本发明专利技术提供了一种基于指纹识别技术的WEB漏洞扫描方法和漏洞扫描器,此扫描器没有采用常见的基于完全爬行的网站安全漏洞扫描方案,而是采用了基于特征库的安全扫描方案,使其在漏洞扫描的精确性,探测漏洞后进一步处理上的灵活性,以及漏洞发现的效率等方面进行了改进,为系统安全扫描和网络漏洞扫描提供了全新的解决方案。该扫描器结构包括用户端、浏览器、扫描主机和WEB服务器四部分,如摘要附图所示,所述的扫描主机包括控制模块、扫描参数设置模块、扫描引擎模块、WEB指纹库模块和WEB漏洞库模块。用户通过所述的控制平台在扫描参数设置模块中设置扫描参数,扫描引擎根据传入的参数首先进行指纹识别,最后使用所述漏洞库对网站漏洞进行测试,并给出测试报告。该扫描器能够准确迅速地帮助用户对目标网站进行漏洞的测试和分析,无需安装客户端软件就可以直接在浏览器上进行相关的操作。
【技术实现步骤摘要】
本专利技术涉及一种基于指纹识别技术的WEB漏洞扫描方法和漏洞扫描器,属于计算机网络技术。
技术介绍
随着网络的不断发展,网站的数目逐年快速增加,根据CNNIC报告截止到2012年6月仅中国就有就有250万个网站。与此相对应的是网站安全问题越来越突出,特别是自CSDN等网站大规模密码泄漏事件后,网站安全越来越引起人们的重视。随着网络上大量的美观、实用的开源或付费的各种类型的建站程序模板,网站建设者基于成本和方便性考虑,大都采用现成的建站模板程序搭建,如博客类网站普遍采用WordPress搭建、论坛类网站普遍采用Discuz搭建。网站搭建完成后,网站页面中存在的关键字、LOGO或页面布局等信息成为网站指纹。通过网站的指纹信息与建站程序模板的指纹进行对比分析就可以判断出网站是否采用相应的模板进行搭建。由于网站安全问题越来越严峻,出现了各种各样的网站漏洞扫描系统。现有的网站漏洞扫描器一般包括三部分爬虫模块、漏洞扫描模块和显示模块。漏洞扫描方法是首先使用爬虫技术获取网站所有的链接,将获取的网站链接过滤、补全后添加到任务队列中,漏洞扫描模块获取任务队列中的链接后根据漏洞扫描规则进行漏洞扫描,然后将漏洞扫描结果显示给用户。上述网站漏洞检测方法,不对目标网站进行指纹识别,不区分网站程序的不同,只是按照策略进行傻瓜式漏洞扫描,对所有网站采用完全相同的漏洞扫描过程,因而不能够根据网站的不同来进行自适应漏洞扫描,这样导致漏洞扫描效率低且精度差。同时,由于不同网站建站系统之间的差异很大,上述漏洞检测方法又无法进行指纹识别,导致现有的网站漏洞扫描系统一般只检测网站存在的一些通用性漏洞如注入漏洞、跨站脚本漏洞等,而忽略了各个网站建站系统模板独有的漏洞,造成漏洞扫描结果不够全面。现有的网站漏洞扫描系统一般都是以单一软件的形式发布,将漏洞库集成在系统中,用户不能够自己自定义添加最新的漏洞信息,只能等漏洞扫描系统进行升级来更新最新的漏洞信息,导致扫描系统的扩展性较差。因此,现有的网站漏洞扫描系统存在很多缺陷,已经不能够完全满足用户的网站漏洞扫描需求。对网站进行漏洞扫描时,如何快速的获取网站指纹信息,并根据网站指纹信息进行自适应漏洞检测是一个迫切需要解决的问题。
技术实现思路
本专利技术的目的在于弥补现有方法的局限性,提供了一种基于WEB指纹识别技术的WEB漏洞扫描方法和漏洞扫描器,采用了一种WEB程序识别的网站安全漏洞扫描方法。本专利技术没有采用常见的基于完全爬行的网站安全漏洞扫描方案,而是采用了基于特征库的安全扫描方案,使其在漏洞扫描的精确性,探測漏洞后进ー步处理上的灵活性,以及漏洞发现的效率等方面进行了改进,为系统安全扫描和网络漏洞扫描提供了全新的解决方案。 按照本专利技术提供的技术方案,所述基于WEB指纹识别技术的WEB漏洞扫描器包括依次相连的用户端、WEB浏览器、扫描主机和WEB服务器,所述扫描主机进ー步包括控制平台、扫描參数设置模块、扫描引擎模块、WEB指纹库和漏洞库,用户使用浏览器通过所述控制平台在扫描參数设置模块中设置扫描參数,并利用WEB程序指纹库进行应用程序指纹比对,最后使用漏洞库中相应程序的漏洞对目标网站进行扫描,并给出测试报告。所述基于指纹识别技术的WEB漏洞扫描方法,包括WEB程序指纹识别和漏洞扫描分析两个阶段在WEB指纹识别阶段,用户端利用WEB浏览器对远程的WEB服务器进行远程控制,通过扫描主机上的控制平台由用户设置扫描參数,通过比对WEB指纹库中指纹特征,判断目标服务器所使用的WEB应用程序;在所述分析阶段,利用对应WEB程序的漏洞对网站及相关服务器进行非破坏性质的模拟入侵者攻击,最后总结编写形成测试报告。上述WEB特征库和WEB漏洞库在漏洞扫描器中均以插件形式进行加载,特征库及漏洞库都是以json格式进行存储。如果发现有新的指纹特征或者是出现了新的漏洞,可以及时的加入到相应的库中。所述WEB指纹库中应用程序的特征包括以下ー种或多种。a)页面中的关键字,如页面中包含的“Powered By”信息就可以作为WEB程序的指纹信息。b)特殊的文件名,程序中一些源代码文件的文件名命名方式也可以作为指纹识别的特征。c)静态文件的hash值,程序中的README或者是CHANGEL0G文件的散列都可以作为判断是不是这个程序的特征。d)文件的标签树特征,HTML文件采用树形结构安排HTML元素,将所有的HTML标签抽取出来就可以将它作为某ー个HTML文件的特征。所述利用扫描主机上的漏洞库对网站及相关服务器进行非破坏性质的模拟入侵攻击,最后总结编写成测试报告,利用到的漏洞包含以下ー种或多种。a) SQL注入攻击。b)跨站脚本攻击。c)远程文件包含。d)本地文件包含。e)拒绝服务攻击。f)敏感信息泄露。本专利技术的优点是1、使用B/S架构,一改传统web安全扫描产品的C/S架构的纯软件版本,用户无需安装客户端软件,就可以直接在浏览器上进行相关的操作。2、使用了基于指纹识别技术的漏洞扫描方法,漏洞发现效率高,漏洞存在的准确度高。3、采用插件式系统设计,可以很方便的进行系统扩展和新漏洞新指纹的添加。附图说明图1是本专利技术的漏洞扫描器的结构示意图。图2是本专利技术的漏洞扫描器的工作流程图。具体实施例方式下面结合附图和实例对本专利技术做进一步的说明。本专利技术旨在提供一种针对网站安全漏洞进行扫描的工具,自动高效地检查web应用程序上存在的漏洞及安全隐患,对系统安全性进行评估性测试。本专利技术主要针对传统WEB服务器的漏洞扫描方法进行改进,方法如下采用漏洞扫描器,该扫描器结构包括用户端,浏览器、扫描主机和WEB服务器四部分,如图1所示,所述的扫描主机包括控制模块、扫描参数设置模块、扫描引擎模块、WEB指纹库模块和WEB漏洞库模块,用户通过所述的控制平台在扫描参数设置模块中设置扫描参数,扫描引擎根据传入的参数首先进行指纹识别,最后使用所述漏洞库对网站漏洞进行测试,并给出测试报生口 ο为了实现本专利技术的方法,下面提供了一种基于指纹识别的Web漏洞扫描器,如图。该漏洞扫描器采用B/S架构,系统包括用户端和服务端,服务端进一步包括扫描参数设置模块、指纹库模块、扫描引擎模块、漏洞库模块。本专利技术中的服务端模块可以集成在一台物理设备上作为扫描主机,用户通过浏览器对扫描主机进行任务添加和参数设置。下面就服务端包含模块扫描参数设置模块、指纹库模块、扫描引擎模块和漏洞库模块进行详细说明。扫描参数设置模块提供扫描任务添加和扫描参数设置的功能,用于用户通过浏览器设置和获取目标网站信息,包括用户注册、登陆、验证、扫描任务添加与设置、浏览扫描结果等。使用网站漏洞扫描服务需要用户先通过浏览器进行注册与登录,注册的内容包括用户身份和扫描目标等信息,以方便管理员进行审计。注册成功并登陆后,用户就可以登录然后进行扫描任务的添加和扫描参数的设置。用户设置完成后,扫描引擎模块就可以根据指纹库进行目标网站指纹识别。指纹库模块用于管理网站的指纹信息,为指纹识别提供指纹数据。指纹库包含了各类网站建站程序的指纹特征,采用插件的方式进行整合,针对不同的网站程序单独编写指纹库,这样扫描引擎模块可以直接调用相应数据进行操作。网站指纹识别原理一方面取决于不同程序不同版本存在不同的文件,另一方面请求首页或者特定页面本文档来自技高网...
【技术保护点】
一种基于指纹识别技术的WEB漏洞的扫描方法,其特征在于包括以下步骤:??????指纹库的收集步骤;??????漏洞库的收集步骤;???????扫描引擎的建立步骤。
【技术特征摘要】
1.一种基于指纹识别技术的WEB漏洞的扫描方法,其特征在于包括以下步骤 指纹库的收集步骤; 漏洞库的收集步骤; 扫描引擎的建立步骤。2.根据权利一所述的WEB漏洞的扫描方法,其特征在于形成一个系统的WEB扫描框架,建立ー个WEB扫描器,该扫描器采用指纹识别原理,并利用WEB指纹库进行应用程序的指纹比对,最后使用漏洞库中相应程序的漏洞对目标网站进行扫描,并给出测试报告。3.根据权利一所述的WEB漏洞的扫描方法,其特征在于建立一个基于WEB特征的指纹数据库,该指纹数据库有以下几个特点 以插件的形式进行加载,如果发现新的指纹特征可以及时的加入到指纹库中; 特征指纹的覆盖面广包括有页面中的关键字,特殊文件名,静态文件的hash值,文件的标签树等信息。4.根据权利三对WEB指纹库的描述,其特征还包括对WEB指纹的识别过程,在指纹识别阶段,用户通过扫描主机上的控制平台来设置扫描參数,通过比对WEB指纹库中指纹特征判断目标服务器所使用的WEB应用程序。5.根据权利一所述的WEB漏洞的扫描方法,其特征在于建立ー个WEB系统的漏洞数据库,该漏洞数据库有以下几个特点 以插件的形式进行加载,如果发现有新的漏洞可以及时的加入到漏洞库中; 漏洞库采取分类存储的形式,包含了不同类型、不同版本网站建站程序的漏洞信息,漏洞库中的漏洞信息包括WEB程序漏洞和相关插件存在的漏洞,将每种WEB程序及插件的漏洞做成単独的插件,同时针对特定程序的不同漏洞也进行分类; 漏洞库中可利用...
【专利技术属性】
技术研发人员:方勇,刘亮,黄诚,张钊,何良,何鹏程,季凡,许承文,
申请(专利权)人:四川大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。