[发明专利]漏洞检测方法及装置

说明书

本申请公开了一种漏洞检测方法及装置。其中，该方法包括：获取访问信息，其中，访问信息中记录有用于访问网站的访问地址；基于访问地址，确定访问地址中允许返回预定类型数据的疑似漏洞地址；对疑似漏洞地址进行漏洞扫描，识别疑似漏洞地址是否造成信息泄露。本申请解决了现有技术中存在的漏洞检测效率较低的技术问题。

技术领域

本申请涉及计算机领域，具体而言，涉及一种漏洞检测方法及装置。

背景技术

随着电子商务的蓬勃发展，隐私信息泄露问题日益引发用户的关切，因隐私信息泄露而导致的网络诈骗行为层出不穷。就电商平台而言，用户的隐私信息一般为用户的购物订单信息、历史购物行为等业务数据信息。

一般，电商平台记录的访问行为可以分为授权访问和未授权访问，其中，授权访问是指用户登录电商平台之后，合法地访问自己的业务数据信息，且用户所使用的浏览器cookie(网站为了辨别用户身份、进行session跟踪而储存在用户本地终端上的数据)中会标示当前用户的身份；未授权访问是指任何人在未登录电商平台的情况下，可以访问到一般为授权访问才能访问到业务数据信息，此时，访问者所使用的浏览器cookie中不包含任何用户身份认证信息。因此，未授权访问是导致用户隐私信息泄露的一条主要途径，而导致未授权访问时有发生的原因，则是由于电商平台用于展现用户敏感信息的web页面没有做合适、必要的用户身份认证。

针对上述问题，现有技术一般采用web漏洞扫描器或者WVS(Web VulnerabilityScanner，自动化web应用程序安全测试工具)对电商平台用于展现用户敏感信息的web页面进行漏洞检测，该漏洞检测的主要方式为黑盒扫描，但是，该种方式一般只能发现常见的因web配置错误而导致的漏洞，而无法发现业务层面的漏洞，此外，web漏洞扫描器只能依靠爬虫进行URL(Uniform Resource Locator，统一资源定位符)爬取，还可能存在URL覆盖率不全的情形；现有技术还提供了一种人工黑盒测试的漏洞检测方式，具体是指通过人工方式对电商平台系统内的所有web页面进行访问，该种方式虽然具备相对较高的漏洞检测准确率，但是存在耗时长、效率低、人力资源耗费较大以及URL覆盖率较低的问题。

综上所述，现有技术的漏洞检测准确性较差、覆盖不全且极为低效，因此，现有技术中存在漏洞检测效率较低的技术问题。

发明内容

本申请实施例提供了一种漏洞检测方法及装置，以至少解决现有技术中存在的漏洞检测效率较低的技术问题。

根据本申请实施例的一个方面，提供了一种漏洞检测方法，包括：获取网站的访问信息和敏感信息，其中，所述访问信息中记录有用于访问所述网站的访问地址；基于所述访问地址和所述敏感信息，确定所述访问地址中被允许返回所述敏感信息的疑似漏洞地址；对所述疑似漏洞地址进行漏洞扫描，识别所述疑似漏洞地址是否造成信息泄露。

根据本申请实施例的另一方面，还提供了一种漏洞检测装置，包括：获取单元，用于获取网站的访问信息和敏感信息，其中，所述访问信息中记录有用于访问所述网站的访问地址；确定单元，用于基于所述访问地址和所述敏感信息，确定所述访问地址中被允许返回所述敏感信息的疑似漏洞地址；处理单元，用于对所述疑似漏洞地址进行漏洞扫描，识别所述疑似漏洞地址是否造成信息泄露。

在本申请实施例中，采用获取网站的访问信息和敏感信息，其中，访问信息中记录有用于访问网站的访问地址；基于访问地址和敏感信息，确定访问地址中允许返回预定类型数据的疑似漏洞地址；对疑似漏洞地址进行漏洞扫描，识别疑似漏洞地址是否造成信息泄露的方式，通过获取网站的访问信息和敏感信息，从而基于访问信息中记录的用于访问网站的访问地址和敏感信息确定访问地址中允许返回预定类型数据的疑似漏洞地址，达到了对疑似漏洞地址进行漏洞扫描以识别疑似漏洞地址是否造成信息泄露的目的，从而实现了降低人力资源成本、增强漏洞检测的准确性、提升漏洞检测的覆盖率以及检测效率的技术效果，进而解决了现有技术中存在的漏洞检测效率较低的技术问题。

附图说明