[发明专利]一种原始测试数据的采集方法及装置

说明书

技术领域

本发明涉及扫描数据的处理技术，尤其涉及一种扫描数据的采集方法及装置。

背景技术

在互联网大众化、Web技术飞速演变、黑客工具日益普及的今天，针对Web的攻击和破坏不断增多，在线安全面临日益严峻的挑战，安全风险达到了前所未有的高度。以往，人们主要关心系统与网络基础层面的防护问题，而现在人们更加关注应用层面的安全防护问题，安全防护已经从底层或简单数据层面上升到了应用层面。

如果对Web服务器进行安全漏洞扫描，首先需要得到原始测试数据，从而Web安全扫描工具根据该原始测试数据构造各种安全攻击、测试数据，进行Web服务器的安全漏洞扫描。

现有技术中，使用统一资源定位符(URL，Universal Resource Locator)爬行技术进行所述原始测试数据的获取。URL爬行方法一般包括：获取基础URL链接，根据该基础URL链接的页面内容以预设的规则构建该URL链接关联的其他URL链接，分别以所述基础URL链接以及所述其他URL链接构建原始测试数据。

但是，随着Web2.0时代后ajax、flash、js混淆等技术的应用，现在的web页面已经不是由单一固定的URL组成，而是由多个URL动态组成一个完整页面。各URL之间的关联也由后台技术实现，而不是在各URL链接的页面内容中指定，因此，现有的Web安全扫描工具已经很难根据基础URL链接的页面内容而爬行到更多的相关URL链接，从而导致Web安全扫描工具获取到的原始测试数据越来越少，进一步导致Web安全扫描工具的误报率和漏报率越来越高。

发明内容

有鉴于此，本发明要解决的技术问题是，提供一种原始测试数据的采集方法及装置，能够获取到准确详尽的原始测试数据，降低Web安全扫描工具的误报率和漏报率。

为此，本发明实施例采用如下技术方案：

本发明实施例提供一种原始测试数据的采集方法，包括：

获取客户端浏览器发送给网页Web服务器的超文本传输协议http消息，所述http消息由客户端浏览器根据用户所需浏览网页的统一资源定位符URL生成，用于向所述Web服务器进行网页请求；

从所述http消息中提取对所述Web服务器进行安全漏洞扫描所需的第一原始测试数据，所述第一原始测试数据包括：http消息中的method、URL、预设参数以及预设参数对应的参数值。

本发明实施例还提供了一种原始测试数据的采集装置，包括：

第一采集单元，用于获取客户端浏览器发送给Web服务器的http消息，所述http消息由客户端浏览器根据用户所需浏览网页的URL生成，用于向所述Web服务器进行网页请求；

第一提取单元，用于从所述http消息中提取对所述Web服务器进行安全漏洞扫描所需的第一原始测试数据，所述第一原始测试数据包括：http消息中的method、URL、预设参数以及预设参数对应的参数值。

对于上述技术方案的技术效果分析如下：

获取客户端浏览器发送给Web服务器的http消息，所述http消息由客户端浏览器根据用户所需浏览网页的URL生成，用于向Web服务器进行网页请求；从所述http消息中提取对该Web服务器进行安全漏洞扫描所需的第一原始测试数据，从而采集到的原始测试数据更为准确详尽，降低了Web安全扫描工具的误报率和漏报率。

附图说明

图1为本发明实施例一种原始测试数据的采集方法流程示意图；

图2为本发明实施例另一种原始测试数据的采集方法流程示意图；

图3为本发明实施例一种原始测试数据的采集装置结构示意图；

图4为本发明实施例另一种原始测试数据的采集装置结构示意图；

图5为本发明实施例一种原始测试数据的采集装置的扫描单元结构示意图。

具体实施方式

以下，结合附图详细说明本发明实施例原始测试数据的采集方法及装置的实现。

图1为本发明实施例一种原始测试数据的采集方法流程示意图，如图1所示，该方法包括：

步骤101：获取客户端浏览器发送给Web服务器的超文本传输协议(http，HyperText Transfer Protocol)消息，所述http消息由客户端浏览器根据用户所需浏览网页的URL生成，用于向Web服务器进行网页请求；

步骤102：从所述http消息中提取对该Web服务器进行安全漏洞扫描所需的第一原始测试数据。