Flash文件源代码泄漏漏洞检测方法、装置、设备及存储介质与流程

flash文件源代码泄漏漏洞检测方法、装置、设备及存储介质
技术领域
1.本发明涉及源代码泄漏漏洞检测技术领域，特别涉及一种flash文件源代码泄漏漏洞检测方法、装置、设备及存储介质。


背景技术：

2.当前，需要指出的是，web目录存放有flex应用程序，开发者创建flex应用程序时，开发者可将flex项目和源代码一起导出。访问者可以通过访问特定的目录名称以浏览flash文件代码，就会导致flash文件的源代码存在泄漏的风险。因此，需要检测源代码是否存在泄漏漏洞。其中，flash是由macromedia公司推出的交互式矢量图和web动画的标准；flex应用程序即apache flex，前身为adobe flex，是一个sdk(software development kit，软件开发工具包)，用于开发和部署基于adobe flash平台的跨平台富web应用程序。
3.但是，现有源代码泄漏漏洞的检测逻辑，基本是根据爬虫获取网站所有页面返回包，再根据已知的代码特征进行匹配检测，这样会占据大量站点访问资源。也就是说，现有的源代码泄漏漏洞的检测方法存在访问量大的问题，易对站点造成影响，而且现有的源代码泄漏的检测方法，只针对php、asp等语言的源代码检测，当前还没有针对flash文件源代码泄漏的检测方式，由于flash文件源代码与其他语言的源代码有本质的不同，所以针对其他语言的源代码检测方法不适用于检测flash文件源代码泄漏漏洞。


技术实现要素：

4.有鉴于此，本发明的目的在于提供一种flash文件源代码泄漏漏洞检测方法、装置、设备及存储介质，能够避免发送过多的请求，从而避免对站点造成影响，还能够提高flash文件源代码泄漏漏洞检测的准确率并降低flash文件源代码泄漏风险。其具体方案如下：
5.第一方面，本技术公开了一种flash文件源代码泄漏漏洞检测方法，包括：
6.获取待检测站点对应的目标url，并对所述目标url进行拼接得到新的url；
7.将所述新的url发送至所述待检测站点，并获取所述待检测站点返回的与所述新的url对应的响应包；
8.检测所述响应包是否存在预设特征字段；
9.如果所述响应包存在所述预设特征字段，则判定所述待检测站点存在flash文件源代码泄露漏洞。
10.可选的，所述获取待检测站点对应的目标url，包括：
11.获取存储有多个待检测站点对应的目标url的url文本；
12.相应的，所述对所述目标url进行拼接得到新的url，包括：
13.对所述url文本中各所述目标url进行拼接，得到各所述目标url对应的新的url。
14.可选的，所述获取待检测站点对应的目标url，包括：
15.获取待检测站点对应的首页url；
16.相应的，所述对所述目标url进行拼接得到新的url，包括：
17.对所述首页url进行拼接得到新的url。
18.可选的，所述对所述目标url进行拼接得到新的url，包括：
19.按照预设拼接方法对所述目标url进行拼接得到新的url。
20.可选的，所述按照预设拼接方法对所述目标url进行拼接得到新的url，包括：
21.按照预设拼接方法在所述目标url的后缀拼接目标检测路径和目标检测文件名得到新的url。
22.可选的，所述检测所述响应包是否存在预设特征字段之前，还包括：
23.基于所述响应包对应的响应码判断所述响应包是否异常；
24.相应的，所述检测所述响应包是否存在预设特征字段，包括：
25.如果所述响应码为404，则判定所述响应包异常，并禁止检测所述响应包是否存在预设特征字段；
26.如果所述响应码不为404，则判定所述响应包正常，并检测所述响应包是否存在预设特征字段。
27.可选的，所述检测所述响应包是否存在预设特征字段，包括：
28.根据所述响应包的内容进行正则匹配以检测所述响应包的所述内容中是否存在预设特征字段。
29.第二方面，本技术公开了一种flash文件源代码泄漏漏洞检测装置，包括：
30.第一获取模块，用于获取待检测站点对应的目标url；
31.第一拼接模块，用于对所述目标url进行拼接得到新的url；
32.发送模块，用于将所述新的url发送至所述待检测站点；
33.响应包获取模块，用于获取所述待检测站点返回的与所述新的url对应的响应包；
34.响应包检测模块，用于检测所述响应包是否存在预设特征字段；
35.漏洞判定模块，用于当所述响应包存在所述预设特征字段，则判定所述待检测站点存在flash文件源代码泄露漏洞。
36.第三方面，本技术公开了一种电子设备，包括：
37.存储器，用于保存计算机程序；
38.处理器，用于执行所述计算机程序，以实现前述公开的flash文件源代码泄漏漏洞检测方法的步骤。
39.第四方面，本技术公开了一种计算机可读存储介质，用于存储计算机程序；其中，所述计算机程序被处理器执行时实现前述公开的flash文件源代码泄漏漏洞检测方法的步骤。
40.可见，本技术提供了一种flash文件源代码泄漏漏洞检测方法，包括：获取待检测站点对应的目标url，并对所述目标url进行拼接得到新的url；将所述新的url发送至所述待检测站点，并获取所述待检测站点返回的与所述新的url对应的响应包；检测所述响应包是否存在预设特征字段；如果所述响应包存在所述预设特征字段，则判定所述待检测站点存在flash文件源代码泄露漏洞。由此可知，本技术根据flash源码的特殊性，通过对获取到的待检测站点对应的目标url进行拼接，进而将拼接后得到的新的url发送至待检测站点，然后检测待检测站点返回的响应包是否存在预设特征字段，如果响应包存在预设特征字
段，则判定待检测站点存在flash文件源代码泄露漏洞。本技术检测flash文件源代码泄漏漏洞的技术方案能够避免发送过多的请求，从而避免对站点造成影响，并且能够提高flash文件源代码泄漏漏洞检测的准确率，进而降低flash文件源代码泄漏风险。
附图说明
41.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。
42.图1为本技术公开的一种flash文件源代码泄漏漏洞检测方法流程图；
43.图2为本技术公开的一种具体的flash文件源代码泄漏漏洞检测方法流程图；
44.图3为本技术公开的一种具体的flash文件源代码泄漏漏洞检测方法流程图；
45.图4为本技术公开的一种具体的flash文件源代码泄漏漏洞检测方法流程图；
46.图5为本技术公开的一种flash文件源代码泄漏漏洞检测装置结构示意图；
47.图6为本技术公开的一种电子设备结构图。
具体实施方式
48.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
49.当前，现有的源代码泄漏漏洞的检测方法存在访问量大的问题，易对站点造成影响，而且现有的源代码泄漏的检测方法，只针对php、asp等语言的源代码检测，当前还没有针对flash文件源代码泄漏的检测方式，由于flash文件源代码与其他语言的源代码有本质的不同，所以针对其他语言的源代码检测方法不适用于检测flash文件源代码泄漏漏洞。为此，本技术提供了一种flash文件源代码泄漏漏洞检测方案，能够避免发送过多的请求，从而避免对站点造成影响，还能够提高flash文件源代码泄漏漏洞检测的准确率并降低flash文件源代码泄漏风险。
50.本发明实施例公开了一种flash文件源代码泄漏漏洞检测方法，参见图1所示，该方法包括：
51.步骤s11：获取待检测站点对应的目标url，并对所述目标url进行拼接得到新的url。
52.本实施例中，根据flash源码的特殊性，获取待检测站点对应的目标url，并对所述目标url进行拼接得到新的url。可以理解的是，获取客户端输入的待检测站点对应的目标url，然后对当前获取到的目标url进行拼接，从而得到拼接后的url，即得到待检测站点对应的新的url。
53.本实施例中，所述获取待检测站点对应的目标url，并对所述目标url进行拼接得到新的url，可以包括：获取待检测站点对应的首页url，并对对所述首页url进行拼接得到新的url。可以理解的是，直接获取客户端输入的待检测站点对应的首页url，从而对该首页
url进行拼接，即通过拼接模块对从客户端获取得到的待检测站点对应的目标url进行拼接。
54.本实施例中，所述对所述目标url进行拼接得到新的url，可以包括：按照预设拼接方法对所述目标url进行拼接得到新的url。具体的，可以包括：按照预设拼接方法在所述目标url的后缀拼接目标检测路径和目标检测文件名得到新的url。例如，获取到的待检测站点的目标url为http://123.456.com，然后在该目标url上拼接目标检测路径和目标检测文件名，生成的新的url为http://123.456.com/srcview/index.html，即拼接内容为特定的路径和文件名及后缀的组合，拼接完成后得到一个新的url。
55.步骤s12：将所述新的url发送至所述待检测站点，并获取所述待检测站点返回的与所述新的url对应的响应包。
56.本实施例中，对待检测站点的url进行拼接得到新的url之后，则需要将所述新的url发送至所述待检测站点，并获取所述待检测站点返回的与所述新的url对应的响应包。可以理解的是，向待检测站点发送http请求，即将所述新的url发送至所述待检测站点，待检测站点接收到所述新的url，并完成响应后，生成与所述新的url对应的响应包，然后获取待检测站点返回的上述响应包。
57.步骤s13：检测所述响应包是否存在预设特征字段。
58.本实施例中，获取到与所述新的url对应的响应包之后，检测所述响应包是否存在预设特征字段。可以理解的是，对待检测站点返回的响应包的内容进行检测，并判断所述响应包的内容中是否存在预设特征字段。例如，并根据响应包的内容进行正则匹配，判断所述响应包的内容是否包含预设特征字段，如《！
‑‑
saved from url＝\\(0014\\)about:internet
‑‑
》等内容。
59.步骤s14：如果所述响应包存在所述预设特征字段，则判定所述待检测站点存在flash文件源代码泄露漏洞。
60.本实施例中，在检测所述响应包是否存在预设特征字段时，如果检测出所述响应包存在所述预设特征字段，则判定所述待检测站点存在flash文件源代码泄露漏洞。可以理解的是，如果检测出所述响应包存在所述预设特征字段，记录存在所述预设特征字段的目标url，将所述目标url标记为存在flash文件源代码泄露漏洞，即所述待检测站点存在flash文件源代码泄露漏洞。
61.可见，本技术实施例根据flash源码的特殊性，通过对获取到的待检测站点对应的目标url进行拼接，进而将拼接后得到的新的url发送至待检测站点，然后检测待检测站点返回的响应包是否存在预设特征字段，如果响应包存在预设特征字段，则判定待检测站点存在flash文件源代码泄露漏洞。也就是说，本技术的技术方案采用主动探测手段，根据flash源码的特殊性，访问待检测站点一个特有的url请求，然后根据该url请求的返回特征判断是否存在flash源码泄漏的漏洞，能够避免发送过多的请求，从而避免对站点造成影响，并且能够提高flash文件源代码泄漏漏洞检测的准确率，进而降低flash文件源代码泄漏风险。
62.参见图2所示，本发明实施例公开了一种具体的flash文件源代码泄漏漏洞检测方法，相较于上一实施例，本实施例对技术方案作了进一步的说明和优化。
63.步骤s21：获取存储有多个待检测站点对应的目标url的url文本。
64.本实施例中，获取存储有多个待检测站点对应的目标url的url文本。可以理解的是，如果所述url文本中存储有一个目标url，则表明当前只检测一个待检测站点是否存在flash文件源代码泄露漏洞；如果所述url文本中存储有多个目标url，则表明当前需要检测多个待检测站点是否存在flash文件源代码泄露漏洞，即获取多个待检测站点分别对应的目标url。也就是说，将待检测站点对应的目标url可以存储在url文本中。
65.步骤s22：对所述url文本中各所述目标url进行拼接，得到各所述目标url对应的新的url。
66.本实施例中，对所述url文本中各所述目标url进行拼接，得到各所述目标url对应的新的url。可以理解的是，所述url文本中的所有目标url都需要进行拼接，拼接的方式可以参照上述步骤s11中的关于对目标url进行拼接的内容，在此不再赘述。
67.步骤s23：将所述新的url发送至所述待检测站点，并获取所述待检测站点返回的与所述新的url对应的响应包。
68.步骤s24：检测所述响应包是否存在预设特征字段。
69.步骤s25：如果所述响应包存在所述预设特征字段，则判定所述待检测站点存在flash文件源代码泄露漏洞。
70.关于上述步骤s23至步骤s25的具体内容可以参考前述实施例中公开的相应内容，在此不再进行赘述。
71.可见，本技术实施例根据flash源码的特殊性，通过对获取到的待检测站点对应的目标url进行拼接，进而将拼接后得到的新的url发送至待检测站点，然后检测待检测站点返回的响应包是否存在预设特征字段，如果响应包存在预设特征字段，则判定待检测站点存在flash文件源代码泄露漏洞。本技术检测flash文件源代码泄漏漏洞的技术方案能够避免发送过多的请求，从而避免对站点造成影响，并且能够提高flash文件源代码泄漏漏洞检测的准确率，进而降低flash文件源代码泄漏风险。
72.参见图3所示，本发明实施例公开了一种具体的flash文件源代码泄漏漏洞检测方法，相较于上一实施例，本实施例对技术方案作了进一步的说明和优化。
73.步骤s31：获取待检测站点对应的目标url，并对所述目标url进行拼接得到新的url。
74.步骤s32：将所述新的url发送至所述待检测站点，并获取所述待检测站点返回的与所述新的url对应的响应包。
75.步骤s32：基于所述响应包对应的响应码判断所述响应包是否异常。
76.本实施例中，获取到所述待检测站点返回的与所述新的url对应的响应包之后，还需要判断获取到的所述响应包是否为异常的响应包，可以基于所述响应包对应的响应码判断所述响应包是否异常，也就是说，根据响应码判断所述响应包是否为正常返回的请求包。通过增加对响应包的判断，能够提高检测源代码是否存在泄漏漏洞的准确率。
77.步骤s34：如果所述响应码为404，则判定所述响应包异常，并禁止检测所述响应包是否存在预设特征字段。
78.本实施例中，如果所述响应码为404，则判定所述响应包异常，并禁止检测所述响应包是否存在预设特征字段。可以理解的是，响应包为404，则说明待检测站点返回的是异常的响应包，此时就不需要执行检测响应包是否存在预设特征字段的操作。
79.步骤s35：如果所述响应码不为404，则判定所述响应包正常，并检测所述响应包是否存在预设特征字段。
80.本实施例中，如果所述响应码不为404，则判定所述响应包正常，并检测所述响应包是否存在预设特征字段。可以理解的是，响应包不为404，则说明待检测站点返回的是正常的响应包，此时可以执行检测响应包是否存在预设特征字段的操作。
81.步骤s14：如果所述响应包存在所述预设特征字段，则判定所述待检测站点存在flash文件源代码泄露漏洞。
82.关于上述步骤s11至步骤s12的具体内容可以参考前述实施例中公开的相应内容，在此不再进行赘述。
83.例如，如图4所示，获取用户输入的待检测站点对应的url，然后对该url进行拼接构造，从而将新构造出的url发送至待检测站点，进而判断获取到待检测站点返回的响应包对应的响应码是否为404，如果是，则结束当前的所有检测操作，如果所述响应码不为404，则判断所述响应包是否存在特定字段，如果存在，则标记所述待检测站点对应的url为存在flash文件源代码泄露漏洞的异常url。如果不存在，则说明所述待检测站点不存在flash文件源代码泄露漏洞。
84.可见，本技术实施例根据flash源码的特殊性，通过对获取到的待检测站点对应的目标url进行拼接，进而将拼接后得到的新的url发送至待检测站点，然后检测待检测站点返回的响应包是否存在预设特征字段，如果响应包存在预设特征字段，则判定待检测站点存在flash文件源代码泄露漏洞。本技术检测flash文件源代码泄漏漏洞的技术方案能够避免发送过多的请求，从而避免对站点造成影响，并且能够提高flash文件源代码泄漏漏洞检测的准确率，进而降低flash文件源代码泄漏风险。
85.相应的，本技术实施例还公开了一种flash文件源代码泄漏漏洞检测装置，参见图5所示，该装置包括：
86.第一获取模块11，用于获取待检测站点对应的目标url；
87.第一拼接模块12，用于对所述目标url进行拼接得到新的url；
88.发送模块13，用于将所述新的url发送至所述待检测站点；
89.响应包获取模块14，用于获取所述待检测站点返回的与所述新的url对应的响应包；
90.响应包检测模块15，用于检测所述响应包是否存在预设特征字段；
91.漏洞判定模块16，用于当所述响应包存在所述预设特征字段，则判定所述待检测站点存在flash文件源代码泄露漏洞。
92.由上可见，本技术实施例根据flash源码的特殊性，通过对获取到的待检测站点对应的目标url进行拼接，进而将拼接后得到的新的url发送至待检测站点，然后检测待检测站点返回的响应包是否存在预设特征字段，如果响应包存在预设特征字段，则判定待检测站点存在flash文件源代码泄露漏洞。本技术检测flash文件源代码泄漏漏洞的技术方案能够避免发送过多的请求，从而避免对站点造成影响，并且能够提高flash文件源代码泄漏漏洞检测的准确率，进而降低flash文件源代码泄漏风险。
93.在一些具体的实施例中，所述第一获取模块11，具体还可以包括：
94.第二获取模块，用于获取存储有多个待检测站点对应的目标url的url文本；
95.在一些具体的实施例中，所述第一拼接模块12，具体还可以包括：
96.第二拼接模块，用于对所述url文本中各所述目标url进行拼接，得到各所述目标url对应的新的url。
97.在一些具体的实施例中，所述第一获取模块11，具体可以包括：
98.第一获取单元，用于获取待检测站点对应的首页url；
99.在一些具体的实施例中，所述第一拼接模块12，具体可以包括：
100.第一拼接单元，用于对所述首页url进行拼接得到新的url。
101.在一些具体的实施例中，所述第一拼接模块12，具体还可以包括：
102.第三拼接模块，用于按照预设拼接方法对所述目标url进行拼接得到新的url。
103.在一些具体的实施例中，所述第三拼接模块，具体可以包括：
104.第三拼接单元，用于按照预设拼接方法在所述目标url的后缀拼接目标检测路径和目标检测文件名得到新的url。
105.在一些具体的实施例中，所述flash文件源代码泄漏漏洞检测装置，具体还可以包括：
106.判断模块，用于基于所述响应包对应的响应码判断所述响应包是否异常；
107.在一些具体的实施例中，所述响应包检测模块15，具体可以包括：
108.第一判定单元，用于当所述响应码为404，则判定所述响应包异常，并禁止检测所述响应包是否存在预设特征字段；
109.第二判定单元，用于当所述响应码不为404，则判定所述响应包正常，并检测所述响应包是否存在预设特征字段。
110.进一步的，本技术实施例还提供了一种电子设备。图6是根据一示例性实施例示出的电子设备20结构图，图中的内容不能认为是对本技术的使用范围的任何限制。
111.图6为本技术实施例提供的一种电子设备20的结构示意图。该电子设备20，具体可以包括：至少一个处理器21、至少一个存储器22、电源23、通信接口24、输入输出接口25和通信总线26。其中，所述存储器22用于存储计算机程序，所述计算机程序由所述处理器21加载并执行，以实现前述任一实施例公开的flash文件源代码泄漏漏洞检测方法中的相关步骤。另外，本实施例中的电子设备20具体可以为电子计算机。
112.本实施例中，电源23用于为电子设备20上的各硬件设备提供工作电压；通信接口24能够为电子设备20创建与外界设备之间的数据传输通道，其所遵循的通信协议是能够适用于本技术技术方案的任意通信协议，在此不对其进行具体限定；输入输出接口25，用于获取外界输入数据或向外界输出数据，其具体的接口类型可以根据具体应用需要进行选取，在此不进行具体限定。
113.另外，存储器22作为资源存储的载体，可以是只读存储器、随机存储器、磁盘或者光盘等，其上所存储的资源可以包括操作系统221、计算机程序222等，存储方式可以是短暂存储或者永久存储。
114.其中，操作系统221用于管理与控制电子设备20上的各硬件设备以及计算机程序222，其可以是windows server、netware、unix、linux等。计算机程序222除了包括能够用于完成前述任一实施例公开的由电子设备20执行的flash文件源代码泄漏漏洞检测方法的计算机程序之外，还可以进一步包括能够用于完成其他特定工作的计算机程序。
115.进一步的，本技术实施例还公开了一种计算机可读存储介质，所述计算机可读存储介质中存储有计算机程序，所述计算机程序被处理器加载并执行时，实现前述任一实施例公开的flash文件源代码泄漏漏洞检测方法步骤。
116.本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其它实施例的不同之处，各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。
117.最后，还需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
118.以上对本发明所提供的一种flash文件源代码泄漏漏洞检测方法、装置、设备及存储介质进行了详细介绍，本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。