本申請涉及計算機(jī)領(lǐng)域，并且更具體地，涉及計算機(jī)領(lǐng)域中的一種應(yīng)用程序漏洞檢測的方法、裝置、存儲、產(chǎn)品和存儲介質(zhì)。

背景技術(shù)：

1、在應(yīng)用程序上線后、面對用戶進(jìn)行使用的過程中，需要面臨例如重復(fù)嘗試登錄等暴力破解、無授權(quán)訪問系統(tǒng)等問題，所以在應(yīng)用程序的開發(fā)工程中需要對應(yīng)用程序進(jìn)行測試，判斷應(yīng)用程序是否存在容易被暴力破解等漏洞，從而提示開發(fā)工程師及時發(fā)現(xiàn)漏洞問題并進(jìn)行解決?，F(xiàn)有技術(shù)中往往通過模擬外部攻擊者的攻擊行為來測試應(yīng)用程序是否存在漏洞，但是依賴于外部攻擊者的視角并且需要在安全掃描后才能發(fā)現(xiàn)漏洞問題，視角存在局限性并響應(yīng)速度較慢，需要提供一種響應(yīng)迅速且準(zhǔn)確率高的漏洞檢測方法。

技術(shù)實現(xiàn)思路

1、本申請?zhí)峁┝艘环N應(yīng)用程序漏洞檢測的方法、裝置、存儲、產(chǎn)品和存儲介質(zhì)，該方法能夠通過獲取應(yīng)用程序?qū)撁嬲埱蟮捻憫?yīng)時的前端頁面信息，與破解漏洞檢測規(guī)則相比對判斷應(yīng)用程序是否存在漏洞，基于前端插樁獲取針對頁面請求的上下文信息以及前端頁面中的信息來提高檢測準(zhǔn)確率，并根據(jù)每個頁面請求進(jìn)行判斷從而提高響應(yīng)效率。

2、第一方面，提供了一種應(yīng)用程序漏洞檢測方法，該方法包括：對應(yīng)用程序的前端頁面進(jìn)行監(jiān)聽處理，劫持用戶針對所述前端頁面的頁面請求；

3、獲取所述應(yīng)用程序針對所述頁面請求進(jìn)行響應(yīng)時的前端頁面信息；

4、若所述頁面請求和所述前端頁面信息與破解漏洞檢測規(guī)則相匹配，則輸出針對所述應(yīng)用程序的漏洞提示信息，所述破解漏洞檢測規(guī)則用于判斷所述應(yīng)用程序是否存在破解漏洞。

5、第二方面，提供了一種應(yīng)用程序漏洞檢測裝置，該裝置包括：

6、劫持處理單元，用于對應(yīng)用程序的前端頁面進(jìn)行監(jiān)聽處理，劫持用戶針對所述前端頁面的頁面請求；

7、前端信息獲取單元，用于獲取所述應(yīng)用程序針對所述頁面請求進(jìn)行響應(yīng)時的前端頁面信息；

8、漏洞提示單元，用于若所述頁面請求和所述前端頁面信息與破解漏洞檢測規(guī)則相匹配，則輸出針對所述應(yīng)用程序的漏洞提示信息，所述破解漏洞檢測規(guī)則用于判斷所述應(yīng)用程序是否存在破解漏洞。

9、第三方面，本申請實施例提供一種計算機(jī)存儲介質(zhì)，所述計算機(jī)存儲介質(zhì)存儲有多條指令，所述指令適于由處理器加載并執(zhí)行上述的方法步驟。

10、第四方面，本申請實施例提供一種計算機(jī)程序產(chǎn)品，所述計算機(jī)程序產(chǎn)品存儲有多條指令，所述指令適于由處理器加載并執(zhí)行上述的方法步驟。

11、第五方面，本申請實施例提供一種電子設(shè)備，可包括：處理器和存儲器；其中，所述存儲器存儲有計算機(jī)程序，所述計算機(jī)程序適于由所述處理器加載并執(zhí)行上述的方法步驟。

12、在本申請一個或多個實施例中，對應(yīng)用程序的前端頁面進(jìn)行監(jiān)聽處理，劫持用戶針對所述前端頁面的頁面請求，獲取所述應(yīng)用程序針對所述頁面請求進(jìn)行響應(yīng)時的前端頁面信息，若所述頁面請求和所述前端頁面信息與破解漏洞檢測規(guī)則不匹配，則輸出針對所述應(yīng)用程序的漏洞提示信息。通過獲取應(yīng)用程序?qū)撁嬲埱蟮捻憫?yīng)時的前端頁面信息，與破解漏洞檢測規(guī)則相比對判斷應(yīng)用程序是否存在漏洞，基于前端插樁獲取針對頁面請求的上下文信息以及前端頁面中的信息來提高檢測準(zhǔn)確率，并根據(jù)每個頁面請求進(jìn)行判斷從而提高了響應(yīng)效率。

技術(shù)特征：

1.一種應(yīng)用程序漏洞檢測的方法，所述方法包括：

2.根據(jù)權(quán)利要求1所述的方法，所述對應(yīng)用程序的前端頁面進(jìn)行監(jiān)聽處理，劫持用戶針對所述前端頁面的頁面請求之前，還包括：

3.根據(jù)權(quán)利要求2所述的方法，所述插樁規(guī)則還可以包括請求劫持規(guī)則；

4.根據(jù)權(quán)利要求2所述的方法，所述方法還包括：

5.根據(jù)權(quán)利要求1所述的方法，所述破解漏洞檢測規(guī)則包括未檢測所述頁面請求是否包含用戶標(biāo)識符、未檢測所述頁面請求是否包含用戶標(biāo)識密鑰、未針對所述頁面請求展示校驗窗口或未獲取所述用戶的交互信息中的一個或多個。

6.根據(jù)權(quán)利要求2所述的方法，所述若所述頁面請求和所述前端頁面信息與破解漏洞檢測規(guī)則相匹配，則輸出針對所述應(yīng)用程序的漏洞提示信息，包括：

7.根據(jù)權(quán)利要求6所述的方法，所述方法還包括：

8.一種應(yīng)用程序漏洞檢測裝置，所述裝置包括：

9.一種計算機(jī)存儲介質(zhì)，所述計算機(jī)存儲介質(zhì)存儲有多條指令，所述指令適于由處理器加載并執(zhí)行如權(quán)利要求1～7任意一項的方法步驟。

10.一種計算機(jī)程序產(chǎn)品，所述計算機(jī)程序產(chǎn)品存儲有多條指令，所述指令適于由處理器加載并執(zhí)行如權(quán)利要求1～7任意一項的方法步驟。

11.一種電子設(shè)備，包括：處理器和存儲器；其中，所述存儲器存儲有計算機(jī)程序，所述計算機(jī)程序適于由所述處理器加載并執(zhí)行如權(quán)利要求1～7任意一項的方法步驟。

技術(shù)總結(jié)
本申請?zhí)峁┝艘环N應(yīng)用程序漏洞檢測的方法、裝置、存儲、產(chǎn)品和存儲介質(zhì)，該方法應(yīng)用于計算機(jī)領(lǐng)域，該方法包括：對應(yīng)用程序的前端頁面進(jìn)行監(jiān)聽處理，劫持用戶針對所述前端頁面的頁面請求，獲取所述應(yīng)用程序針對所述頁面請求進(jìn)行響應(yīng)時的前端頁面信息，若所述頁面請求和所述前端頁面信息與破解漏洞檢測規(guī)則相匹配，則輸出針對所述應(yīng)用程序的漏洞提示信息，所述破解漏洞檢測規(guī)則用于判斷所述應(yīng)用程序是否存在破解漏洞。

技術(shù)研發(fā)人員：朱浩文,高佩明,齊睿
受保護(hù)的技術(shù)使用者：浙江網(wǎng)商銀行股份有限公司
技術(shù)研發(fā)日：
技術(shù)公布日：2025/1/6