[发明专利]一种web漏洞扫描方法

说明书

本发明涉及互联网信息完全技术领域，具体涉及一种web漏洞扫描方法，其解决了现有的web漏洞扫描方法存在的扫描接口不全，效率低下的问题包括以下步骤：获取漏洞扫描任务，漏洞扫描任务包含待扫描网站所包含的目标接口信息；确定每个目标接口信息对应的目标网页；对每个目标网页进行web漏洞扫描。本发明通过采用非主动爬虫即采用捕获用户的扫描请求并发送到后端进行安全检测。能够根据用户的请求使用代理进行接口的配置对网站进行全面的安全检测，不会出现接口遗漏的情况，使漏洞检测更加的严谨可靠。

技术领域

本发明属于互联网信息安全技术领域，具体涉及一种web漏洞扫描方法。

背景技术

Web应用漏洞扫描技术是保障web应用安全的重要技术之一，其核心思想是站在黑客的角度向web站点发送精心构造的检测请求，根据其响应信息判断目标站点是否存在特定漏洞，web应用漏洞扫描致力于在应用层上保证web应用的安全和防火墙、入侵检测系统等网络层防护措施一起，对一个web应用的运行环境形成全方位的安全防护。伴随着web应用在技术和规模上的快速发展,web应用漏洞扫描技术从最初的人工检测方式，发展到基于管理员的主机检测方式，直到现在的基于网络的检测方式。

Web应用漏洞扫描技术已相对成熟，相关的商业产品也层出不穷，由于当前的web应用呈现分布式集群的特点，目前市面上大多数的传统自动化安全扫描采用的都是爬虫和单机扫描的方式，而由于爬虫技术自身的局限性爬取到的接口会出现遗漏的情况漏洞扫描技术本身是单机应用，不能应对大批量漏洞扫描任务，会出现爬取接口不全，扫描效率低下的问题。

发明内容

为了解决现有技术存在的遗漏扫描接口、扫描效率低下的问题，本发明提供了一种web漏洞扫描方法，其具有接口检测全面、扫描效率更高等特点。

本发明的目的是提供一种更加先进的漏洞扫描方法，对接口进行更加全面高效的扫描。

根据本发明的具体实施方式的一种web漏洞扫描方法，包括：

获取漏洞扫描任务，所述漏洞扫描任务包含待扫描网站所包含的目标接口信息；

确定每个所述目标接口信息对应的目标网页；

对每个所述目标网页进行web漏洞扫描。

进一步地，所述对每个所述目标网页进行web漏洞扫描为：将所述目标网页分配给不同的扫描端进行web漏洞扫描，所述扫描端用于对分配的所述目标网页进行web漏洞扫描。

进一步地，所述不同的扫描端采用分布式集群方式部署。

进一步地，所述获取漏洞扫描任务为：通过预设代理服务器获取漏洞扫描任务。

进一步地，所述获取漏洞扫描任务包括：

捕获用户发起的网络访问请求，所述网络访问请求包含待扫描网页标识信息；

根据所述网络访问请求获取漏洞扫描任务。

进一步地，在所述获取漏洞扫描任务之前，还包括：

根据用户请求配置所述预设代理服务器；

在用户首次发起的所述网络访问请求时，向用户发送授权认证通知，以使所述代理服务器获得用户的授权。

进一步地，所述web漏洞扫描方法还包括：

若未获取到用户的成功授权，则持续向用户发送所述授权认证通知。

进一步地，所述将所述目标网页分配给不同的扫描端进行web漏洞扫描，所述扫描端用于对分配的所述目标网页进行web漏洞扫描之前，所述方法还包括：

将每个所述目标网页的接口信息存入消息队列；