[发明专利]基于web的网站程序漏洞扫描方法及扫描装置

说明书

技术领域

本发明涉及一种基于WEB网站的程序漏洞扫描方法及装置，属于信息安全领域。

背景技术

随着各种各样的WEB应用（网上银行、电子商务、个人空间、云存储等）不断进入人们的生活，如果这些WEB应用存在不安全隐患，那么个人信息、甚至是WEB站点系统都会面临安全风险。根据统计，目前80%的网络攻击行为都是通过WEB来进行的。

对于通常的WEB管理员来说，基于安全的管理占用大量的工作的时间，因为对WEB应用的安全性进行手工测试和审计是一项复杂且耗时的工作，不仅需要极大的耐心还需要专业的技术经验。自动化的漏洞扫描技术能够大幅简化对于安全隐患的检测工作，有助于WEB管理员减轻工作负担。

公知的网站程序漏洞扫描装置都是由C++，dephi开发，在客户机上面工作。如中国专利，WEB漏洞扫描装置，ZL201120011885.7的专利申请，提供了一种WEB漏洞扫描装置，包括输入设备、扫描主机和输出设备，扫描主机包括与CUP连接的存储器、运算器和FPGA加速卡，FPGA加速卡通过PCI接口与CPU相连。该WEB漏洞扫描装置速度快、性能高、兼容性好、体积小。但是当需要对网站程序扫描时，需要在安装有扫描器的客户机上操作控制，因此，信息安全工程师扫描网站需要长期等待，多次运行，还需要选择客户机系统环境，配置环境来扫描网站。

而现有的WEB安全自动扫描技术，主要由2大核心模块，分别是URL(Uniform/Universal Resource Locator，统一资源定位符)的提取模块和漏洞检测模块。方法主要是对于某一个待检测站点，首先通过URL提取模块，获取到整个网站的连接URL,然后使用漏洞检测模块对每一有效URL进行漏洞的检测和确认，在漏洞检测和确认中，需要对各个漏洞类型都进行检测：最后所有网站链接和类型都检测和确认完毕，系统会输出一份WEB安全扫描的检测报告。漏洞的检测和确认是WEB扫描技术中最复杂和耗时的部分，而现有技术中的网站的每个有效的URL不加选择进行每种漏洞的扫描类型遍历的检测，导致扫描效率低下、耗时过长。特别在对大站点海量数据扫描的时候问题更加突出。

比如中国专利一种对WEB安全进行自动化检测的系统和方法，申请号：201010124176.x，公开的一种检测方法包括：URL提取分析；网站挂马检测；WEB应用程序漏洞检测；系统漏洞检测、生成检测报告。主要从网站挂马检测、WEB应用程序漏洞检测、系统漏洞检测三个方面全面、系统地对WEB安全进行检测。

中国专利申请，一种WEB站点漏洞扫描方法和装置，申请号：201210586173.7公开的方法包括：获取待检测网站的测试对象集合中的目标测试对象，所述目标测试对象包括目标URL和所述目标URL指向的页面；提取所述目标测试对象中待测漏洞的漏洞特征，并根据所述漏洞特征生成待测漏洞特征向量；计算阈值的待测漏洞标准向量和所述待测漏洞特征向量之间的相似度；当所述相似度小于预置的阈值时。不会所述目标测试对象进行检测索索待检测漏洞的操作。

综上，在现有技术中漏洞检测的方法基于URL及漏洞检测，网站程序漏洞扫描器都是由C++，dephi开发，在客户机上面工作，而且在进行WEB漏洞检测时，需要在待检测的客户机上安装漏洞检测装置，扫描网站需要长期等待，多次运行，还需要选择客户机系统环境，配置环境来扫描网站。

发明内容

本发明为了解决上述的技术问题供了一种基于WEB的网站程序漏洞扫描方法及扫描装置，使用跨平台开源语言java编写的爬虫技术，将目标网站的链接去重复后保存在数据库，然后使用漏洞库的脚本检查网站链接是否存在漏洞，如果存在漏洞，则调用对应的公共信息漏洞库的编号的漏洞描述与解决方式，整理成为文档，提供给信息安全工程师查看。

本发明的技术方案如下：一种基于WEB网站的程序漏洞扫描方法，其步骤为：

1）配置参数信息，并把配置好的参数信息保存在指定数据库内；

2）建立root用户和一般用户账户用于登录，并设定需要扫描的目标网站链接保存到所述指定数据库；

3）搜集并整理出漏洞网站，通过root用户账户登录到数据库后根据所述漏洞网站建立漏洞库，所述漏洞库中包括漏洞脚本及漏洞标号；

4）使用所述漏洞库中的漏洞脚本检查所述目标网站链接是否存在漏洞，若存在漏洞，则调用对应漏洞标号，扫描出网站程序漏洞。

更进一步，所述指定数据库为MYSQL数据库或SQL Server数据库。

更进一步，所述root用户账户在数据库中进行用户帐号添加、删除、修改。