[发明专利]一种漏洞前端功能点定位方法和系统

权利要求书

1.一种漏洞前端功能点定位方法，其特征在于，所述方法包括如下步骤：

在web前端浏览器页面安装漏洞定位插件，所述漏洞定位插件监听用户浏览器点击事件、URL跳转事件、表单输入事件；

记录上述事件所对应的value值和事件触发的坐标；

获取用户操作记录和并生成或获取所述用户操作记录相关的截图，获取用户请求中的URL；

将所述用户请求中的URL作为键名key，并将所述用户操作记录和用户操作记录相关截图作为键值value生成用于漏洞定位的键值对；

将所述键值对发送给服务器分类存储，执行DAST或IAST漏洞检测，从服务器中定位到漏洞对应的用户操作和用户操作记录相关的截图。

2.根据权利要求1所述的一种漏洞前端功能点定位方法，其特征在于，在完成所述键值对key-value的构建后，生成所述键值对key-value的map，并将所述map序列化为json格式的字符串发送给服务器。

3.根据权利要求2所述的一种漏洞前端功能点定位方法，其特征在于，所述服务器在获取所述json格式的字符串后，将所述json格式的字符串进行反序列化解析，获取解析还原后的键值对key-value的map，并将所述键值对key-value的map保存于Redis数据库中。

4.根据权利要求1所述的一种漏洞前端功能点定位方法，其特征在于，执行所述DAST或IAST漏洞检测后，获取漏洞对应的URL，并根据URL对应的key查询定位保存的用户操作记录和用户操作记录相关的截图。

5.根据权利要求1所述的一种漏洞前端功能点定位方法，其特征在于，当完成漏洞检测定位前端功能点后，将检测到的漏洞所对应的用户操作和用户操作记录相关的截图写入到mysql数据库中进行持久化存储。

6.根据权利要求1所述的一种漏洞前端功能点定位方法，其特征在于，完成漏洞检测定位前端功能点后，将所述用户操作和用户操作记录相关的截图传输到web前端页面进行可视化显示。

7.根据权利要求1所述的一种漏洞前端功能点定位方法，其特征在于，所述用户请求中URL的获取方法包括：在html加载时，在js中通过hook将ajax替换XMLHttpRequest.prototype.open函数，并通过hook将fetch替换window.fetch函数，捕获用户请求后解析获取的用户请求数据中的URL。

8.根据权利要求1所述的一种漏洞前端功能点定位方法，其特征在于，所述用户操作记录相关截图的生成方法包括：

当用户执行操作时，所述漏洞定位插件获取用户操作事件；

采用html2canvas框架对整个body生成canvas元素；

获取用户的点击坐标，根据所述点击坐标在canvas元素对应点击位置进行标记；

根据标记结果生成对应的截图。

9.一种漏洞前端功能点定位系统，其特征在于，所述系统执行上述权利要求1-8中任意一项所述的一种漏洞前端功能点定位方法。

10.一种计算可读存储介质，其特征在于，所述计算机可读存储介质存储有计算机程序，所述计算机程序可被处理器执行上述权利要求1-8中任意一项所述的一种漏洞前端功能点定位方法。