本发明专利技术公开了一种自动化漏洞扫描方法及装置,包括:确定当前系统中包含的各个页面,各个页面依据执行顺序排列;基于QTP对每个页面进行业务流程录制,得到与每个页面存在关联关系的自动化测试脚本;在接收到对当前页面的漏洞扫描请求的情况下,依据执行顺序执行各个页面,当前页面为各个页面中的一个;在执行到当前页面的情况下,启动ZAP,采用主动扫描方式对当前页面进行漏洞扫描,展示扫描结果。上述过程,预先对各个页面录制了自动化测试脚本,在接收到对当前页面的漏洞扫描请求的情况下,只需要对当前页面的自动化测试脚本启动ZAP进行漏洞扫描,其它页面只执行对应的测试脚本,测试结果中不包含无关页面,提高了扫描效率。提高了扫描效率。提高了扫描效率。
【技术实现步骤摘要】
一种自动化漏洞扫描方法及装置
[0001]本专利技术涉及网络安全
,尤其涉及一种自动化漏洞扫描方法及装置。
技术介绍
[0002]漏洞扫描是指基于漏洞数据库,通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测,发现可利用漏洞的一种安全检测(渗透攻击)行为。漏洞扫描技术是一类重要的网络安全技术。它和防火墙、入侵检测系统互相配合,能够有效提高网络的安全性。通过对网络的扫描,网络管理员能了解网络的安全设置和运行的应用服务,及时发现安全漏洞,客观评估网络风险等级。网络管理员能根据扫描的结果更正网络安全漏洞和系统中的错误设置,在黑客攻击前进行防范。如果说防火墙和网络监视系统是被动的防御手段,那么安全扫描就是一种主动的防范措施,能有效避免黑客攻击行为,做到防患于未然。
[0003]OWASP ZAP开源漏洞扫描工具提供了两种漏洞扫描方式,一种是输入网页地址,工具自动爬取网页结构并进行漏洞扫描,另一种扫描方式,通过人工操作访问页面的方式进行扫描。前者虽然可以完成自动扫描,但是仅仅针对网页地址进行关联的页面爬取,漏洞扫描。针对另一种扫描方式,许多系统,往往具有较为复杂的业务流程,比如针对网站A,业务流程为先进行申请操作a,在后台进行审批之后,才能进行申请操作b、申请操作c等流程,在这种情况下,仅仅输入首页,使用工具自动爬取网页结构的扫描操作,仅仅可以扫描到申请操作a的相关页面,无法扫描申请操作b、申请操作c涉及的页面。如果想要进行申请操作b相关页面的漏洞扫描,只能使用手动扫描的方式,先完成申请操作a,再在后台进行审批,然后再进行申请操作b,通过人工的操作来完成操作b相关的页面的漏洞扫描。假如开发人员仅仅针对操作b进行了底层的代码逻辑改动,那么仅仅需要针对b操作相关的页面进行漏洞扫描,但是通过人工扫描的方式,必须先进行a操作的申请,然后进行审批,才能继续进行b操作的扫描,扫描结果存在冗余,包含了a操作的相关页面,漏扫的结果混入了无关的页面,不利于开发人员有针对性的查看结果并且工作量较大,重复性较高导致扫描效率较低。
技术实现思路
[0004]有鉴于此,本专利技术提供了一种自动化漏洞扫描方法及装置,用以解决现有技术中漏扫的结果混入了无关的页面,不利于开发人员有针对性的查看结果并且工作量较大,重复性较高导致扫描效率较低的问题。具体方案如下:
[0005]一种自动化漏洞扫描方法,包括:
[0006]确定当前系统中包含的各个页面,其中,所述各个页面依据执行顺序排列;
[0007]基于QTP对每个页面进行业务流程录制,得到与每个页面存在关联关系的自动化测试脚本;
[0008]在接收到对当前页面的漏洞扫描请求的情况下,依据所述执行顺序执行所述各个页面,其中,所述当前页面为所述各个页面中的一个;
[0009]在执行到所述当前页面的情况下,启动ZAP,采用主动扫描方式对所述当前页面进行漏洞扫描,展示扫描结果。
[0010]上述的方法,可选的,确定当前系统中包含的各个页面,包括:
[0011]解析所述当前系统,获取所述当前系统中各个流程;
[0012]针对每个流程,确定其中包含的至少一个页面;
[0013]获取各个页面的执行顺序,依据所述执行顺序构建与所述各个页面对应的树形结构图。
[0014]上述的方法,可选的,还包括:
[0015]若当前流程中存在多个页面,获取所述多个页面中包含的各个参数;
[0016]确定所述各个参数中需要进行参数化的目标参数;
[0017]对所述目标参数进行参数化处理。
[0018]上述的方法,可选的,依据所述执行顺序执行所述各个页面,包括:
[0019]依据所述关联关系,获取与所述各个页面对应的自动化测试脚本;
[0020]依据所述执行顺序执行各个自动化测试脚本。
[0021]上述的方法,可选的,在执行到所述当前页面的情况下,启动ZAP,采用主动扫描方式对所述当前页面进行漏洞扫描,包括:
[0022]预先为ZAP和浏览器配置代理;
[0023]接收到对所述当前页面的漏洞扫描指令的情况下,启动与所述当前页面关联的自动化测试脚本并启动所述ZAP,采用主动扫描的方式对所述当前页面进行漏洞扫描。
[0024]一种自动化漏洞扫描装置,包括:
[0025]确定模块,用于确定当前系统中包含的各个页面,其中,所述各个页面依据执行顺序排列;
[0026]录制模块,用于基于QTP对每个页面进行业务流程录制,得到与每个页面存在关联关系的自动化测试脚本;
[0027]执行模块,用于在接收到对当前页面的漏洞扫描请求的情况下,依据所述执行顺序执行所述各个页面,其中,所述当前页面为所述各个页面中的一个;
[0028]扫描和展示模块,用于在执行到所述当前页面的情况下,启动ZAP,采用主动扫描方式对所述当前页面进行漏洞扫描,展示扫描结果。
[0029]上述的装置,可选的,所述确定模块包括:
[0030]第一获取单元,用于解析所述当前系统,获取所述当前系统中各个流程;
[0031]第一确定单元,用于针对每个流程,确定其中包含的至少一个页面;
[0032]构建单元,用于获取各个页面的执行顺序,依据所述执行顺序构建与所述各个页面对应的树形结构图。
[0033]上述的装置,可选的,还包括:
[0034]第二获取单元,用于若当前流程中存在多个页面,获取所述多个页面中包含的各个参数;
[0035]第二确定单元,用于确定所述各个参数中需要进行参数化的目标参数;
[0036]参数化单元,用于对所述目标参数进行参数化处理。
[0037]上述的装置,可选的,执行模块包括:
[0038]第三获取单元,用于依据所述关联关系,获取与所述各个页面对应的自动化测试脚本;
[0039]执行单元,用于依据所述执行顺序执行各个自动化测试脚本。
[0040]上述的装置,可选的,所述扫描和展示模块包括:
[0041]配置单元,用于预先为ZAP和浏览器配置代理;
[0042]扫描单元,用于接收到对所述当前页面的漏洞扫描指令的情况下,启动与所述当前页面关联的自动化测试脚本并启动所述ZAP,采用主动扫描的方式对所述当前页面进行漏洞扫描。
[0043]与现有技术相比,本专利技术包括以下优点:
[0044]本专利技术公开了一种自动化漏洞扫描方法及装置,包括:确定当前系统中包含的各个页面,其中,所述各个页面依据执行顺序排列;基于QTP对每个页面进行业务流程录制,得到与每个页面存在关联关系的自动化测试脚本;在接收到对当前页面的漏洞扫描请求的情况下,依据所述执行顺序执行所述各个页面,其中,所述当前页面为所述各个页面中的一个;在执行到所述当前页面的情况下,启动ZAP,采用主动扫描方式对所述当前页面进行漏洞扫描,展示扫描结果。上述过程,预先对各个页面录制了自动化测试脚本,在接收到对当前页面的漏洞扫描请求的情本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种自动化漏洞扫描方法,其特征在于,包括:确定当前系统中包含的各个页面,其中,所述各个页面依据执行顺序排列;基于QTP对每个页面进行业务流程录制,得到与每个页面存在关联关系的自动化测试脚本;在接收到对当前页面的漏洞扫描请求的情况下,依据所述执行顺序执行所述各个页面,其中,所述当前页面为所述各个页面中的一个;在执行到所述当前页面的情况下,启动ZAP,采用主动扫描方式对所述当前页面进行漏洞扫描,展示扫描结果。2.根据权利要求1所述的方法,其特征在于,确定当前系统中包含的各个页面,包括:解析所述当前系统,获取所述当前系统中各个流程;针对每个流程,确定其中包含的至少一个页面;获取各个页面的执行顺序,依据所述执行顺序构建与所述各个页面对应的树形结构图。3.根据权利要求2所述的方法,其特征在于,还包括:若当前流程中存在多个页面,获取所述多个页面中包含的各个参数;确定所述各个参数中需要进行参数化的目标参数;对所述目标参数进行参数化处理。4.根据权利要求1所述的方法,其特征在于,依据所述执行顺序执行所述各个页面,包括:依据所述关联关系,获取与所述各个页面对应的自动化测试脚本;依据所述执行顺序执行各个自动化测试脚本。5.根据权利要求1所述的方法,其特征在于,在执行到所述当前页面的情况下,启动ZAP,采用主动扫描方式对所述当前页面进行漏洞扫描,包括:预先为ZAP和浏览器配置代理;接收到对所述当前页面的漏洞扫描指令的情况下,启动与所述当前页面关联的自动化测试脚本并启动所述ZAP,采用主动扫描的方式对所述当前页面进行漏洞扫描。6.一种自动化漏洞扫描装置,其特征在于,包括:确定模块,用于确定当前系...
【专利技术属性】
技术研发人员:穆甜,
申请(专利权)人:中国农业银行股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。