WEB漏洞检测方法、装置及系统制造方法及图纸

本发明专利技术公开了一种WEB漏洞检测方法、装置及系统，至少能够解决现有技术中的WEB漏洞检测方式无法更加灵活而全面地检测漏洞的技术问题。该WEB漏洞检测方法包括：获取并展示与待检测网站相关的发布信息，其中，发布信息中包括与待检测网站相关的待检测地址；获取针对待检测网站提交的漏洞描述信息，漏洞描述信息是漏洞检测终端针对待检测网站检测出的漏洞的描述信息；根据漏洞描述信息对漏洞进行确认；将已确认漏洞的漏洞描述信息发送至与待检测网站相对应的漏洞接收服务器。

WEB vulnerability detection method, device and system

The invention discloses a method, a device and a system for detecting WEB vulnerabilities, which can at least solve the technical problem that the WEB vulnerability detection method in the prior art can not detect the vulnerabilities more flexibly and comprehensively. Including the WEB vulnerability detection methods: acquisition and display and the detection of website information, related information including the release and detection of related web address to be detected; obtaining the needle treated detection site to submit the vulnerability description information, vulnerability description information is a description of information leak detection terminal according to the detected website vulnerabilities according to the description information of vulnerability; vulnerability confirmation; will have confirmed vulnerabilities vulnerability description information sent to the website to be detected and corresponding to the receiving server vulnerabilities.

【技术实现步骤摘要】

本专利技术涉及网络通信
，具体涉及一种WEB漏洞检测方法及装置。
技术介绍
随着互联网的发展，企业的WEB业务在各类业务中所占的比重越来越大。与其他类型的业务不同，WEB业务直接暴露在互联网中，而且承载着用户的个人隐私信息(如网易邮箱的邮箱用户数据、订票网站的用户身份证信息、订票信息等)。因此，一旦企业网站存在漏洞，一些黑客组织就能够利用这些漏洞进行拖库，将企业网站对应的数据库里的用户信息全部导出，从而给企业和社会带来巨大的损失。通常情况下，企业的普通员工并不具备发现漏洞的能力，因此，需要企业另行设立信息安全部门，由该部门执行漏洞检测工作。然而，专利技术人在实现本专利技术的过程中发现，现有技术中的上述方式至少存在如下问题：一方面，另行设立信息安全部门的开销较大，一般企业难以承受；另一方面，由各个企业自行检测网站漏洞的方式较为单一，无法更加灵活而全面地检测漏洞。
技术实现思路
鉴于上述问题，提出了本专利技术以便提供一种克服上述问题或者至少部分地解决上述问题的WEB漏洞检测方法及装置。依据本专利技术的一个方面，提供了一种WEB漏洞检测方法，包括：获取并展示与待检测网站相关的发布信息，其中，所述发布信息中包括与所述待检测网站相关的待检测地址；获取针对所述待检测网站提交的漏洞描述信息，所述漏洞描述信息是漏洞检测终端针对所述待检测网站检测出的漏洞的描述信息；根据所述漏洞描述信息对所述漏洞进行确认；将已确认漏洞的所述漏洞描述信息发送至与所述待检测网站相对应的漏洞接收服务器。依据本专利技术的另一个方面，提供了一种WEB漏洞检测装置，包括：第一获取模块，适于获取并展示与待检测网站相关的发布信息，其中，所述发布信息中包括与所述待检测网站相关的待检测地址；第二获取模块，适于获取针对所述待检测网站提交的漏洞描述信息，所述漏洞描述信息是漏洞检测终端针对所述待检测网站检测出的漏洞的描述信息；确认模块，适于根据所述漏洞描述信息对所述漏洞进行确认；发送模块，适于将已确认漏洞的所述漏洞描述信息发送至与所述待检测网站相对应的漏洞接收服务器。依据本专利技术的再一个方面，提供了一种WEB漏洞检测系统，包括：上述任一所述的漏洞检测装置、所述待检测对象以及所述漏洞检测终端。在本专利技术提供的WEB漏洞检测方法及装置中，一方面，能够获取并展示与待检测网站相关的发布信息，从而将待检测网站的发布信息提供给漏洞检测终端，以供漏洞检测终端根据发布信息对待检测网站进行有针对性地检测；另一方面，能够获取漏洞检测终端针对待检测网站提交的漏洞描述信息，并对漏洞描述信息中的漏洞进行确认后将该漏洞描述信息发送至与待检测网站相对应的漏洞接收服务器。由此可见，本专利技术中的方式不需要企业另行设立信息安全部门，能够通过展示企业发布信息的方式来获取漏洞检测终端的漏洞检测结果，从而降低了企业检测漏洞的成本，为企业提供了更加灵活而全面的漏洞检测方式。上述说明仅是本专利技术技术方案的概述，为了能够更清楚了解本专利技术的技术手段，而可依照说明书的内容予以实施，并且为了让本专利技术的上述和其它目的、特征和优点能够更明显易懂，以下特举本专利技术的具体实施方式。附图说明通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本专利技术的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：图1示出了本专利技术一个实施例提供的WEB漏洞检测方法的流程图；图2示出了本专利技术另一个具体实施例提供的WEB漏洞检测方法的流程图；图3a和图3b示出了本专利技术各种级别的漏洞所对应的漏洞定义。图4示出了本专利技术一个实施例提供的一种WEB漏洞检测装置的结构示意图；图5示出了本专利技术另一个具体实施例提供的一种WEB漏洞检测装置的结构示意图；图6示出了本专利技术再一个实施例提供的一种WEB漏洞检测系统的结构示意图；图7示出了本专利技术再一个具体实施例提供的一种WEB漏洞检测系统的结构示意图。具体实施方式下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。本专利技术实施例提供了一种WEB漏洞检测方法及装置，至少能够解决现有技术中的WEB漏洞检测方式无法更加灵活而全面地检测漏洞的技术问题。图1示出了本专利技术一个实施例提供的WEB漏洞检测方法的流程图。如图1所示，该方法包括以下步骤：步骤S110：获取并展示与待检测网站相关的发布信息，其中，发布信息中包括与待检测网站相关的待检测地址。通常情况下，待检测网站为预先注册的网站，待检测网站的数量可以为一个或多个。在每个待检测网站的注册过程中，获取与该待检测网站相关的待检测地址。其中，对于一个待检测网站而言，其相关的待检测地址可以包括以下中的至少一个：网站首页的地址、网站中包含的链接地址、以及网站中包含的一级页面、二级页面等各级页面的地址。具体实施时，当待检测网站为多个时，可以根据各种方式确定待检测网站的展示顺序，例如，可以根据注册时间、待检测网站的重要程度等因素确定。另外，各个待检测网站对应的发布信息中可以包含多种内容，例如，除待检测地址外，还可以包括该待检测网站的访问量、用户数等各种信息，总之，本专利技术对发布信息的具体内容及展现方式不做限定。步骤S120：获取针对待检测网站提交的漏洞描述信息，该漏洞描述信息是漏洞检测终端针对上述待检测网站检测出的漏洞的描述信息。其中，漏洞检测终端能够根据上一步骤中展示的待检测网站的发布信息确定与待检测网站相关的待检测地址，根据待检测地址对相应网站的漏洞进行检测，并在检测到漏洞时提交相应的漏洞描述信息。具体实施时，可以通过多种方式获取漏洞检测终端针对待检测网站提交的漏洞描述信息，本专利技术对具体的获取方式不做限定，例如可以通过电子邮件、站内信、聊天消息等多种方式进行获取。另外，漏洞描述信息的具体内容也可由本领域技术人员灵活设定。在实际情况中，漏洞检测终端的数量也可能为多个，因此，一方面，为了便于确定提交该漏洞描述信息的漏洞检测终端的终端标识；另一方面，为了便于确定该漏洞描述信息所对应的待检测网站的网站标识，在具体实施中，可以预先为各个待检测网站分别设置对应的漏洞提交入口，漏洞检测终端通过待检测网站对应的漏洞提交入口提交针对于该待检测网站的漏洞描述信息，并在提交过程中携带漏洞检测终端的终端标识。由此可见，通过预设的漏洞提交入口能够快速准确地确定与漏洞描述信息相对应的待检测网站以及漏洞检测终端。步骤S130：根据漏洞描述信息对漏洞进行确认。具体地，漏洞描述信息中通常包含漏洞类型、漏洞内容等详细信息。为了防止漏洞检测终端提交错误的漏洞描述信息，在本步骤中，需要对漏洞描述信息中的漏洞进行确认和审核，以确定漏洞描述信息是否正确有效。具体的确认方式可由本领域技术人员灵活选择，本专利技术对此不做限定。步骤S140：将已确认漏洞的漏洞描述信息发送至与待检测网站相对应的漏洞接收服务器。具体地，可以通过电子邮件、短消息等各种方式发送已确认漏洞的漏洞描述信息，本专利技术对具体发送方式不做限定。在本实施例中，为了提高发送过程的便捷性，可以本文档来自技高网...

【技术保护点】
一种WEB漏洞检测方法，包括：获取并展示与待检测网站相关的发布信息，其中，所述发布信息中包括与所述待检测网站相关的待检测地址；获取针对所述待检测网站提交的漏洞描述信息，所述漏洞描述信息是漏洞检测终端针对所述待检测网站检测出的漏洞的描述信息；根据所述漏洞描述信息对所述漏洞进行确认；将已确认漏洞的所述漏洞描述信息发送至与所述待检测网站相对应的漏洞接收服务器。

【技术特征摘要】
1.一种WEB漏洞检测方法，包括：获取并展示与待检测网站相关的发布信息，其中，所述发布信息中包括与所述待检测网站相关的待检测地址；获取针对所述待检测网站提交的漏洞描述信息，所述漏洞描述信息是漏洞检测终端针对所述待检测网站检测出的漏洞的描述信息；根据所述漏洞描述信息对所述漏洞进行确认；将已确认漏洞的所述漏洞描述信息发送至与所述待检测网站相对应的漏洞接收服务器。2.根据权利要求1所述的方法，其中，所述获取并展示与待检测网站相关的发布信息的步骤具体包括：为所述待检测网站设置对应的漏洞提交入口，获取并展示与待检测网站相关的发布信息以及所述待检测网站对应的漏洞提交入口；则所述获取针对所述待检测网站提交的漏洞描述信息的步骤具体包括：通过所述漏洞提交入口获取漏洞检测终端针对所述待检测网站提交的漏洞描述信息。3.根据权利要求1或2所述的方法，其中，所述发布信息中进一步包括：至少一个漏洞级别以及各个漏洞级别对应的漏洞价值信息；其中，所述漏洞级别包括以下中的至少一个：高危级别、中危级别以及低危级别。4.根据权利要求1-3任一所述的方法，其中，所述将已确认漏洞的所述漏洞描述信息发送至与所述待检测网站相对应的漏洞接收服务器的步骤之后，进一步包括步骤：接收所述漏洞接收服务器根据漏洞级别和/或漏洞价值信息发送的漏洞确认信息，将所述漏洞确认信息发送给所述漏洞检测终端。5.根据权利要求1-4任一所述的方法，其中，所述方法进一步包括步骤：预先接收并保存与所述待检测网站相对应的漏洞接收服务器的通信地址，则所述将已确认漏洞的所述漏洞描述信息发送至与所述待检测网站相对应的漏洞接收服务器的步骤具...

【专利技术属性】
技术研发人员：白健，葛珅，陈得福，韩钰，
申请(专利权)人：北京奇虎科技有限公司，北京奇安信科技有限公司，
类型：发明
国别省市：北京;11