[0037]S308�,控制服務(wù)器202判斷上述測(cè)試結(jié)果是否滿足配置文件中的指示信息所指示的正則表達(dá)式。
[0038]可選地����,在本實(shí)施例中�����,上述正則表達(dá)式的匹配方式包括但不限于:對(duì)上述待檢測(cè)網(wǎng)頁(yè)所反饋的測(cè)試結(jié)果進(jìn)行匹配判斷���,其中,上述匹配可以對(duì)上述待檢測(cè)網(wǎng)頁(yè)返回的HTTP的頭部head����、主體body、全文hend|body中的至少一部分進(jìn)行正則匹配�。
[0039]進(jìn)一步,具體結(jié)合圖5來說明上述網(wǎng)頁(yè)漏洞檢測(cè)方法的過程:
[0040]S502�����,輸入待檢測(cè)網(wǎng)頁(yè)�����;
[0041]S504��,判斷上述待檢測(cè)網(wǎng)頁(yè)的預(yù)定類型Urltype是否匹配�,若匹配,則執(zhí)行步驟S506,若不匹配則結(jié)束此次檢測(cè)���;
[0042]S506�,若匹配��,則判斷上述待檢測(cè)目標(biāo)網(wǎng)頁(yè)的Suffixjnethod標(biāo)簽內(nèi)容是匹配還是拼接�,若為匹配,則執(zhí)行步驟S508���,若為拼接,則執(zhí)行步驟S510 ���;
[0043]S508,查找上述待檢測(cè)目標(biāo)網(wǎng)頁(yè)的后綴是否與上述預(yù)定后綴Suffix標(biāo)簽匹配����;
[0044]S510,將預(yù)定后綴Suffix標(biāo)簽拼接到待檢測(cè)目標(biāo)網(wǎng)頁(yè)之后����;
[0045]S512?S516,利用測(cè)試用例對(duì)上述待檢測(cè)目標(biāo)網(wǎng)頁(yè)中的待檢測(cè)漏洞進(jìn)行檢測(cè)�����;
[0046]S518,將上述檢測(cè)到的漏洞上報(bào)���。
[0047]進(jìn)一步�,上述步驟S512?S516的檢測(cè)方式可以為:向上述待檢測(cè)目標(biāo)網(wǎng)頁(yè)發(fā)送所要檢測(cè)的漏洞的相應(yīng)的測(cè)試用例�,上述待檢測(cè)目標(biāo)網(wǎng)頁(yè)針對(duì)上述測(cè)試用例做出響應(yīng),返回相應(yīng)的測(cè)試結(jié)果����,在將上述測(cè)試結(jié)果與正則表達(dá)式進(jìn)行匹配后,若匹配�,則表示上述待檢測(cè)目標(biāo)網(wǎng)頁(yè)中存在上述測(cè)試用例所指示的漏洞。
[0048]可選地����,在本實(shí)施例中,上述步驟S508中的匹配可以為對(duì)待檢測(cè)網(wǎng)頁(yè)的預(yù)定后綴進(jìn)行查找匹配�����,以篩選出相應(yīng)的待檢測(cè)目標(biāo)網(wǎng)頁(yè)進(jìn)行漏洞檢測(cè)��。上述步驟S510中的拼接可以為對(duì)特定的目標(biāo)網(wǎng)頁(yè)的地址進(jìn)行拼接得到待檢測(cè)目標(biāo)網(wǎng)頁(yè)����,進(jìn)而對(duì)上述待檢測(cè)目標(biāo)網(wǎng)頁(yè)進(jìn)行漏洞檢測(cè)�����。
[0049]通過本發(fā)明提供的實(shí)施例�,通過獲取到的與漏洞檢測(cè)任務(wù)相對(duì)應(yīng)的配置文件���,對(duì)接收到的待檢測(cè)目標(biāo)網(wǎng)頁(yè)執(zhí)行漏洞�����,其中���,上述配置文件中包括用于從待檢測(cè)網(wǎng)頁(yè)中匹配出待檢測(cè)目標(biāo)網(wǎng)頁(yè)的匹配條件與用于對(duì)待檢測(cè)目標(biāo)網(wǎng)頁(yè)進(jìn)行漏洞檢測(cè)的測(cè)試用例的指示信息。利用配置文件對(duì)網(wǎng)頁(yè)漏洞進(jìn)行檢測(cè)��,避免了對(duì)不同的網(wǎng)頁(yè)漏洞都重新開發(fā)一套檢測(cè)算法所導(dǎo)致的漏洞檢測(cè)效率低的問題����,實(shí)現(xiàn)了提高漏洞檢測(cè)效率的效果�����。
[0050]作為一種可選的方案�,步驟S106��,使用配置文件檢測(cè)待檢測(cè)目標(biāo)網(wǎng)頁(yè)是否存在配置文件所指示的漏洞包括:
[0051]SI����,判斷接收到的待檢測(cè)網(wǎng)頁(yè)是否滿足匹配條件����;
[0052]S2,若待檢測(cè)網(wǎng)頁(yè)滿足匹配條件���,則將待檢測(cè)網(wǎng)頁(yè)作為待檢測(cè)目標(biāo)網(wǎng)頁(yè)���,并使用配置文件中的指示信息所指示的測(cè)試用例檢測(cè)待檢測(cè)目標(biāo)網(wǎng)頁(yè)是否存在配置文件所指示的漏洞。
[0053]可選地�,在本實(shí)施例中,上述匹配條件包括預(yù)定類型��。預(yù)定后綴����,其中,預(yù)定類型用于匹配待檢測(cè)網(wǎng)頁(yè)的地址的類型���,預(yù)定后綴用于匹配類型為預(yù)定類型的地址的后綴���。
[0054]可選地��,在本實(shí)施例中�����,上述圖5中的步驟S508中的“匹配”可以為對(duì)待檢測(cè)網(wǎng)頁(yè)的特定后綴進(jìn)行查找匹配��,以篩選出相應(yīng)的待檢測(cè)目標(biāo)網(wǎng)頁(yè)進(jìn)行漏洞檢測(cè)��。例如���,選擇匹配方式查找后綴為act1n”的網(wǎng)頁(yè),并利用測(cè)試用例對(duì)查找到的網(wǎng)頁(yè)進(jìn)行漏洞檢測(cè)����。上述圖5中的步驟S510中的“拼接”可以為對(duì)特定的目標(biāo)網(wǎng)頁(yè)的地址進(jìn)行拼接得到待檢測(cè)目標(biāo)網(wǎng)頁(yè),進(jìn)而對(duì)上述待檢測(cè)目標(biāo)網(wǎng)頁(yè)進(jìn)行漏洞檢測(cè)��,例如�,特定的目標(biāo)網(wǎng)頁(yè)為WWW, baidu.com,拼接后綴為“.act1n”���,則在選擇拼接方式后���,利用測(cè)試用例對(duì)上述拼接后的網(wǎng)頁(yè)進(jìn)行漏洞檢測(cè)�。
[0055]具體結(jié)合圖5所示進(jìn)行說明����,假設(shè)上述配置文件用于檢測(cè)structs漏洞,如步驟S502?S510所示���,輸入待檢測(cè)網(wǎng)頁(yè)���,然后判斷上述待檢測(cè)網(wǎng)頁(yè)是否與Urltype中的預(yù)定類型(例如,CGI)相匹配��,若匹配����,則進(jìn)一步判斷上述待檢測(cè)網(wǎng)頁(yè)是匹配預(yù)定后綴Suffix標(biāo)簽還是拼接預(yù)定后綴Suffix標(biāo)簽,以確定得出待檢測(cè)目標(biāo)網(wǎng)頁(yè)�����,進(jìn)而對(duì)篩選出的待檢測(cè)目標(biāo)網(wǎng)頁(yè)進(jìn)行漏洞檢測(cè)��。
[0056]進(jìn)一步�����,使用上述配置文件中的測(cè)試用例檢測(cè)上述待檢測(cè)目標(biāo)網(wǎng)頁(yè)中是否存在相應(yīng)的漏洞,上述檢測(cè)的方式可以包括但不限于:向上述待檢測(cè)目標(biāo)網(wǎng)頁(yè)發(fā)送測(cè)試用例���,利用上述待檢測(cè)目標(biāo)網(wǎng)頁(yè)反饋的測(cè)試結(jié)果與正則表達(dá)式進(jìn)行匹配�,以檢測(cè)出上述待檢測(cè)目標(biāo)網(wǎng)頁(yè)是否存在上述配置文件所指示的漏洞��。
[0057]通過本發(fā)明提供的實(shí)施例�����,通過利用配置文件中的匹配條件�,對(duì)待檢測(cè)網(wǎng)頁(yè)進(jìn)行篩選,得到滿足匹配條件的待檢測(cè)目標(biāo)網(wǎng)頁(yè)�����,進(jìn)而在上述待檢測(cè)目標(biāo)網(wǎng)頁(yè)中進(jìn)一步利用測(cè)試用例檢測(cè)��,在上述待檢測(cè)目標(biāo)網(wǎng)頁(yè)中是否存在配置文件所指示的漏洞�����。
[0058]作為一種可選的方案�,判斷接收到的待檢測(cè)網(wǎng)頁(yè)是否滿足匹配條件包括以下之
[0059]作為一種可選的實(shí)施方式,判斷待檢測(cè)網(wǎng)頁(yè)的地址的類型是否為匹配條件中指示的預(yù)定類型�����,若待檢測(cè)網(wǎng)頁(yè)的地址的類型為預(yù)定類型���,則判斷出待檢測(cè)網(wǎng)頁(yè)滿足匹配條件��?����;蛘?br>[0060]具體結(jié)合圖5所示的步驟S504進(jìn)行描述�����,Urltype是否匹配����,若待檢測(cè)目標(biāo)網(wǎng)頁(yè)的類型為預(yù)定類型Urltype (例如����,CGI),則判斷出上述待檢測(cè)目標(biāo)網(wǎng)頁(yè)滿足匹配條件;若待檢測(cè)目標(biāo)網(wǎng)頁(yè)的類型不為預(yù)定類型����,則檢測(cè)出上述待檢測(cè)網(wǎng)頁(yè)中并不存在配置文件所指示的漏洞。
[0061]作為另一種可選的實(shí)施方式����,判斷待檢測(cè)網(wǎng)頁(yè)的地址的類型是否為匹配條件中指示的預(yù)定類型,若待檢測(cè)網(wǎng)頁(yè)的地址的類型為預(yù)定類型�����,則判斷類型為預(yù)定類型的地址的后綴是否為匹配條件中指示的預(yù)定后綴���,若類型為預(yù)定類型的地址的后綴為預(yù)定后綴��,則判斷出待檢測(cè)網(wǎng)頁(yè)滿足匹配條件�����?����;蛘?br>[0062]具體結(jié)合圖5所示進(jìn)行描述���,執(zhí)行步驟S504��,Urltype是否匹配,若待檢測(cè)目標(biāo)網(wǎng)頁(yè)的類型為預(yù)定類型Urltype (例如�����,CGI)�,則執(zhí)行步驟S506?S508,判斷類型為預(yù)定類型(例如����,CGI)的待檢測(cè)目標(biāo)網(wǎng)頁(yè)的地址的后綴是否為匹配條件中指示的預(yù)定后綴Suffix標(biāo)簽(例如,后綴為“.php”)����,若類型為預(yù)定類型的地址的后綴為預(yù)定后綴(例如,后綴為php”)�����,則判斷出待檢測(cè)網(wǎng)頁(yè)滿足匹配條件�。
[0063]作為又一種可選的實(shí)施方式,判斷待檢測(cè)網(wǎng)頁(yè)的地址的類型是否為匹配條件中指示的預(yù)定類型����,若待檢測(cè)網(wǎng)頁(yè)的地址的類型為預(yù)定類型��,則判斷出待檢測(cè)網(wǎng)頁(yè)滿足匹配條件����,并對(duì)待檢測(cè)網(wǎng)頁(yè)的地址進(jìn)行拼接����,得到待檢測(cè)目標(biāo)網(wǎng)頁(yè)。
[0064]具體結(jié)合圖5所示的步驟S504進(jìn)行描述����,Urltype是否匹配,若待檢測(cè)目標(biāo)網(wǎng)頁(yè)的類型為預(yù)定類型Urltype (例如�,CGI),則執(zhí)行圖5所示的步驟S506?S510�,判斷出待檢測(cè)網(wǎng)頁(yè)滿足匹配條件,并對(duì)上述待檢測(cè)網(wǎng)頁(yè)的地址進(jìn)行拼接�����,拼接預(yù)定后綴Suffix標(biāo)簽��,得到待檢測(cè)目標(biāo)網(wǎng)頁(yè)��,以實(shí)現(xiàn)對(duì)上述待檢測(cè)目標(biāo)網(wǎng)頁(yè)進(jìn)行漏洞檢測(cè)。
[0065]通過本發(fā)明提供的實(shí)施例��,通過對(duì)匹配條件中的預(yù)定類型���、預(yù)定后綴以及預(yù)定條件進(jìn)行匹配判斷�����,以得到與上述匹配條件相對(duì)應(yīng)的待檢測(cè)目標(biāo)網(wǎng)頁(yè),進(jìn)而對(duì)上述篩選出的待檢測(cè)目標(biāo)網(wǎng)頁(yè)進(jìn)行漏洞檢測(cè)���。
[0066]作為一種可選的方案���,如圖6所示,使用配置文件中的指示信息所指示的測(cè)試用例檢測(cè)待檢測(cè)目標(biāo)網(wǎng)頁(yè)是否存在配置文件所指示的漏洞包括:
[0067]S602,向待檢測(cè)目標(biāo)網(wǎng)頁(yè)發(fā)送配置文件中的指示信息所指示的測(cè)試用例��;
[0068]S604�,接收待檢測(cè)目標(biāo)網(wǎng)頁(yè)響應(yīng)于測(cè)試用例反饋的測(cè)試結(jié)果;
[0069]S606��,判斷測(cè)試結(jié)果是否滿足配置文件中的指示信息所指示的正則表達(dá)式�����;
[0070]S608,若判斷出測(cè)試結(jié)果滿足正則表達(dá)式��,則檢測(cè)出待檢測(cè)目標(biāo)網(wǎng)頁(yè)存在配置文件所指示的漏洞�。
[0071]具體結(jié)合圖5中所示S512?S516進(jìn)行說明,上述配置文件中的測(cè)試用例(例如���,用itest標(biāo)識(shí))所指示的指示信息為:測(cè)試用例的地址為參數(shù)A���,輸入方式為“替換”。測(cè)試用例在對(duì)上述待檢測(cè)目標(biāo)網(wǎng)頁(yè)進(jìn)行檢測(cè)時(shí)���,將通過依次遍歷待檢測(cè)目標(biāo)網(wǎng)頁(yè)的參數(shù)A�����,將參數(shù)A的取值替換為itest�,發(fā)送上述待檢測(cè)目標(biāo)網(wǎng)頁(yè)鏈接請(qǐng)求����,并獲取上述待檢測(cè)網(wǎng)頁(yè)所反饋的內(nèi)容。
[0072]進(jìn)一步�����,利用正則表達(dá)式中內(nèi)容與上述待檢測(cè)網(wǎng)頁(yè)所反饋的內(nèi)容進(jìn)行正則匹配,判斷上述待檢測(cè)目標(biāo)網(wǎng)頁(yè)中是否存在配置文件所指示的漏洞�����。
[0073]通過本發(fā)明提供的實(shí)施例����,通過利用測(cè)試用例對(duì)待檢測(cè)目標(biāo)網(wǎng)頁(yè)進(jìn)行進(jìn)一步的漏洞檢測(cè),進(jìn)而檢測(cè)出配置文件所指示的漏洞����,實(shí)現(xiàn)了利用配置文件中的測(cè)試用例對(duì)待檢測(cè)目標(biāo)網(wǎng)頁(yè)進(jìn)行漏洞檢測(cè)����,避免了多次開發(fā)算法,只需在配置文件中配置不同的測(cè)試用例����,即可實(shí)現(xiàn)針對(duì)不同的網(wǎng)頁(yè)漏洞進(jìn)行的漏洞檢測(cè)。
[0074]作為一種可選的實(shí)施方式��,在接收對(duì)待檢測(cè)目標(biāo)網(wǎng)頁(yè)執(zhí)行漏洞檢測(cè)的漏洞檢測(cè)任務(wù)之前����,還包括:
[0075]SI���,根據(jù)相同或不同的配置模板為不同的漏洞檢測(cè)任務(wù)生成不同的配置文件。
[0076]可選地����,在本實(shí)施例中,可以利用配置模板來配置不同的配置文件����,其中,上述配置模板包括與配置文件中的匹配條件和測(cè)試用例對(duì)應(yīng)的變量參數(shù)�����,不同的配置模板的變量參數(shù)不同���,根據(jù)相同的配置模板生成的不同的配置文件中的變量參數(shù)的取值不同����。
[0077]通過本發(fā)明提供的實(shí)施例��,通過利用配置模板對(duì)所要檢測(cè)的漏洞的通用特征進(jìn)行配置以得到相應(yīng)的配置文件���,其中���,通過設(shè)置不同的變量參數(shù)以得到不同的配置文件��,或?yàn)橥慌渲梦募械淖兞繀?shù)賦不同的取值��,使得在無需多次開發(fā)檢測(cè)算法的基礎(chǔ)上��,通過不同的配置文件檢測(cè)出不同的網(wǎng)頁(yè)漏洞�����,不僅減少了漏洞檢測(cè)的工作量����,同時(shí)提高了網(wǎng)頁(yè)漏洞檢測(cè)的效率��。
[0078]需要說明的是�����,對(duì)于前述的各方法實(shí)施例����,為了簡(jiǎn)單描述����,故將其都表述為一系列的動(dòng)作組合��,但是本領(lǐng)域技術(shù)人員應(yīng)該知悉��,本發(fā)