的漏洞檢測方法,其中�����,所述漏洞為UXSS漏洞��。12. -種用于漏洞檢測的漏洞檢測設(shè)備��,其中��,所述漏洞檢測設(shè)備包括: 第一裝置�����,用于獲取漏洞的信息�; 第三裝置�����,用于對所述漏洞的信息所對應(yīng)的驗證性測試代碼進(jìn)行處理,并將處理后的 驗證性測試代碼集成到集成頁面中��; 第五裝置�,用于利用受測對象加載所述集成頁面,并觸發(fā)所述處理后的驗證性測試代 碼自動檢測�����;以及 第七裝置����,用于生成所述受測對象是否存在漏洞的結(jié)果以及存在漏洞時的相應(yīng)漏洞的 信息。13. 根據(jù)權(quán)利要求12所述的漏洞檢測設(shè)備�����,其中�,所述第一裝置采用爬蟲技術(shù)從網(wǎng)絡(luò) 中獲取所述漏洞的信息。14. 根據(jù)權(quán)利要求13所述的漏洞檢測設(shè)備����,其中,所述第一裝置包括: 第一單元���,用于在網(wǎng)絡(luò)中搜索提供漏洞的信息的網(wǎng)站�; 第二單元,用于監(jiān)控所述提供漏洞的信息的網(wǎng)站是否有漏洞的信息更新����;以及 第三單元,用于當(dāng)有漏洞的信息更新時����,則爬取該漏洞的信息和驗證性測試代碼。15. 根據(jù)權(quán)利要求12至14中任一項所述的漏洞檢測設(shè)備��,其中��,所述第三裝置包括: 第四單元���,用于增加用于觸發(fā)所述驗證性測試代碼進(jìn)行自動檢測的代碼���;以及 第五單元,用于增加用于在自動檢測過程中自動調(diào)用被檢測網(wǎng)頁的代碼�。16. 根據(jù)權(quán)利要求12至14中任一項所述的漏洞檢測設(shè)備�,其中,所述第三裝置包括: 第六單元����,用于將所述漏洞的信息所對應(yīng)的驗證性測試代碼插入具有自動檢測指令的 頁面模板�����。17. 根據(jù)權(quán)利要求12至16中任一項所述的漏洞檢測設(shè)備��,其中����,所述第三裝置包括: 第七單元����,用于采用頁面框架將處理后的驗證性測試代碼集成到集成頁面中。18. 根據(jù)權(quán)利要求12至17中任一項所述的漏洞檢測設(shè)備��,其中�����,所述第五裝置包括: 第八單元�,用于獲取漏洞檢測請求,并根據(jù)所述漏洞檢測請求�,請求利用所述漏洞檢測 請求所對應(yīng)的受測對象加載所述集成頁面。19. 根據(jù)權(quán)利要求18所述的漏洞檢測設(shè)備�,其中�,所述漏洞檢測請求由具有所述受測 對象的用戶設(shè)備發(fā)起����,且生成的所述受測對象是否存在漏洞的結(jié)果以及存在漏洞時的相應(yīng) 漏洞的信息由該用戶設(shè)備獲取并展示。20. 根據(jù)權(quán)利要求12至19中任一項所述的漏洞檢測設(shè)備�,其中,所述第五裝置包括: 第九單元�����,用于并行觸發(fā)所有處理后的驗證性測試代碼自動檢測�����。21. 根據(jù)權(quán)利要求12至20中任一項所述的漏洞檢測設(shè)備����,其中,所述漏洞的信息包括 漏洞名稱�����、漏洞類型��、漏洞編號及漏洞地址中的一種或任意組合。22. 根據(jù)權(quán)利要求12至21中任一項所述的漏洞檢測設(shè)備���,其中,所述漏洞為UXSS漏 洞����。
【文檔編號】G06F17/30GK105991554SQ201510058677
【公開日】2016年10月5日
【申請日】2015年2月4日
【發(fā)明人】李天祥
【申請人】阿里巴巴集團(tuán)控股有限公司