[发明专利]一种检测web页面漏洞的方法及系统

说明书

技术领域

本发明涉及网络技术领域，特别是网络安全技术领域，具体为一种检测web页面漏洞的方法及系统。

背景技术

WEB漏洞通常是指网站程序上的漏洞，可能是由于代码编写者在编写代码时考虑不周全等原因而造成的漏洞，常见的WEB漏洞有Sql注入、Xss漏洞、上传漏洞等。如果网站存在WEB漏洞并被黑客攻击者利用，攻击者可以轻易控制整个网站，并可进一步提权获取网站服务器权限，控制整个服务器。

随着html5的流行，web应用进入了一个崭新的阶段，内容的动态化和实时共享让阻挡不良内容和恶意软件变的更加复杂，这对网站的安全存在极大的隐患。目前的做法是很少有人关心web应用层上的信息安全攻击，等出现问题后再直接关闭浏览器，其实现在有很大一部分攻击都是发生在web应用层而非网络层上。现有技术的缺点是：一般是不做什么检测，这当出现页面解析欺骗时，浏览器处理多个函数竞争发生逻辑上的错误时会导致浏览器导航到另外的url地址，实际却没有加载响应页面，不仅给用户使用带了极大的不便也可能存在泄密。

如何对web页面漏洞进行检测避免上述问题成为本领域技术人员亟待解决的问题。

发明内容

鉴于以上所述现有技术的缺点，本发明的目的在于提供一种检测web页面漏洞的方法及系统，用于解决现有技术中对web页面漏洞的检测不方便且不安全的问题。

为实现上述目的及其他相关目的，本发明提供一种检测web页面漏洞的方法，用于在所述浏览器中输入预设的网络地址打开web页面之前，所述检测web页面漏洞的方法包括：根据在所述浏览器中输入的网络地址虚拟访问网页，并获取所述网页的源代码；根据预设的漏洞检测规则判断所述网页的源代码是否存在页面漏洞，若存在页面漏洞，则进行页面漏洞提示。

作为本发明的一种优选方案，所述页面漏洞为页面解析欺骗或/和页面标签欺骗。

作为本发明的一种优选方案，判断所述页面解析欺骗的漏洞检测规则包括：判断获取的所述网页的源代码中是否同时包括导航函数和对话框函数。

作为本发明的一种优选方案，判断所述页面解析欺骗的漏洞检测规则包括：判断获取的所述网页的源代码中是否同时包括导航函数和写页面函数。

作为本发明的一种优选方案，所述页面漏洞提示包括：对所述网页的源代码的漏洞部分进行标识。

为实现上述目的，本发明还提供一种检测web页面漏洞的系统，用于在所述浏览器中输入预设的网络地址打开web页面之前，所述检测web页面漏洞的系统包括：网页源代码获取模块，用于根据在所述浏览器中输入的网络地址虚拟访问网页，并获取所述网页的源代码；漏洞检测规则存储模块，用于存储漏洞检测规则；漏洞检测模块，分别与所述标签添加模块和所述漏洞检测规则存储模块相连，用于根据预设的漏洞检测规则判断所述网页的源代码是否存在页面漏洞；提示模块，与所述漏洞检测模块相连，用于在存在页面漏洞时进行页面漏洞提示。

作为本发明的一种优选方案，所述页面漏洞为页面解析欺骗或/和页面标签欺骗。

作为本发明的一种优选方案，在所述漏洞检测规则存储模块中，判断所述页面解析欺骗的漏洞检测规则包括：判断获取的所述网页的源代码中是否同时包括导航函数和对话框函数。

作为本发明的一种优选方案，在所述漏洞检测规则存储模块中，判断所述页面解析欺骗的漏洞检测规则包括：判断获取的所述网页的源代码中是否同时包括导航函数和写页面函数。

作为本发明的一种优选方案，所述提示模块包括：对所述网页的源代码的漏洞部分进行标识的标识提示单元。

如上所述，本发明的一种检测web页面漏洞的方法及系统，具有以下有益效果：

1、本发明提前检测页面网站的安全性，实现自动化检测页面是否存在页面标签欺骗、页面解析欺骗等造成的漏洞带来的网站的安全隐患，杜绝类似页面标签欺骗、页面解析欺骗类似造成的漏洞，预防某些利用这些可能存在的漏洞实现域上面的欺骗，发动钓鱼攻击，保护用户的隐私，给用户提供一个安全可靠的网站。

2、本发明可以自动化检测网页并标识在可能存在的问题在第几行，为编程者节约了大量的时间，提高了工作效率。

3、本发明简单高效，具有较强的通用性和实用性。

附图说明

图1显示为本发明的检测web页面漏洞的方法的流程示意图。

图2显示为本发明的检测web页面漏洞的系统的结构示意图。

元件标号说明

1检测web页面漏洞的系统

11网页源代码获取模块