[发明专利]一种取证式网站漏洞扫描方法和系统

权利要求书

1.一种取证式网站漏洞扫描方法，用于对被扫描网站进行漏洞检测，其特征在于，包括以下步骤：

a)页面抓取：从被扫描网站的初始页面开始解析，获取被扫描网站的页面链接，然后将页面链接存入系统数据库模块，并保证相同页面链接不重复存入，再从系统数据库模块中提取已保存的并且未经过页面抓取步骤处理的页面链接，进行页面访问，并提取新的页面链接存入到系统数据库模块，直至抓取完被扫描网站的所有页面；

b)漏洞扫描：在步骤a抓取到的页面中，判断是否还有尚未进行漏洞检测的页面，若已没有尚未进行漏洞检测的页面，则转步骤e，否则执行：选择一个尚未进行漏洞检测的页面进行漏洞检测，针对这个页面，根据不同漏洞各自所对应的检测逻辑进行漏洞分析，如果发现漏洞转步骤c，否则重复执行步骤b；

c)自动取证：对步骤b中发现的漏洞，根据不同漏洞的取证逻辑进行自动取证，并自动过滤掉误报，获得能够证明该漏洞存在的取证结果；

自动取证包括下述方法：1)直接将漏洞所在页面的响应内容长度、响应码、响应时间、报文、页面内容作为取证结果，并以此判断漏洞是否存在；2)在原始页面请求的基础上进行修改，自动构造至少一个新的http请求，并对这些不同请求的数据进行对比，把对比获得的差异性作为取证结果，并以此判断漏洞是否存在；所述不同请求的数据包括响应内容长度、响应码、响应时间、报文、页面内容；3)在漏洞所在页面的返回内容中匹配符合特征的文本，将匹配到的内容作为取证结果，并以此判断漏洞是否存在；4)自动模拟表单提交并获取请求结果，并以此判断漏洞是否存在；5)使用浏览器内核及浏览器对页面的内容进行解析和排版，执行页面内容中的脚本，将解析和排版的输出结果作为取证的结果，并以此判断漏洞是否存在；

d)信息收集：根据步骤b发现的漏洞，针对不同漏洞能采取的手工取证方法，自动收集手工取证方法所需要的取证信息并进行保存，完成后转步骤b对其他页面进行漏洞检测；

e)手工取证：使用步骤d收集的取证信息，根据不同漏洞能采取的相应的手工取证方法进行手工取证，并获得用于确认漏洞的真实性的手工取证结果。

2.根据权利要求1所述的一种取证式网站漏洞扫描方法，其特征在于，根据不同类型的网站漏洞，所述步骤c和步骤e中的取证结果包括以下数据：页面长度、HTTP响应码、页面请求响应时间、页面请求过程收发的报文、HTTP头、会话及Cookie、页面内容、多个页面请求之间的差异性、页面在浏览器中的实际显示效果及其截图。

3.根据权利要求1所述的一种取证式网站漏洞扫描方法，其特征在于，所述步骤d中的取证信息包括以下数据：自动构造的用于进一步取证的URL、HTTP头、会话及Cookie、表单提交数据、HTTP请求数据包、HTTP响应数据包。

4.根据权利要求3所述的一种取证式网站漏洞扫描方法，其特征在于，所述步骤e的手工取证是可选的，能够根据需要选择性地执行步骤e；所述手工取证包括以下方法：

1)使用步骤d中获取的自动构造的用于进一步取证的URL，在浏览器中访问，查看实际的URL执行和显示结果，结合漏洞的特征，判断漏洞是否存在，且能将显示结果截图保存；

2)使用HTTP模拟发包器，将用于进一步取证的URL，以及步骤d中获取的HTTP头、会话及Cookie、表单提交数据信息，填入HTTP模拟发包器中，并发送HTTP请求，查看返回的页面内容，结合漏洞的特征，判断漏洞是否存在；

3)在浏览器中，将步骤d中获取的表单提交数据，填入漏洞所在页面的表单中，并提交表单，查看提交表单后的页面显示结果，结合漏洞的特征，判断漏洞是否存在；

4)利用专用工具，所述专用工具是指漏洞取证或渗透测试的工具，将进一步取证的URL、步骤d中获取的HTTP头、会话及Cookie、表单提交数据信息，填入专用工具中进一步取证或渗透，并查看结果，结合漏洞的特征，判断漏洞是否存在；

5)将步骤d中获取的HTTP请求数据包和HTTP响应数据包显示在用户界面上，并使用高亮、字体加粗方法将重要内容突出显示，结合漏洞的特征，人工判断漏洞是否存在。

5.根据权利要求1所述的一种取证式网站漏洞扫描方法，其特征在于，能将网站漏洞和取证结果同时显示在程序或系统的用户界面中，或同时输出到报表中；用户根据这些信息判断漏洞是否存在，以及漏洞的性质和危害性。