(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211318217.8 (22)申请日 2022.10.26 (71)申请人 成都知道创宇信息技 术有限公司 地址 610000 四川省成 都市高新区中国(四 川)自由贸易试验区天府大道北段28 号C座9楼 (72)发明人 曾得豪　赵伟　杨冀龙　 (74)专利代理 机构 北京超凡宏宇专利代理事务 所(特殊普通 合伙) 11463 专利代理师 张欣欣 (51)Int.Cl. G06F 21/57(2013.01) G06F 21/60(2013.01) G06F 9/455(2006.01) G06F 16/958(2019.01) (54)发明名称 漏洞扫描方法及相关装置 (57)摘要 本申请提供的漏洞扫描 方法及相关装置中， 漏洞扫描设备接收并加载服务器发送的目标网 页； 根据目标网页中出扫描出的待扫描接口， 向 待扫描接口输入表单参数； 并拦截目标网页对表 单参数的JavaScript加密， 获得输入的表单参数 并按照预设的漏洞扫描策略修改表单参数； 最 后， 将修改后的表单参数进行 JavaScrip t加密操 作， 并将加密后的参数 发送给服务器。 如此， 通过 监测目标网页的JavaScript加密操作， 在进行 JavaScrip t加密操作之前， 对表单参数按照漏洞 扫描规则策略进行修改， 从而实现对于浏览器端 提供加密功能的网站进行漏洞 扫描。 权利要求书2页 说明书8页 附图2页 CN 115544520 A 2022.12.30 CN 115544520 A 1.一种漏洞 扫描方法， 其特 征在于， 应用于漏洞 扫描设备， 所述方法包括： 加载服务器发送的目标网页； 根据所述目标网页中出解析 出的待扫描接口， 向所述待扫描接口输入表单参数； 拦截所述目标网页对所述表单参数进行的JavaScript加密操作， 将获得的所述表单参 数按照预设的漏洞 扫描策略进行修改； 将修改后的表单参数进行所述JavaScript加密操作， 并将加密后的参数发送给所述服 务器。 2.根据权利要求1所述的漏洞 扫描方法， 其特 征在于， 所述方法还 包括： 在所述目标网页中注入针对所述JavaScript加密操作的JavaScript  Hook代码； 所述拦截所述目标网页对所述表单参数进行的JavaScript加密操作， 将获得的所述表 单参数按照预设的漏洞 扫描策略进行修改， 包括： 通过所述JavaScript  Hook代码拦截所述目标网页对所述表单参数进行的JavaScript 加密操作， 将获得的所述表单参数按照预设的漏洞 扫描策略进行修改。 3.根据权利要求2所述的漏洞扫描方法， 其特征在于， 所述漏洞扫描设备配置有加载所 述目标网页的无界面浏览器， 所述在所述目标网页中注入针对 所述JavaScript加密操作的 JavaScript  Hook代码， 包括： 检测所述目标网页是否为所述待扫描接口接提供了所述JavaScript加密操作； 若是， 则通过所述无界面浏览器在所述目标网页中注入针对所述JavaScript加密操作 的JavaScript  Hook代码。 4.根据权利要求3所述的漏洞扫描方法， 其特征在于， 所述检测所述目标网页 是否为所 述待扫描接口接提供了所述JavaScript加密操作， 包括： 输入针对所述待扫描接口 的表单测试参数； 获得待发送给所述服务器的请求参数， 其中， 所述请求参数基于所述表单测试参数生 成； 若所述表单测试参数与所述请求参数不一致， 则确定所述目标网页为所述待扫描接口 提供了所述JavaScript加密操作。 5.根据权利要求1所述的漏洞扫描方法， 其特征在于， 所述根据 所述目标网页中出解析 出的待扫描接口， 向所述待扫描接口输入表单参数， 包括： 解析所述目标网页， 获得 所述待扫描接口 的表单结构； 根据所述表单 结构， 构建与所述表单 结构相匹配的表单参数； 向所述待扫描接口输入所述表单参数。 6.根据权利要求1所述的漏洞 扫描方法， 其特 征在于， 所述方法还 包括： 接收所述 服务器针对所述加密后的参数发送的响应信息； 将所述响应信息进行JavaScript解密操作后， 并拦截到所述响应信息的解密结果。 7.根据权利要求6所述的漏洞扫描方法， 其特征在于， 所述目标网页中注入有 JavaScript  Hook代码， 所述将所述响应信息进行JavaScript解密操作后， 并拦截到所述响 应信息的解密结果， 包括： 将所述响应信息进行JavaScript解密操作， 并通过所述JavaScript  Hook代码拦截到 所述响应信息的解密结果。权　利　要　求　书 1/2 页 2 CN 115544520 A 28.一种漏洞 扫描装置， 其特 征在于， 应用于漏洞 扫描设备， 所述装置包括： 网页解析模块， 用于加载服 务器发送的目标网页； 所述网页解析模块， 还用于根据所述目标网页中出解析出的待扫描接口， 向所述待扫 描接口输入表单参数； 参数修改模块， 用于拦截所述目标网页对所述表单参数进行的JavaScript加密操作， 将获得的所述表单参数按照预设的漏洞 扫描策略进行修改； 参数收发模块， 用于将修改后的表单参数进行所述JavaScript加密操作， 并将加密后 的参数发送给 所述服务器。 9.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质存储有计算机程 序， 所述计算机程序被处 理器执行时， 实现权利要求1 ‑7任意一项所述的漏洞 扫描方法。 10.一种漏洞扫描设备， 其特征在于， 所述漏洞扫描设备包括处理器以及存储器， 所述 存储器存储有计算机程序， 所述计算机程序被所述处理器执行时， 实现权利要求 1‑7任意一 项所述的漏洞 扫描方法。权　利　要　求　书 2/2 页 3 CN 115544520 A 3