[发明专利]网站漏洞在线评估方法及装置

权利要求书

1.一种网站漏洞在线评估装置，其特征在于，包括：

接收模块，用于接收通过漏洞检测网页发送的网站漏洞信息，所述网站漏洞信息包括：存在漏洞的网站的网址、漏洞测试参数和漏洞测试结果；

第一获取模块，用于根据所述网站漏洞信息，获取所述漏洞的分类标识和预设时间段内所述网站的访问流量；

确定模块，用于根据所述漏洞的分类标识和所述网站的访问流量，确定所述漏洞的风险评估等级。

2.根据权利要求1所述的装置，其特征在于，所述装置还包括：

发送模块，用于向所述网站发送所述网站存在漏洞的告警信息，所述告警信息包括：所述风险评估等级，

和/或，

所述告警信息包括下述的一项或多项：存在漏洞的网站的网址、所述漏洞测试参数、所述漏洞测试结果。

3.根据权利要求2所述的装置，其特征在于，所述装置还包括：

第二获取模块，用于在所述发送模块发送告警信息之前，获取所述网站的管理者的联系信息；

所述发送模块，具体用于：

根据所述联系信息，采用与所述联系信息相匹配的方式发送所述告警信息。

4.根据权利要求1所述的装置，其特征在于，所述装置还包括：

特征信息提取模块，用于在所述确定模块确定所述漏洞的风险评估等级之前，根据所述网址和所述漏洞测试参数生成漏洞测试链接，并根据所述漏洞测试链接进行请求，获取所述网站的响应消息，从所述响应消息中提取漏洞的特征信息；

判断模块，用于判断所述漏洞的特征信息与所述漏洞测试结果是否一致；

所述确定模块，具体用于：

在所述判断模块判断所述漏洞的特征信息与所述漏洞测试结果一致时，根据所述网站的流量和所述漏洞的分类标识，确定所述漏洞的风险评估等级。

5.根据权利要求1至4中任一项所述的装置，其特征在于，所述确定模块，还用于：

根据所述存在漏洞的网站在预设时间段内的访问流量和该漏洞的关联业务确定该漏洞的风险权重值；

根据所述漏洞的分类标识确定漏洞的参考风险值；

根据所述漏洞的风险权重值和所述漏洞的参考风险值确定所述漏洞的风险评估等级。

6.一种网站漏洞在线评估方法，其特征在于，包括：

接收通过漏洞检测网页发送的网站漏洞信息，所述网站漏洞信息包括：存在漏洞的网站的网址、漏洞测试参数和漏洞测试结果；

根据所述网站漏洞信息，获取所述漏洞的分类标识和预设时间段内所述网站的访问流量；

根据所述漏洞的分类标识和所述网站的访问流量，确定所述漏洞的风险评估等级。

7.根据权利要求6所述的方法，其特征在于，所述方法还包括：

向所述网站发送所述网站存在漏洞的告警信息，所述告警信息包括：所述风险评估等级，

和/或，

所述告警信息包括下述的一项或多项：存在漏洞的网站的网址、所述漏洞测试参数、所述漏洞测试结果。

8.根据权利要求7所述的方法，其特征在于，向所述网站发送所述网站存在漏洞的告警信息之前，所述方法还包括：

获取所述网站的管理者的联系信息；

所述向所述网站发送所述网站存在漏洞的告警信息，包括：

根据所述联系信息，采用与所述联系信息相匹配的方式发送所述告警信息。

9.根据权利要求6所述的方法，其特征在于，根据所述网站的流量和所述漏洞的分类标识，确定所述漏洞的风险评估等级之前，所述方法还包括：

根据所述网址和所述漏洞测试参数生成漏洞测试链接，并根据所述漏洞测试链接进行请求，获取所述网站的响应消息，从所述响应消息中提取漏洞的特征信息；

判断所述漏洞的特征信息与所述漏洞测试结果是否一致；

若所述漏洞的特征信息与所述漏洞测试结果一致，则执行根据所述网站的流量和所述漏洞的分类标识，确定所述漏洞的风险评估等级的步骤。

10.根据权利要求6至9中任一项所述的方法，其特征在于，所述根据所述漏洞的分类标识和所述网站的访问流量，确定所述漏洞的风险评估等级，包括：

根据所述存在漏洞的网站在预设时间段内的访问流量和该漏洞的关联业务确定该漏洞的风险权重值；

根据所述漏洞的分类标识确定漏洞的参考风险值；

根据所述漏洞的风险权重值和所述漏洞的参考风险值确定所述漏洞的风险评估等级。