[发明专利]一种HTTP请求包的收集及处理方法、系统和服务器

说明书

技术领域

本发明属于通讯技术领域，尤其涉及一种HTTP请求包的收集及处理方法、系统和服务器。

背景技术

在现有技术中，发现web应用程序安全漏洞的技术方案是利用web安全漏洞扫描器对整个部署web应用程序的站点做爬行并扫描。扫描器通常由3个模块组成：爬行模块、渗透测试模块、判断统计模块。

爬行模块是利用web页面的爬行技术来遍历网站的页面，收集一个网站的所有http请求包。

渗透测试模块是利用爬行模块所收集的http请求包作为样本，篡改http请求包的参数值或http请求包头部，然后组成新的渗透测试请求包，然后把请求包发送到测试目标网站，并收集其返回包。

判断统计模块是对渗透测试模块的返回包，根据一定的规则来判断返回包是否存在安全漏洞，如果是则做反馈。

业界已有的web安全漏洞扫描器的主要缺陷在于爬行模块，由于web2.0i应用的普及流行以及AJAX技术的广泛使用，很多网站上面的http请求包都不能依靠现有的网站爬行技术所收集，即，现有网站爬行技术收集web应用程序请求包不完善，导致web应用程序的安全覆盖度不能得到保障。

发明内容

本发明的目的在于提供一种HTTP请求包的收集及处理方法、系统和服务器，旨在解决现有网站爬行技术收集web应用程序请求包不完善，导致web应用程序的安全覆盖度不能得到保障的问题。

本发明是这样实现的，一种HTTP请求包的处理方法，所述方法包括以下步骤：

接收客户端浏览器插件上报的http请求包；

根据去重规则将所述http请求包录入数据库；

对新录入数据库中的http请求包进行安全扫描；

将扫描结果存储到数据库中。

本发明的另一目的在于提供一种服务器，所述服务器包括：

接收模块，用于接收客户端浏览器插件上报的http请求包；

录入模块，用于根据去重规则将所述http请求包录入数据库；

扫描模块，用于对新录入数据库中的http请求包进行安全扫描；

存储模块，用于将扫描结果存储到数据库中。

本发明的另一目的在于提供一种HTTP请求包的处理系统，所述系统包括：浏览器插件和服务器；

所述浏览器插件包括：

收集模块，用于收集客户端浏览器所发送的各种http请求包；

上报模块，用于将收集到的http请求包根据上报规则上报给服务器端；

所述服务器包括：

接收模块，用于接收客户端浏览器插件上报的http请求包；

录入模块，用于根据去重规则将所述http请求包录入数据库；

扫描模块，用于对新录入数据库中的http请求包进行安全扫描；

存储模块，用于将扫描结果存储到数据库中。

在本发明中，通过安装在客户端浏览器中的插件，来负责将从浏览器中所发送出去的http请求包根据上报规则上报给服务器端，使得原先需要由爬行模块所上报的http请求包被浏览器中的插件所取代。本发明实施例可以全面收集web应用程序在各种场景下的http请求包，从而提高了对web应用程序安全扫描的覆盖度；且在不影响开发人员和QAii人员日常工作的情况下实现http请求包收集的完全自动化。

附图说明

图1是本发明实施例提供的HTTP请求包的收集方法的实现流程示意图。

图2是本发明实施例提供的HTTP请求包的处理方法的实现流程示意图。

图3是本发明实施例提供的浏览器插件的结构示意图。

图4是本发明实施例提供的服务器的结构示意图。

具体实施方式

为了使本发明的目的、技术方案及有益效果更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

在本发明实施例中，通过安装在客户端浏览器中的插件，来负责将从浏览器中所发送出去的http请求包根据上报规则上报给服务器端，使得原先需要由爬行模块所上报的http请求包被浏览器中的插件所取代。解决了现有网站爬行技术收集web应用程序请求包不完善，导致web应用程序的安全覆盖度不能得到保障的问题。

请参阅图1，为本发明实施例提供的HTTP请求包的收集方法的实现流程，其包括以下步骤：

在步骤S101中，客户端浏览器插件收集客户端浏览器所发送的各种http请求包；