[发明专利]WEB漏洞检测方法、装置及系统

说明书

本发明公开了一种WEB漏洞检测方法、装置及系统，至少能够解决现有技术中的WEB漏洞检测方式无法更加灵活而全面地检测漏洞的技术问题。该WEB漏洞检测方法包括：获取并展示与待检测网站相关的发布信息，其中，发布信息中包括与待检测网站相关的待检测地址；获取针对待检测网站提交的漏洞描述信息，漏洞描述信息是漏洞检测终端针对待检测网站检测出的漏洞的描述信息；根据漏洞描述信息对漏洞进行确认；将已确认漏洞的漏洞描述信息发送至与待检测网站相对应的漏洞接收服务器。

技术领域

本发明涉及网络通信技术领域，具体涉及一种WEB漏洞检测方法及装 置。

背景技术

随着互联网的发展，企业的WEB业务在各类业务中所占的比重越来越 大。与其他类型的业务不同，WEB业务直接暴露在互联网中，而且承载着用 户的个人隐私信息(如网易邮箱的邮箱用户数据、订票网站的用户身份证信 息、订票信息等)。因此，一旦企业网站存在漏洞，一些黑客组织就能够利 用这些漏洞进行拖库，将企业网站对应的数据库里的用户信息全部导出，从 而给企业和社会带来巨大的损失。

通常情况下，企业的普通员工并不具备发现漏洞的能力，因此，需要企 业另行设立信息安全部门，由该部门执行漏洞检测工作。然而，发明人在实 现本发明的过程中发现，现有技术中的上述方式至少存在如下问题：一方面， 另行设立信息安全部门的开销较大，一般企业难以承受；另一方面，由各个 企业自行检测网站漏洞的方式较为单一，无法更加灵活而全面地检测漏洞。

发明内容

鉴于上述问题，提出了本发明以便提供一种克服上述问题或者至少部分 地解决上述问题的WEB漏洞检测方法及装置。

依据本发明的一个方面，提供了一种WEB漏洞检测方法，包括：获取并 展示与待检测网站相关的发布信息，其中，所述发布信息中包括与所述待检 测网站相关的待检测地址；获取针对所述待检测网站提交的漏洞描述信息， 所述漏洞描述信息是漏洞检测终端针对所述待检测网站检测出的漏洞的描述 信息；根据所述漏洞描述信息对所述漏洞进行确认；将已确认漏洞的所述漏 洞描述信息发送至与所述待检测网站相对应的漏洞接收服务器。

依据本发明的另一个方面，提供了一种WEB漏洞检测装置，包括：第一 获取模块，适于获取并展示与待检测网站相关的发布信息，其中，所述发布 信息中包括与所述待检测网站相关的待检测地址；第二获取模块，适于获取 针对所述待检测网站提交的漏洞描述信息，所述漏洞描述信息是漏洞检测终 端针对所述待检测网站检测出的漏洞的描述信息；确认模块，适于根据所述 漏洞描述信息对所述漏洞进行确认；发送模块，适于将已确认漏洞的所述漏 洞描述信息发送至与所述待检测网站相对应的漏洞接收服务器。

依据本发明的再一个方面，提供了一种WEB漏洞检测系统，包括：上 述任一所述的漏洞检测装置、所述待检测对象以及所述漏洞检测终端。

在本发明提供的WEB漏洞检测方法及装置中，一方面，能够获取并展示 与待检测网站相关的发布信息，从而将待检测网站的发布信息提供给漏洞检 测终端，以供漏洞检测终端根据发布信息对待检测网站进行有针对性地检测； 另一方面，能够获取漏洞检测终端针对待检测网站提交的漏洞描述信息，并 对漏洞描述信息中的漏洞进行确认后将该漏洞描述信息发送至与待检测网站 相对应的漏洞接收服务器。由此可见，本发明中的方式不需要企业另行设立 信息安全部门，能够通过展示企业发布信息的方式来获取漏洞检测终端的漏 洞检测结果，从而降低了企业检测漏洞的成本，为企业提供了更加灵活而全 面的漏洞检测方式。

上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技 术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其它 目的、特征和优点能够更明显易懂，以下特举本发明的具体实施方式。

附图说明