(19)国家知识产权局(12)发明专利申请(10)申请公布号CN115001844A(43)申请公布日2022.09.02(21)申请号202210735864.2(22)申请日2022.06.27(71)申请人中国电信股份有限公司地址100033北京市西城区金融大街31号(72)发明人刘锦泉王帅邓晓东余航(74)专利代理机构中国贸促会专利商标事务所有限公司11038专利代理师曹蓓(51)Int.Cl.H04L9/40(2022.01)权利要求书2页说明书8页附图5页(54)发明名称漏洞检测方法、装置和存储介质(57)摘要本公开提出一种漏洞检测方法、装置和存储介质，涉及网络安全技术领域。本公开的一种漏洞检测方法，包括：在目标页面中确定潜在漏洞位置；根据潜在漏洞位置筛选目标注入位置；向目标注入位置注入攻击数据，以便根据攻击结果确定目标页面中的漏洞。通过这样的方法，能够提高XSS漏洞检测的效率。CN115001844ACN115001844A权利要求书1/2页1.一种漏洞检测方法，包括：确定目标页面中的潜在漏洞；根据所述潜在漏洞筛选的目标注入位置；和向所述目标注入位置注入攻击数据，以便根据攻击结果确定所述目标页面中存在的漏洞。2.根据权利要求1所述的方法，还包括：在确定所述目标注入位置后，根据所述目标注入位置的上下文确定对应的攻击数据。3.根据权利要求1或2所述的方法，还包括：根据所述目标网页对所述攻击数据的响应，生成更新数据；和向所述目标注入位置注入所述更新数据，以便根据所述更新数据的攻击结果确定所述目标页面中存在的漏洞。4.根据权利要求1所述的方法，其中，所述确定目标页面中的潜在漏洞包括：获取所述目标页面中的每个统一资源定位符URL，生成潜在漏洞URL集合。5.根据权利要求4所述的方法，其中，所述根据所述潜在漏洞筛选目标注入位置包括：针对所述URL的每个输入点输入检测数据；和在所述目标页面中出现所述检测数据的情况下，确定对应的输入点属于所述目标注入位置。6.根据权利要求5所述的方法，其中，所述针对所述URL的每个输入点输入检测数据包括：针对所述潜在漏洞URL集合中的每个URL的每个输入点，随机生成字符串，并输入对应的输入点。7.根据权利要求4所述的方法，其中，所述获取所述目标页面中的每个URL包括以下至少一项：通过网络爬虫扫描所述目标页面，获取静态URL；或提取页面的JavaScript脚本和通过JavaScript添加的事件，并使用JavaScript引擎编译执行，获取动态URL。8.根据权利要求2所述的方法，其中，所述根据所述目标注入位置的上下文确定对应的攻击数据包括：根据所述目标注入位置的上下文代码结构或内容中的至少一项生成对应的攻击数据。9.根据权利要求3所述的方法，其中，所述根据所述目标网页对所述攻击数据的响应，生成更新数据包括：获取所述目标网页对所述攻击数据的响应；和根据所述响应对所述攻击数据执行预定变异处理，获取所述更新数据。10.根据权利要求9所述的方法，其中，所述预定变异处理包括对所述攻击数据进行编码、大小写转换、插入预定符号或攻击向量二次生成中的至少一项。11.根据权利要求2所述的方法，还包括：若所述攻击结果为攻击成功，则确定对应的攻击位置存在漏洞。12.一种漏洞检测装置，包括：潜在漏洞确定单元，被配置为确定目标页面中的潜在漏洞；注入位置筛选单元，被配置为根据所述潜在漏洞筛选目标注入位置；和2CN115001844A权利要求书2/2页攻击单元，被配置为向所述目标注入位置注入攻击数据，以便根据攻击结果确定所述目标页面中存在的漏洞。13.根据权利要求12所述的装置，还包括：攻击数据确定单元，被配置为在确定所述目标注入位置后，根据所述目标注入位置的上下文确定对应的攻击数据。14.根据权利要求12或13所述的装置，还包括：更新数据生成单元，被配置为根据所述目标网页对所述攻击数据的响应，生成更新数据；所述攻击单元被配置为向所述目标注入位置注入所述更新数据，以便根据所述更新数据的攻击结果确定所述目标页面中存在的漏洞。15.根据权利要求12所述的装置，还包括：漏洞检测单元，被配置为在所述攻击结果为攻击成功的情况下，则确定对应的攻击位置存在漏洞。16.一种漏洞检测装置，包括：存储器；以及耦接至所述存储器的处理器，所述处理器被配置为基于存储在所述存储器的指令执行如权利要求1至11任一项所述的方法。17.一种非瞬时性计算机可读存储介质，其上存储有计算机程序指令，该指令被处理器执行时实现权利要求1至11任意一项所述的方法的步骤。3CN115001844A说明书1/8页漏洞检测方法、装置和存储介质技术领域[0001]本公开涉及网络安全技术领域，特别是一种漏洞检测方法、装置和存储介质。背景技术[0002]随着互联网的发展，基于Web